Configurando usuários somente SFTP interrompe conexões SSH

Navegue suas respostas
2

Eu tenho um cluster de máquinas (LAN) configurado para login SSH sem senha para executar o código em paralelo. Nenhum problema com o SSH ou funcionalidade, no entanto ...

Estou tentando configurar um usuário apenas de sftp (sem shell) na máquina de gateway para transferências de arquivos externas (fora do cluster) para a máquina de gateway. Eu criei um novo grupo e usuário seguindo o guia aqui ( link ) e editou o arquivo /etc/ssh/sshd_config conforme apropriado. No entanto, quando eu reinicio o servidor ssh, a máquina do gateway não está mais acessível por meio de SSH ou SFTP. Qualquer tentativa é atendida com uma mensagem "conexão recusada". Se eu voltar para o arquivo sshd_config original, posso me conectar novamente.

Existe algum problema conhecido com a configuração de Subsystem sftp internal-sftp que faz com que a funcionalidade SSH desapareça? Ou alguma sugestão para algo que eu possa estar faltando?

A adição do meu arquivo sshd_config é a seguinte: 

Subsystem sftp internal-sftp
Match Group sftponly
   ChrootDirectory %h
   X11Forwarding no
   AllowTcpForwarding no
   ForceCommand internal-sftp

Meu usuário sftp tem seu diretório pessoal especificado em uma unidade externa que é montada automaticamente na inicialização. Seu diretório inicial possui propriedade root e permissão 755.

    
por Fexar 01.04.2013 / 21:17

2 respostas

1

Acontece que o bloco de código Match Group deve ser inserido no final do arquivo sshd_config . Muitos guias não afirmam isso explicitamente e, portanto, ignorei-o e achei que o código pertencia à linha do Subsistema. O SSH funciona bem de novo; SFTP, no entanto, ainda não está se conectando (dando um erro de "pipe quebrado").

Resolução de problemas de SFTP: a unidade externa é montada em /mnt/DATA/ com 777 para que todos possam ler / gravar. Eu criei um subdiretório /mnt/DATA/sftp/ para o usuário sftp com 750 permissions e root -ownership que eu achava que seria suficiente. Infelizmente, sftp requer que toda a estrutura de diretórios tenha raiz / 750, incluindo o diretório /mnt/DATA/ . Então o sftp funciona, mas não posso permitir que usuários físicos criem novas pastas dentro do diretório base / mnt / DATA / agora. Não é 100% o que eu quero, mas pelo menos é um passo na direção certa.

Resposta enviada por OP nos comentários

    
por muru 25.09.2014 / 02:14
0

Desculpe, não posso comentar sua mensagem. Você está configurando um grupo SFTP padrão que pode se conectar por meio do SFTP. Eu notei que depois de colocar um usuário SSH no grupo de usuários SFTP, o ubuntu muda automaticamente a chroot look-up e nega mais acesso SSH. Apenas o acesso SFTP puro é possível e preso à pasta usermod -d. Remover o usuário desse grupo de SFTP permitiu o login do SSH novamente.

    
por Hristo 18.11.2014 / 00:21
Memória não copiada e coprocessador atualizar o MySQL através do apt não efetua?