SSH, авторизованные ключи и разрешение на запись в группу
Я управляю одной машиной, на которой размещен веб-сервер OTRS. У него есть обычный пользователь 'otrs', который выполняет несколько периодических задач и сохраняет (в доме 'otrs') необходимые файлы для работы службы. И еще есть пользователь Apache, который запускает веб-сервер, который заставляет приложение работать. Пользователь 'otrs' находится в группе 'apache', поэтому я могу дать права на запись для 'apache' в некоторых папках.
Чтобы добавить некоторые функциональные возможности, мне нужно предоставить права записи "apache" в домашний каталог "otrs". Но если я сделаю это, ssh не подключится с авторизованными ключами, потому что это угроза безопасности. Я пытался использовать ACL для предоставления прав доступа "apache" в домене "otrs", но не в home/.ssh, но это не сработало.
Так что я могу сделать? Я думал о том, чтобы удалить пользователя "otrs" и сделать все как "apache", или запустить демон веб-сервера как пользователь "otrs", но я не знаю, как сделать что-либо из этого, или если они могут нести некоторые проблемы...
Есть ли у вас вариант, о котором я не подумал?
2 ответа
Проблема в том, что даже без разрешения на запись .ssh, кто-то с разрешениями на запись в домашний каталог может переместить или отменить связь .ssh, а затем представить свои .ssh с авторизованными ключами для входа в систему как otrs.
Одним из решений было бы ограничение разрешений на запись для некоторого подкаталога ~otrs, Еще один, чтобы дать ~otrs разрешения 1775 (т-бит будет препятствовать другим пользователям отсоединения или переименования .ssh), затем установите StrictModes в нет в /etc/ssh/sshd_config, Это может открыть другие учетные записи (с неправильными разрешениями) для атак, но я предполагаю, что это выделенный компьютер, так что это не должно быть проблемой.
Учетная запись otrs - это, в основном, учетная запись службы или системы. На мой взгляд, лучший способ решить эту проблему - не использовать учетную запись для доступа через SSH. Создайте учетную запись для себя, "juanma" или около того, и настройте sudo suaccess для учетной записи "otrs". Теперь вы можете изменить пользователя на учетную запись otrs, если это необходимо.