Restringir usuário a determinado diretório

Question

Restringir usuário a determinado diretório

#1 resposta do (1 votos)

0

Gostaria de permitir que Bob acessasse apenas os arquivos no diretório /var/www/main/open via sftp.

Eu editei /etc/ssh/sshd_config e mudei Subsystem sftp /usr/libexec/openssh/sftp-server para Subsystem sftp internal-sftp e também adicionei o seguinte:

Match Group allow_sftp
    ChrootDirectory /var/www/main/open
    ForceCommand internal-sftp
    AllowTcpForwarding no

Eu adicionei Bob:

useradd bob -d /var/www/main/open
passwd bob 
groupadd allow_sftp
usermod -G allow_sftp bob 
usermod -s /bin/false bob

Eu usei o FileZilla para acessar o servidor usando as credenciais do Bob. Ele abriu no novo diretório home de Bob /var/www/main/open , no entanto, eu ainda consegui acessar todos os diretórios no servidor.

Como limitar o Bob a apenas arquivos no diretório /var/www/main/open ?

EDIT. Respostas adicionadas aos comentários

[root@devserver ~]# cat /etc/centos-release
CentOS release 6.5 (Final)
[root@devserver ~]# sshd -V
sshd: illegal option -- V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
usage: sshd [-46DdeiqTt] [-b bits] [-C connection_spec] [-c host_cert_file]
            [-f config_file] [-g login_grace_time] [-h host_key_file]
            [-k key_gen_time] [-o option] [-p port] [-u len]
[root@devserver ~]# sshd -d -d -d -d -p 9999
sshd re-exec requires execution with an absolute path
[root@devserver ~]#

EDIT 2

[root@devserver ~]# /usr/sbin/sshd -d -d -d -d -p 9999
debug2: load_server_config: filename /etc/ssh/sshd_config
debug2: load_server_config: done config len = 694
debug2: parse_server_config: config /etc/ssh/sshd_config len 694
debug3: /etc/ssh/sshd_config:21 setting Protocol 2
debug3: /etc/ssh/sshd_config:36 setting SyslogFacility AUTHPRIV
debug3: /etc/ssh/sshd_config:42 setting PermitRootLogin no
debug3: /etc/ssh/sshd_config:66 setting PasswordAuthentication yes
debug3: /etc/ssh/sshd_config:70 setting ChallengeResponseAuthentication no
debug3: /etc/ssh/sshd_config:81 setting GSSAPIAuthentication yes
debug3: /etc/ssh/sshd_config:83 setting GSSAPICleanupCredentials yes
debug3: /etc/ssh/sshd_config:97 setting UsePAM yes
debug3: /etc/ssh/sshd_config:100 setting AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
debug3: /etc/ssh/sshd_config:101 setting AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
debug3: /etc/ssh/sshd_config:102 setting AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
debug3: /etc/ssh/sshd_config:103 setting AcceptEnv XMODIFIERS
debug3: /etc/ssh/sshd_config:109 setting X11Forwarding yes
debug3: /etc/ssh/sshd_config:133 setting Subsystem sftp internal-sftp
debug3: checking syntax for 'Match Group allow_sftp'
debug1: sshd version OpenSSH_5.3p1
debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key.
debug1: read PEM private key done: type RSA
debug1: private host key: #0 type 1 RSA
debug3: Not a RSA1 key file /etc/ssh/ssh_host_dsa_key.
debug1: read PEM private key done: type DSA
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-d'
debug1: rexec_argv[2]='-d'
debug1: rexec_argv[3]='-d'
debug1: rexec_argv[4]='-d'
debug1: rexec_argv[5]='-p'
debug1: rexec_argv[6]='9999'
debug3: oom_adjust_setup
Set /proc/self/oom_score_adj from 0 to -1000
debug2: fd 3 setting O_NONBLOCK
debug1: Bind to port 9999 on 0.0.0.0.
Server listening on 0.0.0.0 port 9999.
debug2: fd 4 setting O_NONBLOCK
debug1: Bind to port 9999 on ::.
Server listening on :: port 9999.

ssh sftp linux centos

por user1032531 07.05.2014 / 14:14

1 resposta

Tags ssh sftp linux centos

Permissões do Windows: propriedades do grupo, UAC Diskpart Clean, portanto, incapaz de inicializar

score 1 · Accepted Answer

Acho que a pergunta que você fez é essencialmente respondida, embora pode não estar funcionando exatamente como você precisa ainda.

Para o ambiente chroot funcionar no diretório /var/www/main/open Cada elemento do caminho deve ser de propriedade de raiz e gravável somente por raiz. Por exemplo,

drwxr-xr-x. 6 root root 4.0K Apr  4 00:57 /var/www/

Além disso, esses devem ser diretórios reais - não links simbólicos. Tudo isso é para impedir que alguém adultere o ambiente chroot'ed (por exemplo) renomeando um dos diretórios ao longo do caminho e substituindo-o pelo seu próprio.

Se os componentes do diretório chroot não tiverem o suficiente propriedades ou permissões restritivas, você verá um erro da seguinte forma:

bad ownership or modes for chroot directory component "/a/b/"

Depurar da seguinte forma:

Inicie o sshd no modo de depuração, executando em uma porta não padrão. O benefício de fazer isso dessa maneira é que você não precisa mudar sua configuração sshd ou parar / iniciar o sshd que está sendo executado a porta padrão 22. Além disso, as mensagens de depuração saem no mesma janela, para que você não precise procurar por um arquivo de mensagens.

/usr/sbin/sshd -d -d -d -d -p 9999

Conecte-se ao sshd "teste" da seguinte forma:

sftp -oPort=9999 bob@localhost