Безопасно ли давать клиентам дотсуп к sFTP

Question

[FedLab]

Здравствуйте. В системном администрировании я не силен (прошу не пинать сильно).

Есть сервер (centos 6.5 + vesta control panel — штатный ftp-server).
Для каждого клиента делается отдельный юзер, в нем и соответственно сайты их. Доступ (chrootdirectory) ограничен для этих юзеров директорией /home или папкой юзера — %h (в ssh_config).

Умно/безопасно ли давать клиенту доступ к sftp, соответственно и доступ к ssh получается?
Или лучше вернуть фтп-клиент и давать доступ к нему только? Им нужен доступ только к файлам (возможно нужен будет).

Answer 1

[Nastradamus]

Учтите, что из этих chroot есть множество способов выйти, если давать shell таким юзерам.
Если в качестве шелла /bin/false, то всё должно быть хорошо.

Comments

[Николай Турнавиотов]

да, это достаточно важный момент

Answer 2

[Николай Турнавиотов]

вон вам пост в тему, например habrahabr.ru/post/89473/

Comments

[FedLab]

Спасибо буду изучать.

Answer 3

[kenny_opennix]

Не безопасно, вообще давать доступ к консоли, непонятным людям чревато, пример из жизни, пришел в один из провайдеров большой тройки(точнее дочка)., оракл на генту админю никого не трогаю( как говорится не шалю починяю примус), в один прекрасный день, заметил что rman перестал работать, начинаю проверять, и о боже, взломан аккаунт юзера oracle, мало того от него еще скомпилили и запустили софтину, начинаю допытываться у тех кто ставил, оказалось что, пользователю был дан доступ по ssh+ пароль был не секурный.
По мне чем меньше людей имеют доступ к консоли тем спокойней.