2

Я хочу использовать мой маршрутизатор (TP-Link WDR3600) с LEDE 17.01.4 в качестве SFTP-сервера для хранения моих резервных копий, созданных с помощью borg . Я уже знаю, как выполнить резервное копирование и настроить USB-накопитель, но я не знаю, как правильно настроить серверную часть SFTP для обеспечения безопасности и удобства обслуживания, например:

  • Нужно ли создавать выделенного пользователя?
  • Если да, то как ограничить разрешения для этого пользователя резервного копирования, чтобы он не мог заглянуть в конфиденциальные файлы в файловой системе?

Я в основном ищу лучшие практики для запуска нормального SFTP-сервера, но с использованием ограниченной среды встроенной системы. Если возможно, я бы предпочел не использовать openssh поскольку он не интегрирован в систему UCI.

Мой вопрос может быть слишком широким, пожалуйста, дайте мне знать, если это так.

|источник

1 ответ1

1

Нужно ли создавать выделенного пользователя?

Ага. Создайте непривилегированного пользователя с именем borg . Ниже приведена выдержка из документации OpenWrt:

Затем сделайте это, так как вы хотите использовать включенный dropbear а не openssh-server:

Как это работает: любая учетная запись, которая может использовать SSH, может использовать SFTP, и как только вы создадите учетную запись в локальной системе и опционально настроите ключи, вы сможете немедленно настроить SFTP.

Если да, то как ограничить разрешения для этого пользователя резервного копирования, чтобы он не мог заглянуть в конфиденциальные файлы в файловой системе?

Пользователи без полномочий root не смогут многое сделать вне своих домашних каталогов, для которых не установлены открытые разрешения.

Чтобы запретить другим пользователям без полномочий root изменять файлы, принадлежащие borg , используйте параметр borg umask со значением 027 - это сделает любые новые файлы недоступными для всех, кроме root или borg .

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .