Como posso restringir vários grupos ou usuários a pastas específicas com SFTP? [duplicado]

Navegue suas respostas
0

Eu sei como restringir usuários de grupos a suas pastas base e remover o acesso ao terminal, mas não consigo fazê-lo funcionar para vários grupos.

Eu tenho dois grupos: 

groupA
groupB

Meu sshd_config 

Match Group groupa
   ChrootDirectory %h
   ForceCommand internal-sftp
   AllowTcpForwarding no
   PermitTunnel no
   X11Forwarding no
Match Group groupb
   ChrootDirectory %h
   ForceCommand internal-sftp
   AllowTcpForwarding no
   PermitTunnel no
   X11Forwarding no

Quando tento acessar o servidor com um usuário em groupa por SFTP usando o Cyberduck, ele funciona. No entanto, ele falha para usuários no groupb. Aliás, não consigo nem mesmo que Match User userb funcione.

Permissões de / home / userb (cujo grupo primário é groupb): drwx------

Versão do SO: Arch Linux 

4.4.3-1-ARCH #1 SMP PREEMPT Fri Feb 26 15:09:29 CET 2016 x86_64 GNU/Linux

OpenSSH Version 

OpenSSH_7.2p1, OpenSSL 1.0.2g  1 Mar 2016
    
por Jonathan Komar 06.03.2016 / 14:55

1 resposta

0

Para o benefício dos futuros leitores, a resposta é dupla:

As permissões das pastas do usuário devem ser pelo menos 755 (para que "outro" possa ler e executar / entrar no diretório - e, na realidade, as permissões do grupo devem ser irrelevantes) 

drwxr-xr-x

A propriedade é irregular. As pastas (no meu caso, as pastas / home / usera e home / userb como variáveis em sshd_config: %h ) devem pertencer ao usuário root group root . Propriedade 

 4 drwxr-xr-x  5 root                 root      4096 27. Okt 15:07 usera/
 4 drwxr-xr-x  2 root                 root      4096 13. Okt 13:35 userb/

Isso estava acabando com links simbólicos dentro do ambiente chroot. Até agora, só consegui que as ligações funcionassem criando uma subpasta do diretório do usuário e fazendo com que ele pertencesse ao usuário correspondente (não ao root). Em seguida, criar uma ligação (para outro diretório fora do ambiente chrooted) em / etc / fstab.

por exemplo, 

/media/5TB/My-Share    /home/usera/My-Share    none    defaults,bind 0 0

e / home / usera / My-Share 

4 drwxr-s---  3 usera groupa 4096  5. Mär 15:59 My-Share/
    
por 06.03.2016 / 18:33

Tags

Por que o Logic Application não funciona, exceto diretamente sob o sudo? não consegue desinstalar o AMD Catalyst