je bezpečné povolit ssh přístup userům
Napsal: 19 dub 2024, 14:59
/etc/ssh/sshd_config obsahuje AllowUsers admin, čimž je znemožněno se připojit na ssh jiným userům. Skýtá povolení přístupu obyčejným userům nějaké bezpečnostní slabiny ? Byl takto QTS navržen, že když se uživatel přihlásí přes ssh, jako alternativní legitimní metoda přístupu k NAQ a zda nemůže přes ssh provést něco zlého, co případně ohrozí ostatní uživatele nebo dokáže NAS ovládat víc než jen v mantinelech svých adresářů (spustit cyklus a zahltit paměť a ucpat konektivtu se zabránit nedá) ....
Nebo je ssh na QNAP NASech považováno za nástroj jen pro adminy... a pro uživatele tedy by měl zůstat nepřístupný
Docela by se mi hodil SFTP submodul (pro uživatele však převráceně než je v nastavení Checkbox povolit SFTP) - v tom smyslu, že bych uživatelům povolil jen samotné SFTP. (ano, taky to jde řešit ruční editací sshd_config)
(problematika s sebou nese přidružené problémy, jako nebezpečí vystavení do internetu, důraznější zabezpečení admin účtu - ideálně zákazem textových hesel) - tomu se věnovat nechci
Nastavení Ovládací panely- Služby / telnet/ssh toho moc nenabízí.
Co naopak nikde nevidím, je možnost omezit přihlášení pouze klíčem. (Ano, editace souboru a volby MatchUser PermitRootLogin ,PasswordAuthentication, AuthenticationMedhods jde vždy---)
Nebo je ssh na QNAP NASech považováno za nástroj jen pro adminy... a pro uživatele tedy by měl zůstat nepřístupný
Docela by se mi hodil SFTP submodul (pro uživatele však převráceně než je v nastavení Checkbox povolit SFTP) - v tom smyslu, že bych uživatelům povolil jen samotné SFTP. (ano, taky to jde řešit ruční editací sshd_config)
(problematika s sebou nese přidružené problémy, jako nebezpečí vystavení do internetu, důraznější zabezpečení admin účtu - ideálně zákazem textových hesel) - tomu se věnovat nechci
Nastavení Ovládací panely- Služby / telnet/ssh toho moc nenabízí.
Co naopak nikde nevidím, je možnost omezit přihlášení pouze klíčem. (Ano, editace souboru a volby MatchUser PermitRootLogin ,PasswordAuthentication, AuthenticationMedhods jde vždy---)