Re: RES: RES: SFTP sem shell, é possível?
On Tue, Oct 21, 2003 at 08:21:13AM -0300, Jeronimo - Debian wrote:
> Bom dia a todos
>
> Perdoem-me se não me expressei corretamente. Vou tentar explicar mais
> detalhadamente:
>
> No meu servidor Debian tem o apache instalado, com vários domínios
> virtuais. A pasta com os arquivos de cada domínio ficam dentro do home
> do usuário que tem o mesmo nome do domínio, tipo:
>
> www.minhacasa.minhaemrpesa.com/inex.html
> home: /home/minhacasa/public_html/index.html
> www.meucarro.minhaempresa.com/index.html
> home: /home/meucarro/public_html/index.html
>
> A permissão de cada home fica: rwxr-xr-x para que o usuário do apache
> possa "chegar" até a pasta public_html de cada domínio.
>
> Eu não quis implementar o ftp para a atualização dos sites para a senha
> não trafegar em texto plano. Usei o ssh, mas para o usuário usar o ssh
> ele tem que ter Shell. Se ele tiver Shell, ele vai poder entrar, devido
> as permissões, no public_html de outro usuário, e copiar um arquivo php
> que tenha a senha de um banco, por exemplo. Resolvi implementar o sftp,
no caso deste arquivo, suas permissões podem ser restritivas, de modo
que "outros" não possam copiá-lo; 0600 por exemplo, resolveria o
problema: apenas o dono teria permissão de leitura/escrita
de qq modo, este tipo de configuração é sempre perigosa; o melhor é
projetar o sistema para que não se dependa de senhas "armazenadas" em
arquivos, já que um problema de segurança no php ou apache poderia expor
mais dados do que necessário.
> mas o sftp que vem junto do openssh, pelo menos nos meus testes, exigiu
> Shell para o usuário, e voltei a estaca 0.
veja o rssh - restricted secure shell
--
Mario O.de Menezes, Ph.D. "Many are the plans in a man's heart, but
IPEN-CNEN/SP is the Lord's purpose that prevails"
http://www.ipen.br/~mario Prov. 19.21
Reply to: