Perguntas sobre a restrição de usuários SFTP para diretórios específicos, mas dando a um usuário administrador acesso a todos

0

Eu li um grande número de posts sobre a restrição de usuários de SFTP, mas ainda tenho perguntas sobre algumas especificidades (eu comecei a usar o Linux na sexta-feira). Eu criei um servidor no AWS usando o Amazon Linux 4.9.75-1.56.amzn2.x86_64 (compatível com o centOS) e passei por guias aqui e aqui para construir o servidor vsftpd, e criar usuários e tentar restringi-los ao diretório associado ao (s) seu (s) grupo (s) respectivamente. O uso pretendido do servidor FTP é para que os registros sejam armazenados por vários municípios (mas eles não devem saber uns dos outros) e, para esse fim, criei este caminho: / ftpfiles / county1files e: / ftpfiles / county2files. Eu criei os seguintes usuários:

  • admin1user
  • county1user
  • county2user

e os seguintes grupos de usuários:

  • admin1
  • county1
  • county2

e criou as seguintes pastas:

  • / ftpfiles /
  • / ftpfiles / county1files
  • / ftpfiles / county2files

Com o tempo, adicionarei mais municípios, mas por enquanto este é um bom começo. A seguinte configuração é o que eu quero :

O usuário admin1 deve ter acesso a todos os diretórios contidos em / ftpfiles / (embora eles não devam ter acesso ao backbone raiz por trás / ftpfiles /), e todos os outros usuários devem ter acesso somente ao seu respectivo diretório, ie o usuário county1 só deve ter acesso ao diretório de county1files e assim por diante. Os usuários municipais não devem conseguir ver nenhum dos arquivos ou diretórios contidos em ftpfiles.

O que eu acabei seguindo o guia acima mencionado (acima no parágrafo 1), entretanto, são três grupos, um grupo para admin1, outro para county1 e ainda um terceiro para county2. Quando eu entro em outro computador e faço o ftp, eu posso facilmente voltar para o diretório raiz e ver cada nome de arquivo no servidor (note que não consigo abrir nenhum item, mas posso ver os nomes dos arquivos). Isso teoricamente não deveria estar acontecendo, certo? Eu sei que estou fazendo algo errado e não entendo como funcionam as estruturas de arquivos. O Linux deve ser capaz de lidar facilmente com o que estou tentando fazer - só preciso de ajuda com meu exemplo específico, porque estou tendo problemas para relacionar outros exemplos com o meu. Obrigado antecipadamente por sua ajuda, este fórum é incrível! Para referência abaixo, há uma cópia das seções não comentadas do meu arquivo de configuração:

SyslogFacility AUTHPRIV
PasswordAuthentication yes
ChallengeResponseAuthentication no

GSSAPIAuthentication yes
GSSAPICleanupCredentials no
UsePAM yes

X11Forwarding yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY 
LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
Subsystem sftp internal-sftp

Match Group admin1
        ChrootDirectory /ftpfiles/
        ForceCommand internal-sftp
        X11Forwarding no
        AllowTcpForwarding no

Match Group county1
        ChrootDirectory /ftpfiles/county1files
        ForceCommand internal-sftp
        X11Forwarding no
        AllowTcpForwarding no

 Match Group county2
        ChrootDirectory /ftpfiles/county2files
        ForceCommand internal-sftp
        X11Forwarding no
        AllowTcpForwarding no
    
por Damon McCall 14.01.2018 / 22:38

0 respostas