パイプが単一のディレクトリにのみファイルを配置できるように、デバイスにciユーザーを作成したいと思います。
次のコマンドを使用してユーザーを作成しました。
useradd -M -N -r -s /bin/false devops
chown -R devops /var/file-drop/
認証には次の行があります。sshd_config
TrustedUserCAKeys /etc/ssh/my-org.root.pub
AuthorizedPrincipalsFile /etc/ssh/authorized_principals/%u
そして、authorized_principalsディレクトリにdevops
contentというファイルを追加しました。devops
私の質問は:0dayの脆弱性などを除いて、上記の設定が実際にそのサブジェクトアクセス権を持つユーザーだけがファイルを配置できるようにするという目標を達成しますか/var/file-drop
?それとも、これは誤って別の攻撃面が開くのでしょうか?
答え1
chrootを使用してユーザーをディレクトリに「ロック」できます。
Match User devops
ChrootDirectory /var/file-drop/