Как добавить дополнительного пользователя SSH с нестандартным домашним каталогом -на машину Centos 7 AWS?
ccrypt, похоже, использует AES в режиме CFB (Cipher Feedback ). Хотя это обеспечивает конфиденциальность, но не обеспечивает целостность, поэтому кто-то может подделать данные, и в результате вы можете расшифровать то, чего не ожидали. Хотя это можно обнаружить с помощью открытого текста, это может быть не так с чем-то вроде PDF, где измененные данные могут быть скрыты.
Если вы используете шифрование диска, это также не обеспечивает защиту целостности, так как используется шифрование с проверкой подлинности AEAD (с режимом дополнительных данных )или код аутентификации сообщения MAC ()для обнаружения фальсификация занимает дополнительное место, и многие люди были бы недовольны, если бы потеряли значительную часть дискового пространства из-за защиты целостности. Вместо этого используется режим блочного шифра, который полностью искажает данные, чтобы пользователь таким образом узнал о подделке.
Тем не менее, если вы думаете о том, следует ли вам использовать шифрование диска, вы определенно должны это сделать, поскольку оно защищает не только ваши данные, но также все имена файлов и метаданные, которые часто могут привести к утечке информации о ваших данных. открытый текст.
Если вы просто хотите зашифровать небольшое количество файлов, для шифрования данных в системах Linux обычно используется программа GnuPG. Хотя это не самая современная криптографическая система,если вы просто выполняете шифрование с паролем, все должно быть в порядке. Он обеспечивает проверку целостности с помощью кода обнаружения модификации, поэтому вы можете определить, не подделал ли кто-то данные.
Типичный способ симметричного шифрования с помощью GnuPG выглядит так:
gpg --cipher-algo AES256 -o FILE.gpg -c FILE
Укажите нестандартный домашний каталог -при создании пользователя с помощью команды useradd:
Создайте базовый домашний каталог
sudo mkdir /test
Если SELinux включен и работает в принудительном режиме, вы должны переименовать файлы с правильным контекстом SELinux:
sudo semanage fcontext -a -t user_home_dir_t "/test(/.*)?"
Заставить SELinux переименовывать файлы на лету
sudo restorecon -Rv /test
Затем добавьте пользователей с собственными домашними каталогами
sudo useradd -d /test/user1 user1
sudo useradd -d /test/user2 user2
Этим пользователям будут установлены правильные разрешения для их домашних каталогов. Более подробную информацию о контекстах SELinux и перемаркировке можно найти здесь
.Хорошо, я хочу убедиться, что вы выполнили описанное выше. Это решение хорошо протестировано на Centos 7, но не на экземпляре AWS.
On your local server :
#Get the pub key
cat ~/.ssh/id_rsa.pub
На удаленном сервере:
mkdir -p /test/newuser/.ssh/
chmod 700 /test/newuser/.ssh/
touch /test/newuser/.ssh/authorized_keys
chmod 600 /test/newuser/.ssh/authorized_keys
echo << EOF > /test/newuser/.ssh/authorized_keys
# ADD here your ~/.ssh/id_rsa.pub already generated
EOF
usermod -d /test/newuser test
chown root:root /test
chown -R test:test /test/*
#Edit/etc/ssh/sshd_config to add the above :
Match User test
AuthorizedKeysFile /test/newuser/.ssh/authorized_keys
Также не могли бы вы скопировать содержимое конфигурации sshd _на удаленный сервер:
grep -v '^#' /etc/ssh/sshd_config | sed '/^$/d'