SFTP com chroot em uma pasta que não pode ter privilégios de root

3

Eu tenho problemas com a configuração de um SFTP com o chroot na pasta "public". Cada cliente no meu servidor tem contas de 3 para X.

Estas três contas são:

  • USER - conta do sistema somente para uso interno, requer acesso total ao diretório inicial do cliente
  • USER-www - também conta do sistema apenas para uso interno, cada aplicativo do cliente funciona com esse uid e requer acesso total a subpastas de serviço no diretório inicial do USER
  • USER-ftp - conta apenas para acesso sftp, com chroot id ~ / apps

O problema é que ~ / apps não tem root: privilégios de root e não podem ter. Também quero ter a capacidade de criar subcontas para USER-ftp, que têm chroot em ~ / apps / APP_NAME / app e acesso total nesse diretório (portanto, ~ / apps / APP_NAME / pasta do aplicativo não devem ter privilégios root: root) .

Então, aqui estão minhas perguntas:

  1. O SSH permite, de alguma forma, fazer o chroot do usuário em dir que não tem privilégios root: root?
  2. Como configurar o dir de chroot USER-ftp em ~ / apps e todas as subcontas de ftp em ~ / apps / APP_NAME / app? Mencione que parte do seu nome de usuário também será o nome da pasta à qual terá acesso (por exemplo, o usuário USER.my_first_app-ftp terá o chroot em ~ / apps / my_first_app / app).
  3. Além disso, como deixar o USER-ftp logar como o USUÁRIO, sem '-ftp' e, por exemplo. USER.my_fist_app-ftp como o USER.my_fist_app?
por Galmi 15.02.2012 / 20:20

1 resposta

0

Não sei se entendi suas perguntas, mas tentarei responder.

1) Você pode mudar a localização dos usuários Home foler em / etc / passwd. Em seguida, crie grupos para os usuários que precisam ler / gravar nessas pastas e

chown -R user:group /the/new/homefolder

1a) O problema com o sftp é que os usuários ainda poderão ler outros dirs e arquivos no sistema, mas não escrever ou criar.

2) Mais uma vez você poderia fazer como mencionado em 1,

3) Eu não entendo essa parte - você quer dizer trocar de usuário quando logado? Normalmente você pode fazer isso por:

su username

e digite a senha do usuário.

    
por 17.11.2012 / 13:22