Форум Сайтостроение Администрирование серверов

SFTP chroot в Ubuntu 12.04

DiAksID
На сайте с 02.08.2008
Offline
236
DiAksID
1066

хочу в Ubuntu 12.04 ограничить доступ пользователям по SFTP только их домашней директорией

делаю вроде бы всё по мануалам:

1. создаю группу sftp, загоняю в неё всех нужных юзеров

2. в /etc/ssh/sshd_config вношу изменения:


...
#Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM yes

Subsystem sftp internal-sftp
Match Group sftp
    ChrootDirectory %h
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand internal-sftp

3. у юзеров успешно слетает доступ по SSH вообще :madd:

ЧЯДНТ ?

show must go on !!!...
Boris A Dolgov
На сайте с 04.07.2007
Offline
215
Boris A Dolgov
#1

Вы делаете им принудительный chroot, но в домашней папке у него нет необходимой инфраструктуры (библиотек и бинарников) для нормальной работы ssh в chroot.

Цель Ваших действий сомнительна -- все равно по sftp он не сможет прочитать/записать ничего лишнего.

С уважением, Борис Долгов. Администрирование, дешевые лицензии ISPsystem, Parallels, cPanel, DirectAdmin, скины, SSL - ISPlicense.ru (http://www.isplicense.ru/?from=4926)
Дать доступ юзеру к после ребута пропал доступ Права папок и файлов
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#2

Поставьте rssh и не мучайтесь

Не стоит плодить сущности без необходимости
DiAksID
На сайте с 02.08.2008
Offline
236
DiAksID
#3
Boris A Dolgov:
Вы делаете им принудительный chroot, но в домашней папке у него нет необходимой инфраструктуры (библиотек и бинарников) для нормальной работы ssh в chroot...

не в одном бодром мнуале говорилось, что достаточно нескольких директив в sshd_config и будет щастье. какие-то бинарники в домашках валяются, во всяком случае при дефолтном конфиге и ssh и sftp у юзера есть, но как бы "от корня" (с доступами всё норм)..

Boris A Dolgov:
... Цель Ваших действий сомнительна -- все равно по sftp он не сможет прочитать/записать ничего лишнего.

тут уже почти спортивный интерес: что, блин, я делаю не так, если у других это работает...

Andreyka:
Поставьте rssh и не мучайтесь

сейчас прогуглю, хотя для VPS-ки изначально ставилась задача типа "ничего лишнего по максимуму" (иначе бы с самого начала ftp вклеил ;) )...

Ограничение доступа по SFTP Проблема с ssh и Дать доступ юзеру к
Boris A Dolgov
На сайте с 04.07.2007
Offline
215
Boris A Dolgov
#4
DiAksID:
не в одном бодром мнуале говорилось, что достаточно нескольких директив в sshd_config и будет щастье. какие-то бинарники в домашках валяются, во всяком случае при дефолтном конфиге и ssh и sftp у юзера есть, но как бы "от корня" (с доступами всё норм)..

Насколько я понимаю, sftp должен работать, а вот обычный ssh при этом отвалится

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий