我想让客户端访问我的服务器，但我想将这些用户限制在其主目录中。我将绑定安装在我希望它们能够看到的任何文件中。

我创建了一个名为的用户bob，并将其添加到名为的新组中sftponly。他们有一个主目录/home/bob。我将其外壳更改/bin/false为停止SSH登录。这是他们的/etc/passwd台词：

bob:x:1001:1002::/home/bob:/bin/false

我还更改了/etc/ssh/sshd_config以包括以下内容：

Match Group sftponly
        ChrootDirectory /home/%u
        ForceCommand internal-sftp
        AllowTcpForwarding no

当我尝试以他们的身份登录时，这就是我看到的内容

$ sftp bob@server
bob@server's password: 
Write failed: Broken pipe
Couldn't read packet: Connection reset by peer

如果我注释掉该ChrootDirectory行，则可以使用SFTP，但他们可以自由控制服务器。我已经找到了ChrootDirectory /home可行的方法，但是仍然可以让他们访问任何主目录。我已经明确尝试过，ChrootDirectory /home/bob但这也不起作用。

我究竟做错了什么？如何限制bob到/home/bob/？

- - 编辑 - - -

好的，所以我看了一下就/var/log/auth.log看到了：

May  9 14:45:48 nj sshd[5074]: pam_unix(sshd:session): session opened for user bob by (uid=0)
May  9 14:45:48 nj sshd[5091]: fatal: bad ownership or modes for chroot directory component "/home/bob/"
May  9 14:45:48 nj sshd[5074]: pam_unix(sshd:session): session closed for user bob

我不完全确定发生了什么，但这表明用户目录出了点问题。这是ls -h /home输出：

drwxr-xr-x 26 oli      oli      4096 2012-01-19 17:19 oli
drwxr-xr-x  3 bob      bob      4096 2012-05-09 14:11 bob

所有这些痛苦归结于这里描述的几个安全问题。基本上，chroot目录必须由所有者拥有，root并且不能是任何组写访问权限。可爱。因此，您基本上需要将chroot变成一个保存单元，在其中可以拥有可编辑的内容。

sudo chown root /home/bob
sudo chmod go-w /home/bob
sudo mkdir /home/bob/writable
sudo chown bob:sftponly /home/bob/writable
sudo chmod ug+rwX /home/bob/writable

而且bam，您可以登录并写信/writable。

要chroot SFTP目录，您必须

1. 创建一个用户并强制root成为它的所有者

   cd /home
   mkdir john
   useradd -d /home/john -M -N -g users john
   sudo chown root:root /home/john
   sudo chmod 755 /home/john
   

2. 更改/ etc / ssh / sshd_config上的子系统位置：

   #Subsystem sftp /usr/lib/openssh/sftp-server
   Subsystem sftp internal-sftp
   

   并在文件末尾创建一个用户部分（如果放置在Subsystem行之后，ssh可能会重生）：

   Match User john
       ChrootDirectory /home/john
       ForceCommand internal-sftp
       AllowTCPForwarding no
       X11Forwarding no
   

我整天都在尝试在树莓派上获得网络共享。我想锁定用户，以使其无法浏览整个文件系统，没有ssh登录访问权限，并且我想拥有对网络共享的写访问权限。

这就是我的工作方式：

首先，我创建了一个用户：

sudo useradd netdrive

然后进行编辑/etc/passwd，并确保/bin/false对用户有用，因此该行是：

netdrive:x:1001:1004:Net Drive User,,,:/home/netdrive:/bin/false

我编辑/etc/ssh/sshd_config以包括：

Match User netdrive
  ChrootDirectory /home/netdrive
  ForceCommand internal-sftp
  AllowTcpForwarding no
  X11Forwarding no

更改的主目录所有者和权限：

sudo chown root:root /home/netdrive/
sudo chmod 755 /home/netdrive/

好了，毕竟我可以使用sshfs只读模式进行连接。我必须做的事情才能得到一个可写的文件夹：

sudo mkdir -p /home/netdrive/home/netdrive/
sudo chown netdrive:netdrive /home/netdrive/home/netdrive/
sudo chmod 755 /home/netdrive/home/netdrive/

就是这样，它无需任何进一步更改即可工作。请注意，我只可写权限的用户，不以集团为许多其他解决方案在线。我能够创建/删除/编辑/重命名文件/文件夹而没有问题。

由于chroot配置而sshfs与netdrive用户一起使用时，我只会看到存储在服务器/home/netdrive/目录中的东西，完美。重复的/home/netdrive/home/netdrive/目录结构使它对我而言具有干净的chroot ssh可写解决方案。

现在，我将在下面解释我遇到的问题：

您可能不应该执行以下段落：

在查看了上述解决方案（以及网络上许多其他甚至使用acl（访问控制列表）的解决方案）之后，我仍然无法使其工作，因为接下来要做的是：

下面没有不为我工作：

sudo mkdir /home/netdrive/writable/
sudo chown netdrive:netdrive /home/netdrive/writable/
sudo chmod 755 /home/netdrive/writable/

因为尽管拥有该文件夹并具有权限，但netdrive用户仍无法在该/home/netdrive/writable/目录中写入。然后我做了：sudo chmod 775 / home / netdrive / writable /现在，我可以创建一个目录并将其删除，但是我无法编辑它，因为它是在没有组可写权限的情况下创建的。根据我在网上看到的内容，人们使用acl它来修复它。但是我对此不满意，因为我必须安装它acl，然后配置安装点，等等。而且我也不知道为什么我需要组权限才能写入同一用户拥有的文件夹。

似乎由于某种原因，创建/home/netdrive/home/netdrive并授予了最后一个netdrive文件夹的所有权后，我能够使所有工作正常进行而不会弄乱组权限。

我关注了这篇文章，但是没有用。我进行了此更改后，它开始工作（在以上答案中建议）：

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

另外，还建立了根可拥有的主目录，该目录下有用户可写的子目录（如上所述）。

我想在此答案中添加的新功能是有用的，您可以简单地通过将％h指定为用户主目录来简化配置：

ChrootDirectory %h

我已经通过此链接发现了它。