2
  1. Я создал пользователя 'git-server'
  2. Установлен openssh-server
  3. Модифицированный /etc/ssh/sshd_config добавил PasswordAuthentication no
  4. Добавлено в .ssh/authorized_keys публичного случая моих коллег

Вопросы:

  • Является ли пользователь 'git-server' безопасным для моей системы? Что является худшим сценарием для системы, если злоумышленник получает доступ к «git-server», при условии, что «git-server» является sudoer
  • Как я могу запретить «git-server» все операции, кроме команд git ?

2 ответа2

4

Вы должны изменить оболочку пользователя git-server по умолчанию на git-shell.

https://git-scm.com/docs/git-shell.html

Это оболочка входа для учетных записей SSH, обеспечивающая ограниченный доступ к Git. Он позволяет выполнять только команды Git на стороне сервера, реализующие функциональность pull/push, а также пользовательские команды, представленные в подкаталоге git-shell-command в домашнем каталоге пользователя.

0

Что ж, давайте посмотрим, как вы настроили эту учетную запись git-server в системе.

Модифицированный /etc /ssh /sshd_config добавил PasswordAuthentication no

Поскольку вы устанавливаете для пароля аутентификацию no, то попытка удаленного входа в систему под этим именем практически невозможна без действительного ключа SSH. Насколько я знаю, я не думаю, что ssh-ключи были взломаны, поскольку это зависит от того, какой шифр и сложность шифра вы используете для его определения.

Так что теперь этот факт не нужен, если кому-то удалось получить доступ к этой учетной записи. Скорее всего, это будет означать, что кто-то, у кого уже был доступ к вашей системе, которому были предоставлены привилегии для использования su, сделал бы это, или каким-то образом, если вы правильно заблокировали свою систему, кто-то получил доступ к root, что более невозможно, чем получить учетная запись git-сервера. Но если это не так, и они вошли в эту учетную запись удаленно, используя SSH, то у каждого, кто использует SSH, есть проблемы, так как это означает, что любая система, использующая ssh, будет уязвима. Теперь наибольшее количество урона, которое можно нанести, - это то же количество урона, которое вы можете нанести своей обычной учетной записью с привилегиями sudo.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .