Налаштування OpenWrt / LEDE для SFTP

2

Я хочу використовувати свій маршрутизатор (TP-Link WDR3600) під управлінням LEDE 17.01.4 як сервер SFTP, щоб зберігати свої резервні копії, створені за допомогою borg. Я вже знаю, як виконувати резервні копії та налаштувати USB-накопичувач, що я не знаю, як правильно встановити частину сервера SFTP для безпеки та ремонту, наприклад:

  • Чи потрібно створити виділеного користувача?
  • Якщо так, то як обмежити дозволи для цього резервного користувача, щоб він не міг зазирнути у чутливі файли у файловій системі?

Я в основному шукаю найкращі практики для запуску здорового SFTP-сервера, але з використанням обмеженого середовища вбудованої системи. Якщо можливо, я вважаю за краще не використовувати, opensshоскільки він не інтегрований в систему UCI.

Моє запитання може бути занадто широким, будь ласка, повідомте мене, якщо це так.

security  backup  sftp  openwrt 
LivingSilver94
джерело
FYI, посилання на документацію до резервної копії Borg " BorgBackup (коротко: Borg) - це програма дедупликації резервного копіювання. За бажанням вона підтримує стиснення та автентифіковане шифрування. " (Після пошуку думки я міг би також опублікувати її)
Xen2050
Якщо чесно, я виявив, що borgвін повинен бути встановлений у віддаленому хості, щоб це неможливо з OpenWrt. Я до чогось подібного restic.
LivingSilver94
Я пам’ятаю, що бачив посилання про компіляцію Borg для OpenWRT, я не впевнений, чи вдалося це зробити, але я припустив, що це ви робили. Документи кажуть, що його не потрібно встановлювати на віддаленому хості, просто потрібен ssh, але продуктивність буде
погіршуватися,

Відповіді:

1

Чи потрібно створити виділеного користувача?

Так. Створіть непривілейованого користувача на ім’я borg. Нижче наведено витяг із документації на OpenWrt:

введіть тут опис зображення

Потім зробіть це, оскільки ви хочете використовувати включене, dropbearа не openssh-server:

введіть тут опис зображення

Як це працює: будь-який обліковий запис, який може SSH, може використовувати SFTP, і коли ви створите обліковий запис у локальній системі та необов'язково ключі налаштування, ви можете SFTP негайно.

Якщо так, то як обмежити дозволи для цього резервного користувача, щоб він не міг зазирнути у чутливі файли у файловій системі?

Некористувальні користувачі не зможуть робити багато за межами своїх домашніх каталогів, що не встановлено з відкритими дозволами.

Для того, щоб заборонити іншим користувачам Некореневі від зміни borg-ву файлів, використовуйте borg«s umaskпараметр із значенням 027- це буде робити якісь - або нові файли , недоступні нікому , крім rootабо borg.

LawrenceC
джерело
Дякую за вашу відповідь, я перевірю її, перш ніж позначити її як прийняту відповідь. Тільки про те: OpenWrt має оновлений вікі на основі LEDE. Наступного разу скористайтеся оновленою URL-адресою;)
LivingSilver94
На жаль, мій borgобліковий запис може бачити, наприклад, і мій ключ WiFi (який зберігається у простому тексті в /etc/config/wireless), і вміст іншого користувача, скажімо backupв /home/backup. Є chroot OpenSSH єдиним життєздатним рішенням?
LivingSilver94
Потрібно змінити дозволи на / etc / config / wireless та будь-який інший обліковий запис chmod. Інший демон SSH на це не вплине.
LawrenceC
@LawrenceC, чому ти опублікував друковані екрани вікі openwrt? Текстова копія (для пасти для копіювання) і, можливо, посилання на посилання на орніальний пост було б краще
pim
Там є посилання ... це не працює @pim? Удосконаліть публікацію за допомогою запропонованих редагувань.
LawrenceC
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.