特定のユーザーでsshを介してログインしようとすると、「書き込み失敗:パイプが壊れています」
SSHFTPサーバーをセットアップしようとしていますが、Apache @ localhost経由で接続すると、すぐに「Write Failed:Broken Pipe」エラーメッセージで切断されます。 jack@localhostで問題なく接続できますが、ユーザーApacheでは接続できません。
これらは私がsshd_configに追加した唯一の設定です(Apacheが機能するようになったときのみApacheを許可したい):
Match User Apache
ChrootDirectory /Apache
AllowTCPForwarding no
X11Forwarding no
ForceCommand /usr/lib/openssh/sftp-server
Match
#AllowUsers Apache
そして、これは私がssh_configに追加したものです:
ServerAliveInterval 120
TCPKeepAlive no
ユーザーApacheが/ Apacheフォルダーに対する完全なアクセス許可を持っていることを確認し、このユーザーとしてログインし、ターミナルでアイテムを変更できます。このフォルダーには、index.htmlとtest.phpの2つのファイルしかありません。
また、ネットワーク上の別のコンピューターにアクセスし、FileZillaを使用してユーザーjackとしてログインしました。うまくいきました。
これは、接続しようとしたときのターミナルのログです。
jack@JacksServer:~$ ssh -v Apache@localhost
OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mar 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to localhost [127.0.0.1] port 22.
debug1: Connection established.
debug1: identity file /home/jack/.ssh/id_rsa type -1
debug1: identity file /home/jack/.ssh/id_rsa-cert type -1
debug1: identity file /home/jack/.ssh/id_dsa type -1
debug1: identity file /home/jack/.ssh/id_dsa-cert type -1
debug1: identity file /home/jack/.ssh/id_ecdsa type -1
debug1: identity file /home/jack/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.9p1 Debian-5ubuntu1.1
debug1: match: OpenSSH_5.9p1 Debian-5ubuntu1.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server Host key: ECDSA bb:f3:74:9d:97:80:89:dc:d9:68:53:5c:f7:25:19:4e
debug1: Host 'localhost' is known and matches the ECDSA Host key.
debug1: Found key in /home/jack/.ssh/known_hosts:1
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/jack/.ssh/id_rsa
debug1: Trying private key: /home/jack/.ssh/id_dsa
debug1: Trying private key: /home/jack/.ssh/id_ecdsa
debug1: Next authentication method: password
Apache@localhost's password:
debug1: Authentication succeeded (password).
Authenticated to localhost ([127.0.0.1]:22).
debug1: channel 0: new [client-session]
debug1: Requesting [email protected]
debug1: Entering interactive session.
Write failed: Broken pipe
jack@JacksServer:~$
Ubuntuバージョン情報:
Distributor ID: Ubuntu
Description: Ubuntu 12.04.2 LTS
Release: 12.04
Codename: precise
編集:
私はコマンドSudo grep -ir ssh /var/log/*を実行し、これを得ました:
/var/log/auth.log~:Aug 13 16:08:15 JacksServer sshd[32292]: fatal: bad ownership or modes for chroot directory "/Apache"
/var/log/auth.log~:Aug 13 16:08:15 JacksServer sshd[32156]: pam_unix(sshd:session): session closed for user Apache
一部のWebサイトが示唆しているようにchmod 755 /Apacheを実行し、所有権を変更しようとしましたが、まだこのエラーが発生しています。現在、フォルダーはユーザーApacheによって所有されています。
Apacheユーザーに関する詳細情報:
root@JacksServer:/Apache# ls -la /Apache
total 24
drwxr-xr-x 4 Apache root 4096 Aug 13 15:49 .
drwxr-xr-x 29 root root 4096 Aug 13 03:06 ..
drwxr-xr-x 2 Apache nogroup 4096 Aug 13 13:57 .cache
-rw-r--r-- 1 Apache root 5 Aug 13 03:56 index.html
-rw-r--r-- 1 Apache root 0 Aug 13 03:56 index.html~
drwxr-xr-x 8 Apache root 4096 Aug 13 15:51 .ssh
-rw-r--r-- 1 Apache root 20 Aug 13 03:59 test.php
-rw-r--r-- 1 Apache root 0 Aug 13 03:59 test.php~
root@JacksServer:/Apache# ls -la /Apache/.ssh
total 92
drwxr-xr-x 8 Apache root 4096 Aug 13 15:51 .
drwxr-xr-x 4 Apache root 4096 Aug 13 15:49 ..
-rw-r--r-- 1 Apache jack 220 Jun 6 20:08 .bash_logout
drwxr-xr-x 19 Apache jack 4096 Aug 13 15:04 .cache
drwxr-xr-x 3 Apache jack 4096 Jun 6 20:49 .compiz-1
drwxr-xr-x 3 Apache jack 4096 Jun 6 20:22 .dbus
drwxr-xr-x 5 Apache jack 4096 Aug 13 05:37 .gconf
-rw-r----- 1 Apache jack 0 Aug 13 15:47 .gksu.lock
drwxr-xr-x 3 Apache jack 4096 Jun 6 20:22 .local
-rw-r--r-- 1 Apache jack 675 Jun 6 20:08 .profile
-rw------- 1 Apache jack 256 Jun 6 20:22 .Pulse-cookie
drwxr-xr-x 2 Apache jack 4096 Aug 13 14:20 .ssh
-rw------- 1 Apache jack 56 Aug 13 04:45 .Xauthority
-rw------- 1 Apache jack 44215 Aug 13 13:54 .xsession-errors
両方の答えはこのスレッドにあります: https://askubuntu.com/questions/134425/how-can-i-chroot-sftp-only-ssh-users-into-their-homes
「基本的に、chrootディレクトリはルートが所有する必要があり、グループ書き込みアクセスはできません。」
これは、あなたのChrootDirectory(/Apache)がrootによって所有され、どのグループ/他者によっても書き込み可能でないことを保証する必要があることを意味します。これは、セキュリティリスクに関連するあいまいなsetuidによるものです ここに概要を示します 。
また、/bin/false: No such file or directoryに関する質問に答えるには、代わりに/sbin/nologinを使用してみてください。
Mac OS Xで問題を解決しましたが、
#ClientAliveInterval 0
に
ClientAliveInterval 300
/ etc/sshd_configで this の後に、マシンを再起動します。
長すぎるため、別の回答として投稿しました。
私の調査結果では、ChrootDirectoryのこの要件により、かなり役に立たなくなりました。誰かのホームディレクトリをそのユーザーが書き込みできないようにする必要があるのはなぜですか?ラメ。 Chroot Dirsではシンボリックリンクにもアクセスできません。
しかし、私は気の利いた回避策を見つけました。 /home/chroot/outsourceディレクトリを作成し、その中でmount --bindを使用してシステムの別のディレクトリ/var/www/clients/theclientを/home/chroot/outsource/theclientにマウントしました。
mount --bindは再起動するまで一時的なものなので、/etc/fstabに次の行を追加しました。
/var/www/clients/theclient /home/chroot/outsource/theclient none bind,auto,user,noexec 0 0