Brak dostępu do SFTP przez administratora

Zombie
vps, zarządzanie
Lethal
Lethal

Witam, zblokowałem konto root oraz zmieniłem port vps. Wcześniej stworzyłem konto administratora z dostępem do sudo su. Tu wszystko śmiga ale problem zaczyna się kiedy, chce używać Sftp np przez WinSCP i próbuje wgrać plik. Wyskakuje błąd:

Brak dostępu. Kod błędu: 3 Komunikat błędu serwera: Permission denied

Grzebałem po necie ale nie mogę znaleźć rozwiązania. Z góry dziękuję za pomoc 🙂

Timo
Timo Moderator forum.lvlup.pro

Nie widzę sensu blokowania konta root - przecież to jest właśnie to konto, za pomocą którego powinieneś móc wykorzystywać możliwości administratora systemu. Użytkownik z sudo zamiast roota to złudzenie bezpieczeństwa. Jeśli chcesz je zabezpieczyć, polecam silne hasło i logowanie kluczem SSH oraz pakiet fail2ban.

W progamach do SFTP (typu WinSCP, FileZilla i zapewne też innych) nie ma możliwości użycia sudo. Także możesz modyfikować tylko te foldery, do których konkretnie ty bądź grupa twojego użytkownika ma dostęp. Zazwyczaj jest to po prostu /home/użytkownik.

Moja rekomendacja: "odblokowanie" roota i używanie go do operacji, do których nie miałbyś dostępu za pomocą standardowego konta bez sudo.

Lethal
Lethal

Okej czaje.

Także możesz modyfikować tylko te foldery, do których konkretnie ty bądź grupa twojego użytkownika ma dostęp.

Gdyby tak dać administratorowi dostęp do wszystkiego co ma root? Ma to sens?

logowanie kluczem SSH

Tego się trochę boje, gdybym zgubił taki klucz to już pies pogrzebany prawda?

KrEdEnS
KrEdEnS Moderator Freebies

Lethal:

Tego się trochę boje, gdybym zgubił taki klucz to już pies pogrzebany prawda?

Nie, zawsze możesz zalogować się przez proxmoxa po haśle :)

Timo
Timo Moderator forum.lvlup.pro

Lethal:

Gdyby tak dać administratorowi dostęp do wszystkiego co ma root? Ma to sens? Nie, to by było głupie. Czemu się tak boisz tego roota? Przecież i tak modyfikujesz katalogi systemowe z innego użytkownika.

Lethal:

Tego się trochę boje, gdybym zgubił taki klucz to już pies pogrzebany prawda? Równie dobrze możesz zapomnieć hasła ;) Poza tym tak jak pisał @KrEdEnS - możesz ustawić SSH tak, aby logowanie hasłem nadal mogło się odbyć, na przykład tylko z wirtualnej konsoli (typu Proxmox w przypadku lvlup).

KrEdEnS
KrEdEnS Moderator Freebies

Timo:

(typu Proxmox w przypadku lvlup).

Jeżeli twój serwer nie stoi na lvlup możesz także ustawić bardzo silne hasło i sobie je wydrukować :kappa: w przypadku zgubienia klucza jesteś w stanie się dostać.

EDIT: @Lethal https://lvlup.rok.ovh/t/klucze-ssh-podstawowy-poradnik/6745

Lethal
Lethal

Racja. Przekonaliście mnie 😛 Jeszcze jedno szybkie pytanko, posiłkowałem się jakimś tematem wczesniej na innym forum i żeby nadać ,,pozwolenie" dla administratora do grzebania w sftp zmieniałem w sshd_config linijkę z "Subsystem" jak mogę cofnąć ją do poprzedniego stanu, tego przed moją zmianą? Wolę już to zostawić i faktycznie odblokować root i ogarnąć klucz.

Timo
Timo Moderator forum.lvlup.pro

Jak możesz cofnąć? No zaloguj się na sudo i zmień :thinking: Jeśli pytasz jak ona wygląda, to w moim przypadku tak:

# override default of no subsystems
Subsystem sftp  /usr/lib/openssh/sftp-server

Wątpię żeby wyglądała inaczej u innych, ale więcej dowiesz się o niej w dokumentacji openssh :thinking:

Lethal
Lethal

Okej, bardzo wam dziękuję. Pozdrawiam! 😃

system
system

Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.