BLOGTIMES
« :: »
2012/03/23

CentOS に scponly をインストール

  centos  ssh 
このエントリーをはてなブックマークに追加

ファイル転送だけを許可するアカウントを作りたくて ssh の authorized_keys に no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty あたりを設定しておけばいいかなと思っていたらこれじゃ穴だらけということが下記のエントリで分かったので、 scponly というシェルをインストールしてみることにしました。no-pty で端末が取れないように設定しても shell 自体は起動できてしまうのが問題なんですね。

ssh scp sftp の正しい自動実行方法

http://www.banana-fish.com/~piro/20041122.html#p01
えっと、authorized_keys自体を書き換えられる権限を、パスフレーズなしの鍵に与えてしまうと、結局ノーガードと同じことになってしまうです。悪い人の鍵でなんでもできるようにしたauthorized_keysをリモートにscpして一丁あがり。

scponly はその名の如く、scp だけを許可するシェルです。

Home scponly/scponly Wiki

scponly is an alternative 'shell' (of sorts) for system administrators who would like to provide access to remote users to both read and write local files without providing any remote execution priviledges. Functionally, it is best described as a wrapper to the tried and true ssh suite of applications.

インストールはアーカイブを解凍して、./configure ; make ; make install ですんなりいけます。
シェルに設定するためには /etc/shells に /usr/local/bin/scponly を追加しておく必要があります。


    by hsur at 16:55 [5年前][4年前][3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |
    こんな記事もあります 「no-pty シェル scponly
    ルーター隠しに突っ張り式のシェルフを導入
    growpart を使って CentOS のパーティションを拡張する
    Qualys SSL Server Test の代わりに使える testssl.sh
    bash の変数と改行
    bat でコマンドを途中で改行するには
    vSphere にログインしようとしたら Exception in invoking authentication handler User password expired と言われた
    さくらのクラウド用の CLI ツールがリリースに
    IPA の暗号鍵管理ガイドライン
    Raspberry Pi に Nginx を入れて CGI が動くようにしてみる
    ShellExView でコンテキストメニューを整理
    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/4849
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン

    « :: »
    Copyright © 2004-2023 by CLES All Rights Reserved.