1

Я настраиваю свой собственный домашний сервер Raspberry Pi /NAS и ищу возможность доступа за пределы домашней сети. Это, однако, побудило меня переосмыслить всю установку.

У меня есть внешний жесткий диск, подключенный к Raspberry Pi, который содержит все необходимые данные, которыми я хочу управлять / делиться.

У меня есть vsftpd создающий FTP-сервер для домашней локальной сети, btsync синхронизирующий определенную папку сервера, демон transmission , управляющий загрузками, и я хотел бы иметь возможность доступа к данным FTP с помощью SFTP.

У меня есть две основные проблемы:

  1. Управление пользователями. Желательно ли, чтобы каждый сервис / демон запускался одним пользователем с ограниченными разрешениями в каждом контексте или обычным пользователем (очевидно, не root), выполняющим все сервисы?

  2. Разрешения на запись. Как можно было бы отключить запись при доступе через SFTP через Интернет. И как я могу ограничить доступ по FTP только к одной папке / домашней папке пользователя?

|источник

1 ответ1

1

Короткий ответ

  1. У каждого сервиса должен быть свой пользователь.

  2. (не уверен, понимаю ли я) Измените права доступа к файлам / каталогам, которые вы не хотите, чтобы пользователь имел возможность писать. Вы ищете тюрьму для chroot.

Длинный ответ

  1. Вы должны запускать каждый сервис от своего соответствующего пользователя. Например, большинство пакетов, установленных в Arch Linux, делают это автоматически, создавая своего пользователя после установки. Если кто-то получит доступ к одному пользователю, работающему со всеми службами, он получит доступ ко всем этим службам. Если вы используете SSH на своем сервере, и вам когда-либо понадобится изменить одну из служб в качестве этого пользователя, вы можете просто

  2. Тюрьма chroot блокирует пользователя в каталог и его подкаталоги, когда они SSH/SFTP на сервер. Дополнительную информацию о том, как это сделать, можно найти здесь: http://allanfeid.com/content/creating-chroot-jail-ssh-access и https://wiki.archlinux.org/index.php/SFTP_chroot.

Надеюсь, это поможет.

Редактировать 1

Я бы предложил использовать что-то вроде потопа. У него есть веб-интерфейс, который вы можете использовать для его настройки. Затем вы можете создать каталог загрузок только с разрешениями на чтение и каталог торрентов с разрешениями на запись. Deluge автоматически добавит все файлы .torrent в каталог torrent, которые будут загружены после установки. BAM, любой пользователь может добавлять торренты для автоматической загрузки, и все пользователи могут получить доступ к этим загрузкам.

Замечательное примечание (никогда не пробовал, поэтому я не знаю, работает ли оно на самом деле), вы также можете создавать пользователей с правами только на чтение в веб-потоке, чтобы они могли наблюдать за скачиванием торрента. http://dev.deluge-torrent.org/wiki/UserGuide/Authentication

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .