Configurazione OpenWrt / LEDE per SFTP

2

Voglio usare il mio router (A TP-Link WDR3600) con LEDE 17.01.4 come server SFTP per archiviare i miei backup creati con borg. So già come eseguire i backup e configurare un'unità USB, ciò che non so è come configurare correttamente la parte del server SFTP per sicurezza e manutenibilità, come:

  • Devo creare un utente dedicato?
  • In tal caso, come limitare le autorizzazioni per l'utente di backup, in modo che non possa sbirciare nei file sensibili nel filesystem?

Sto fondamentalmente cercando le migliori pratiche per eseguire un server SFTP sano, ma usando l'ambiente limitato di un sistema incorporato. Se possibile, preferirei non usarlo opensshpoiché non è integrato nel sistema UCI.

La mia domanda potrebbe essere troppo ampia, per favore fatemi sapere se è così.

security  backup  sftp  openwrt 
LivingSilver94
fonte
Cordiali saluti, collegamento alla documentazione di backup Borg " BorgBackup (abbreviato: Borg) è un programma di backup deduplicato. Opzionalmente, supporta la compressione e la crittografia autenticata. " (Dopo averlo cercato ho pensato che avrei potuto anche pubblicarlo)
Xen2050
Ad essere sincero, ho scoperto che borgdeve essere installato nell'host remoto su; questo non è possibile con OpenWrt. Vado a qualcosa del genere restic.
LivingSilver94
Ricordo di aver visto un link sulla compilazione di Borg per OpenWRT, non sono sicuro che abbia avuto successo, ma ho pensato che fosse quello che stavi facendo. I documenti dicono che non deve essere installato sull'host remoto, ha solo bisogno di ssh, ma le prestazioni ne risentiranno se non è installato
Xen2050

Risposte:

1

Devo creare un utente dedicato?

Sì. Crea un utente senza privilegi denominato borg. Di seguito è riportato exceprt dalla documentazione di OpenWrt:

inserisci qui la descrizione dell'immagine

Quindi fai questo dal momento che vuoi usare il incluso dropbeare non openssh-server:

inserisci qui la descrizione dell'immagine

Il modo in cui funziona: qualsiasi account che può SSH può utilizzare SFTP e, una volta creato l'account sul sistema locale e, facoltativamente, impostare le chiavi, è possibile SFTP immediatamente.

In tal caso, come limitare le autorizzazioni per l'utente di backup, in modo che non possa sbirciare nei file sensibili nel filesystem?

Gli utenti non root non potranno fare molto al di fuori delle loro home directory, che non sono impostate con permessi aperti.

Per impedire ad altri utenti non root di modificare i borgfile di proprietà, utilizzare l borg' umaskopzione con un valore di 027- questo renderà i nuovi file inaccessibili a chiunque tranne rooto borg.

LawrenceC
fonte
Grazie per la tua risposta, la proverò prima di contrassegnarla come risposta accettata. Solo una cosa: OpenWrt ha un wiki aggiornato basato su quello di LEDE. La prossima volta si prega di utilizzare l'URL aggiornato;)
LivingSilver94
Purtroppo, il mio borgconto è in grado di vedere, per esempio, sia la mia chiave WiFi (che è memorizzata in testo normale in /etc/config/wireless) e il contenuto di un altro utente, dicono backupin /home/backup. Il chroot di OpenSSH è l'unica soluzione praticabile?
LivingSilver94
È necessario modificare le autorizzazioni su / etc / config / wireless e su qualsiasi altro account che utilizza chmod. Un demone SSH diverso non influirà su questo.
LawrenceC
@LawrenceC, perché hai postato stampe del wiki di openwrt? Copia di testo (per copia incolla) e forse un link per fare riferimento al post originale sarebbe stato meglio
pim
C'è un link ... non funziona @pim? Migliora i post con le modifiche suggerite, se lo desideri.
LawrenceC
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.