Форум Сайтостроение Администрирование серверов

Ограничение доступа по SFTP

12
T7
На сайте с 12.01.2005
Offline
206
tolik777
5354

Решил на новом серваке отказаться от FTP и Apache. Вместо этого планируется использовать SFTP и NGINX+PHP-FPM.

В общем то все настроил, и встала задача создать одного пользователя, чтобы дать ему доступ к папке сайтов по SFTP и запретить доступ к консоли по SSH.

Создал пользователя user2 с /bin/false. Назначил ему группу www-data. Сгенерировал ключи.

NGINX также работает от www-data

Конфиг sshd_config:


# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 7755
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 40
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
AllowUsers user2
ClientAliveInterval 600

Match group www-data
  ChrootDirectory /var/www
  ForceCommand internal-sftp
  AllowTcpForwarding no

На папку /var/www назначил root:root и права 0700. После этого стал ругаться NGINX (Forbidden) это раз.

А во вторых по SFTP пользователь заходит, но клиент выдает такую ошибку:

Permission denied.
Error code: 3
Error message from server: Permission denied
Request code: 11

Затем отображается пустая корневая директория. Хотя там есть 2 папки. Создать директории не дает.

При этом в auth.log (см. прикрепленный файлик sftp.png)

Руководствовался мануалами с хабра: 1 и др. предоставленных гуглом по кл. словам sftp+chroot

Как все настроить, чтобы ограничить SFTP пользователя chroot и чтобы не конфликтовало с NGINX?

png sftp.png
servercraft
На сайте с 03.07.2013
Offline
8
servercraft
#1
tolik777:

Создал пользователя user2 с /bin/false. Назначил ему группу www-data.
На папку /var/www назначил root:root и права 0700. После этого стал ругаться NGINX (Forbidden) это раз.
А во вторых по SFTP пользователь заходит, но клиент выдает такую ошибку:
...
Затем отображается пустая корневая директория. Хотя там есть 2 папки. Создать директории не дает.

права 700 - это все для владельца (root), для остальных (включая пользователя user2) - ничего (включая листинг директорий).

http://ru.wikipedia.org/wiki/Chmod

http://serverсraft.com.ua (http://servercraft.com.ua) настраиваем сервера, удаляем вирусы с сайтов
T7
На сайте с 12.01.2005
Offline
206
tolik777
#2

Это то понятно.

Но если 0700 root:root - не пускает NGINX.

Если поставить другие права или для www-data, то не работает chroot.

servercraft
На сайте с 03.07.2013
Offline
8
servercraft
#3

chown -R root:www-data /var/www && chmod 775 -R root:www-data /var/www

T7
На сайте с 12.01.2005
Offline
206
tolik777
#4

Такой вариант я тоже пробовал. Тогда вообще по SSH не пускает

Демон sshd тогда так ругается:

fatal: bad ownership or modes for chroot directory

servercraft
На сайте с 03.07.2013
Offline
8
servercraft
#5
tolik777:

Демон sshd тогда так ругается:
fatal: bad ownership or modes for chroot directory

либо StrictModes no

либо chroot на уровень выше

T7
На сайте с 12.01.2005
Offline
206
tolik777
#6

С подпапками тоже игрался, не помогло.

Сейчас с StrictModes поэксперементирую

Спасибо

---------- Добавлено 21.10.2013 в 16:00 ----------

StrictModes no - ничего не дало.

Попробовал так еще:

ChrootDirectory /var

Работает и SFTP и NGINX, но пользователь тогда имеет доступ ко всей /var

Facebook вносит изменения в Половина сервисов Google была В обновлённой версии Facebook
servercraft
На сайте с 03.07.2013
Offline
8
servercraft
#7
tolik777:

StrictModes no - ничего не дало.

sshd перезапускали?

Попробовал так еще:
ChrootDirectory /var
Работает и SFTP и NGINX, но пользователь тогда имеет доступ ко всей /var

имелось ввиду сделать ChrootDirectory /var/www, доступной только root, а уже в /var/www создать папку, к которой пользователь будет иметь доступ. (то есть изменить documentroot для вебсервера).

T7
На сайте с 12.01.2005
Offline
206
tolik777
#8
sshd перезапускали?

Да конечно.

Так делал: /var/www/sites/, но nginx выпендривался forbidden. Сейчас еще поэкспериментирую с вложенными папками в chroot окружении

Mik Foxi
На сайте с 02.03.2011
Offline
1165
Mik Foxi
#9

Зачем все это, если у вас всего один юзер?

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ Форум на замену серчу: https://foxi.biz/
servercraft
На сайте с 03.07.2013
Offline
8
servercraft
#10
tolik777:

Так делал: /var/www/sites/, но nginx выпендривался forbidden.

права на /var/www должны в таком случае стоять не 700, а 755.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий