مدونة الرووت جريس

تحتاج في كثير من الأحيان إلى إعطاء بعض مستخدمي السيرفر الخاص بك صلاحيات لتحميل ورفع الملفات من السيرفر إلى جهازهم الشخصي والعكس، وبالتأكيد توجد خيارات عديدة لتزويد مستخدميك بهذة الصلاحية ومنها على سبيل المثال برتوكول FTP بنوعيه الآمن FTPS أو الاعتيادي الغير الأمن.

لكن، إستخدام FTP قد يعرض سيرفرك للإختراق، راجع هذة التدوينة: لتفادي إختراق موقعك، توقف عن إستخدام FTP.

ويوجد أيضاً خيار إعطاء من يريد الدخول إلى سيرفرك للتعامل مع الملفات صلاحيات عبر برتوكول SFTP الأمن المعتمد على بروتوكول SSH، ولكن، لكي تعطي مستخدميك صلاحيات لإستخدام SFTP يجب أن يكون لديهم حساب SSH فعال.

إذا، مالمشكلة بإعطاء المستخدم حساب SSH على السيرفر للتعامل مع الملفات عبر برتوكول SFTP؟

الإشكالية بأن المستخدم سوف يكون لديه حساب “شل Shell” على السيرفر بصلاحيات أكبر من مجرد التعامل مع الملفات، سوف يكون لديه عبر هذة الشل إمكانية التعامل مع اوامر السيرفر، مثل معرفة من على السيرفر بهذة اللحظة، معلومات السيرفر، معلومات المستخدمين، إمكانية إستخدام “المترجمات Compilers” في حالة وجودها على سيرفرك لعمل Compile لبعض البرامج الخبيثة لإستغلال ثغرات السيرفر الخاص بك وغيرها.

مالحل؟

الحل بكل بساطة أنك تجبر المستخدم على إستخدم شل Shell مخصص فقط لنقل الملفات عبر بروتوكول SFTP، بدلاً عن إعطائه كامل الصلاحيات التي يوفرها بروتوكول SSH.

سوف أنشى حساب بإسم jerais وسوف يكون الشل Shell الخاص به فقط SFTP لنقل الملفات.

لينكس ديبيان Debian:

useradd -m -s /usr/lib/sftp-server jerais

ريدهات\سنتوس\فيدورا RedHat/CentOs/Fedora:

useradd -m -s /usr/libexec/openssh/sftp-server jerais

تم!.

بإمكانك الآن محاولة الدخول على السيرفر بالمستخدم jerais عبر برتوكول SSH وسوف تجد أنه لايزوده بأي شل Shell بعكس عندما تتصل بالسيرفر عبر برتوكول SFTP لنقل الملفات.

للمعلومية:

توجد شل Shell جيدة خارجية مخصصة فقط لنقل الملفات عبر برتوكول SFTP و مزامنتها عبر Rsync، لكن قد تواجه بعض المشاكل بها عند إتصالك عبر برتوكول SFTP. إسم الشل RSSH، ويمكتك الحصول عليه إما من مستودع التوزيعة الخاصة بك أو عبر موقعهم: rssh – restricted shell for scp/sftp