Como escrever no usuário doméstico com o sftp chrooted

Navegue suas respostas
2

Eu tenho um problema com o chroot sftp na sua pasta pessoal. Eu gostaria de escrever na casa do usuário, mas não tenho permissão para fazer isso.

sshd_config 

Match User demo
    ChrootDirectory %h
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

Utilizador 

demo:x:1013:1014::/home/ftp/demo2:/bin/false

Diretório 

root@xxx:/# ls -l /home/ftp/
drwxr-xr-x  2 root root 4096 Nov  3 13:35 demo2

Mensagem de erro 

debug1: channel 0: new [client-session]
debug1: Requesting [email protected]
debug1: Entering interactive session.
Write failed: Broken pipe

Eu sei que posso escrever em uma pasta em / home / ftp / demo2, mas eu preciso escrever em / home / ftp / demo2 não em uma pasta interna, é obrigatório.

Eu tentei alterar demo2 permissões e usuário / grupo, mas não foi possível escrever nele.

E .. há outro problema. Eu tenho 3 usuários que têm suas casas em / home / ftp mas, por outro lado, eu tenho alguns usuários que têm sua casa em um caminho diferente, então eu não posso usar ChrootDirectory / home / ftp /% u, eu preciso usar% h

Existe alguma maneira de fazer isso?

Muito obrigado!

    
por jask 03.11.2014 / 13:53

1 resposta

0

Você pode definir o local do chroot de maneira diferente para cada usuário assim: 

Match User a
    Configuration for user a
Match User b
    Configuration for user b

O subsistema SFTP do OpenSSH se recusa a fazer chroot em qualquer diretório que não seja de propriedade do root por razões de segurança, portanto você não pode criar novos arquivos diretamente no diretório chroot, a menos que você seja root. Ao alterar seu ID de usuário para 0, você efetivamente se tornou root, o que é uma ideia extremamente BAD . Ao tornar-se root, seu usuário não só pode escapar da prisão chroot, como seu usuário obteve permissão para fazer qualquer coisa em seu sistema, violando o princípio do menor privilégio. Recomendamos vivamente que altere o seu ID de utilizador para o normal.

Se você optou por usar o SFTP com chroot para melhorar a segurança, também duvido que seja uma escolha eficaz, porque o chroot não foi projetado para segurança e há muitas maneiras de contornar isso.

    
por 26.03.2016 / 15:36

Tags

fail2ban funciona bem em tentativas SSH ruins, mas falha em tentativas ruins de Apache2 Como executar o xfce-terminal com comandos diferentes por aba e continuar usando as abas depois que os comandos retornarem?