ユーザーがscpを介して単一のディレクトリにのみファイルをアップロードすることを制限できますか?

ユーザーがscpを介して単一のディレクトリにのみファイルをアップロードすることを制限できますか?

パイプが単一のディレクトリにのみファイルを配置できるように、デバイスにciユーザーを作成したいと思います。

次のコマンドを使用してユーザーを作成しました。

useradd -M -N -r -s /bin/false devops
chown -R devops /var/file-drop/

認証には次の行があります。sshd_config

TrustedUserCAKeys /etc/ssh/my-org.root.pub
AuthorizedPrincipalsFile /etc/ssh/authorized_principals/%u

そして、authorized_principalsディレクトリにdevopscontentというファイルを追加しました。devops

私の質問は:0dayの脆弱性などを除いて、上記の設定が実際にそのサブジェクトアクセス権を持つユーザーだけがファイルを配置できるようにするという目標を達成しますか/var/file-drop?それとも、これは誤って別の攻撃面が開くのでしょうか?

答え1

chrootを使用してユーザーをディレクトリに「ロック」できます。

Match User devops
ChrootDirectory /var/file-drop/

関連情報