web-dev-qa-db-ja.com

ユーザーを既存のフォルダにchrootする魔女の親の所有者はrootではありません

当社にはmoodleがインストールされており、SCORMパッケージが大きい+接続が遅い+プロキシであるため、通常、rootユーザーと一緒にSFTPでアップロードします。

今、私はユーザーにこのmoodleフォルダーに自分でファイルをアップロードする方法を提供したいのですが、どうすればそれを行うことができますか? moodleのフォルダなので、宛先フォルダの所有権を変更できません...

私は( http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/ )からこの指示に従いました。接続すると、次のエラーが発生することがわかります。

fatal: bad ownership or modes for chroot directory component "/home/"

問題は、フォルダの所有者(および親)が「moodlegureak」であるということだと思います。

[root@localhost repository]# ls -la
total 940
drwxrws---  4 Apache       moodlegureak   4096 abr 10  2013 .
drwxrws--- 13 moodlegureak moodlegureak   4096 abr 28 07:18 ..
drwxr-xr-x  3 root         moodlegureak   4096 abr  9 12:15 Archivo

これは私の/ etc/passwdです:

ftpmoodle:x:507:507::/home/moodlegureak/moodledata/repository/Archivos:/sbin/nologin

そしてこれは私の/ etc/ssh/sshd_config

Subsystem sftp internal-sftp

Match Group sftpusers
    ChrootDirectory /home/moodlegureak/moodledata/repository/Archivos
        ForceCommand internal-sftp
    AllowTCPForwarding no

私はこれらの手順に従いました:

1. Create a New Group

Create a group called sftpusers. Only users who belong to this group will be automatically restricted to the SFTP chroot environment on this system.

# groupadd sftpusers
2. Create Users (or Modify Existing User)

Let us say you want to create an user guestuser who should be allowed only to perform SFTP in a chroot environment, and should not be allowed to perform SSH.

The following command creates guestuser, assigns this user to sftpusers group, make /incoming as the home directory, set /sbin/nologin as Shell (which will not allow the user to ssh and get Shell access).

# useradd -g sftpusers -d /incoming -s /sbin/nologin guestuser
# passwd guestuser
Verify that the user got created properly.

# grep guestuser /etc/passwd
guestuser:x:500:500::/incoming:/sbin/nologin
If you want to modify an existing user and make him an sftp user only and put him in the chroot sftp jail, do the following:

# usermod -g sftpusers -d /incoming -s /sbin/nologin john
On a related note, if you have to transfer files from windows to Linux, use any one of the sftp client mentioned in this top 7 sftp client list.

3. Setup sftp-server Subsystem in sshd_config

You should instruct sshd to use the internal-sftp for sftp (instead of the default sftp-server).

Modify the the /etc/ssh/sshd_config file and comment out the following line:

#Subsystem       sftp    /usr/libexec/openssh/sftp-server
Next, add the following line to the /etc/ssh/sshd_config file

Subsystem       sftp    internal-sftp
# grep sftp /etc/ssh/sshd_config
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem       sftp    internal-sftp
4. Specify Chroot Directory for a Group

You want to put only certain users (i.e users who belongs to sftpusers group) in the chroot jail environment. Add the following lines at the end of /etc/ssh/sshd_config

# tail /etc/ssh/sshd_config
Match Group sftpusers
        ChrootDirectory /sftp/%u
        ForceCommand internal-sftp
In the above:

Match Group sftpusers – This indicates that the following lines will be matched only for users who belong to group sftpusers
ChrootDirectory /sftp/%u – This is the path that will be used for chroot after the user is authenticated. %u indicates the user. So, for john, this will be /sftp/john.
ForceCommand internal-sftp – This forces the execution of the internal-sftp and ignores any command that are mentioned in the ~/.ssh/rc file.
5. Create sftp Home Directory

Since we’ve specified /sftp as ChrootDirectory above, create this directory (which iw equivalent of your typical /home directory).

# mkdir /sftp
Now, under /sftp, create the individual directories for the users who are part of the sftpusers group. i.e the users who will be allowed only to perform sftp and will be in chroot environment.

# mkdir /sftp/guestuser
So, /sftp/guestuser is equivalent to / for the guestuser. When guestuser sftp to the system, and performs “cd /”, they’ll be seeing only the content of the directories under “/sftp/guestuser” (and not the real / of the system). This is the power of the chroot.

So, under this directory /sftp/guestuser, create any subdirectory that you like user to see. For example, create a incoming directory where users can sftp their files.

# mkdir /sftp/guestuser/incoming
6. Setup Appropriate Permission

For chroot to work properly, you need to make sure appropriate permissions are setup properly on the directory you just created above.

Set the owenership to the user, and group to the sftpusers group as shown below.

# chown guestuser:sftpusers /sftp/guestuser/incoming
The permission will look like the following for the incoming directory.

# ls -ld /sftp/guestuser/incoming
drwxr-xr-x 2 guestuser sftpusers 4096 Dec 28 23:49 /sftp/guestuser/incoming
The permission will look like the following for the /sftp/guestuser directory

# ls -ld /sftp/guestuser
drwxr-xr-x 3 root root 4096 Dec 28 23:49 /sftp/guestuser

# ls -ld /sftp
drwxr-xr-x 3 root root 4096 Dec 28 23:49 /sftp
7. Restart sshd and Test Chroot SFTP

Restart sshd:

# service sshd restart
1
ikerib

OpenSSH sshd_config ドキュメントは、chrootディレクトリの要件についてかなり明確です。この制限は、ChrootDirectoryディレクティブが使用されるときはいつでも適用されます。

ChrootDirectory
認証後にchroot(2)へのディレクトリのパス名を指定します。パス名のすべてのコンポーネントは、他のユーザーまたはグループが書き込みできないルート所有のディレクトリである必要があります。 chrootの後、sshd(8)は作業ディレクトリをユーザーのホームディレクトリに変更します。

必要なものを取得する通常の方法は、バインドマウントを使用することです。 chrootとして機能するディレクトリを作成します。このディレクトリとその親ディレクトリがsshdの要件を満たしている限り、このディレクトリはどこにでも配置できます。次に、ユーザーがアクセスできるディレクトリを特定し、chroot領域内にこれらのそれぞれを表すディレクトリを作成します。次に、 bind mounts (そのページで「bind」を検索)を使用して、これらの各ディレクトリをそれぞれのマウントポイントにマウントします。次のようなことをします。

# mkdir /var/jail
# mkdir /var/jail/www
# mount -o bind /var/www /var/jail/www     # Make /var/www accessible within the jail
7
Kenster

internal-SFTPは、SFTPをchrootする簡単な方法を提供しますが、実際にはいくつかの制限があります。ルート所有の親ディレクトリなどの制限を回避したい場合は、sftp-serverを使用する必要がありますが、bashcd、を使用して、ユーザー用に最小限のchroot環境を作成する必要があります。 lsなど。

Chrootされた環境は、次のように作成する必要があります: http://www.58bits.com/blog/2014/01/09/ssh-and-sftp-chroot-jail

0
Kondybas