Eu configurei um servidor SFTP usando o OpenSSH. O diretório inicial para usuários é / sftp /% user. Estou montando um bucket S3 em /sftp
usando S3FS. O problema é que o S3FS coloca em cascata as permissões do usuário através de sua estrutura de diretório, o que significa:
/sftp/*
para ter essas permissões drwxr-xr-x 1 root root
, o que permite que os usuários de SFTP se conectem, mas eles não podem gravar em seus diretórios base porque não são proprietários deles. s3fs nwd-sftp /sftp/ -o iam_role=sftp-server -o allow_other -o stat_cache_expire=10 -o enable_noobj_cache -o enable_content_md5 -o umask=022
/sftp/*
para ter permissões drwxrwxr-x 1 root sftpusers
para que eles possam (em teoria) gravar em seus diretórios iniciais, mas o protocolo SSH não permite que eles efetuem login porque considera essas permissões incorretas (permitindo que membros de um grupo de acesso de gravação). Não posso atribuir propriedade por usuário com o S3FS. s3fs nwd-sftp /sftp/ -o iam_role=sftp-server -o allow_other -o stat_cache_expire=10 -o enable_noobj_cache -o enable_content_md5 -o umask=002 -o gid=501
Existe uma solução que estou negligenciando com a configuração do OpenSSH SFTP que permitiria aos usuários fazer login e gravar em seus diretórios? Eles são CHRooted para o seu diretório home, então não vejo razão para eu não dar permissões de leitura / gravação para todos os diretórios home do usuário SFTP para o grupo sftpusers
que todos compartilham.
É possível contornar os problemas do SSH aqui? Quais falhas de segurança estou expondo ao fazer isso?
Tags ssh sftp ftp amazon-web-services s3fs