我只有sftp用户设置:
Match Group sftponly
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
我在secure.log中收到以下消息:
fatal: bad ownership or modes for chroot directory
使用match关键字可以带来一些安全性...目录必须由root拥有,并且目录必须为chmod 755(drwxr-xr-x)。因此,由于ssh的安全性,如果该文件夹只能写给root用户,并且对于组设置为不可写,那么就不可能对文件夹具有写权限。
有人知道周围有什么好工作吗?
Answers:
我在服务器上有相同的设置。我们使用SSHD的相同配置。用户的主目录由root拥有,并且其中包含文件夹documents,public_html并由相应的用户拥有。然后,用户使用SFTP登录并写入这些文件夹(而不是直接写入主目录)。由于不允许使用SSH,因此可以正常使用。您可以在/ etc / skel /中调整将为新用户创建的目录(至少在openSUSE中,我对其他发行版不太熟悉)。
另一种可能性是ACL(openSUSE文档)-它可以为各自用户的主目录添加写许可权。
packet_write_wait: Connection to 10.0.0.42 port 22: Broken pipe
我们最近发现了一种解决方法,如下所示:
...
Subsystem sftp internal-sftp
Match Group sftponly
ChrootDirectory /home
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
root@server:~ # chown root:root /home
root@server:~ # chmod 111 /home
root@server:~ # chmod 700 /home/*
现在/home满足了ChrootDirectory受限用户的要求,并且不能被受限用户列出,但是sftponly如果用户的主目录照常设置(/home/$LOGNAME),则用户将无法登录:在chroot环境下,其主目录不在内部,/home而在其正下方根(/)。
将受限用户的房屋设置为它们在chroot下的显示方式:
root@server:~ # usermod -d /username username
如果任何不受限制的用户或某些管理脚本都使用了bash的波浪号扩展,就像~username它将扩展到/username现在一样,那不是什么意思。
创建sftponly用户的管理员还必须记住使用非默认主目录。用脚本可以解决。管理员必须记住要使用的内容。
这是我们最终使用的上一个替代方案:
root@server:~ # ln -s . /home/home
那就是在/home它自己的目录名内创建一个符号链接。现在,在chroot下/home/username指向的目录与没有chroot的目录相同。对于使用sftp登录的受限用户,它将显示为/username。该目录对其所有者(受限用户)可写。受限用户无法按名称列出其任何兄弟姐妹的父目录或主目录。
关于sftponly用户的唯一特别之处在于其对sftponly组的参与。我们发现比解决方法1更容易处理。
/home/home/home层次结构并遵循符号链接的脚本。您应该创建以下目录结构:
/ home /用户
/ home / user / home / user <-用户将有权访问的真实目录
可选地:
/home/user/.ssh/authorized_keys <-如果要使用公共密钥进行身份验证
chroot用户拥有自己的版ChrootDirectory?他们可以访问吗?