파이프가 단일 디렉터리에만 파일을 넣을 수 있도록 장치에 ci 사용자를 만들고 싶습니다.
다음 명령을 사용하여 사용자를 만들었습니다.
useradd -M -N -r -s /bin/false devops
chown -R devops /var/file-drop/
인증을 위해 다음 줄이 있습니다.sshd_config
TrustedUserCAKeys /etc/ssh/my-org.root.pub
AuthorizedPrincipalsFile /etc/ssh/authorized_principals/%u
그리고 authorized_principals 디렉토리에 devopscontent라는 파일을 추가했습니다.devops
내 질문은: 0day 취약점 등을 제외하고 위 설정이 실제로 해당 주체 액세스 권한이 있는 사용자만 파일을 넣을 수 있도록 허용하려는 목표를 달성합니까 /var/file-drop? 아니면 이렇게 하면 실수로 다른 공격 표면이 열리는 걸까요?
답변1
chroot를 사용하여 사용자를 디렉토리에 "잠글" 수 있습니다
Match User devops
ChrootDirectory /var/file-drop/