No lançamento do CentOS 6.5 (Final) criei um teste de usuário restrito1
useradd -s /bin/false test1
e configurado ssd_config da seguinte forma
Subsystem sftp internal-sftp
Match User test1
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
diretório inicial definido para o usuário test1
usermod -d /usr/local/tomcat/webapps/ROOT
então
chown root:root /usr/local/tomcat/webapps/ROOT
chown test1:test1 -R /usr/local/tomcat/webapps/ROOT/*
chmod 755 -R /usr/local/tomcat/webapps/ROOT/*
reiniciou o sshd e tentou logar no sftp
# sftp test1@localhost
Connecting to localhost...
test1@localhost's password:
sftp> ls -la
drwxr-xr-x 9 0 0 4096 Feb 16 08:20 .
drwxr-xr-x 9 0 0 4096 Feb 16 08:20 ..
drwxr-sr-x 2 500 501 4096 Feb 6 10:37 META-INF
drwxr-sr-x 6 500 501 4096 Feb 12 14:07 WEB-INF
drwxr-sr-x 2 500 501 4096 Feb 16 08:13 css
drwxr-xr-x 2 500 501 4096 Feb 16 08:27 home
drwxr-sr-x 3 500 501 4096 Feb 12 14:13 images
drwxr-sr-x 2 500 501 4096 Feb 16 00:37 js
sftp> mkdir css/test
Couldn't create directory: Permission denied
Eu tentei quase tudo, mas ainda não consigo descobrir por que o proprietário do diretório não tem permissão de gravação?
Eu acho que você precisa ativar alguns selinux bool, para obter mais informações sobre um bool selinux de um serviço, você pode digitar a partir do seu shell man sftpd_selinux
[root@worktux ~]# getsebool -a | grep sftp
sftpd_anon_write --> off
sftpd_enable_homedirs --> off
sftpd_full_access --> off
sftpd_write_ssh_home --> off
O exato que precisa ser ativado é:
setsebool -P ssh_chroot_rw_homedirs on
Eu lutei com isso por 2 dias antes de conseguir isso !!
Tags permissions chroot sftp centos