Sziasztok. Debian 12-es alatt szeretnék beállítani SFTP-t, de számomra érthetetlen hibába futottam. Az alábbiakat csináltam eddig:
sudo groupadd sftpusers
sudo adduser csabacs
sudo usermod -G sftpusers csabacs
sudo micro /etc/ssh/sshd_config
Subsystem sftp internal-sftp
Match Group sftpusers
X11Forwarding no
AllowTcpForwarding no
ChrootDirectory /srv/sftp/%u
ForceCommand internal-sftp
sudo systemctl restart ssh.service
sudo mkdir -p /srv/sftp/csabacs
sudo chown csabacs:sftpusers /srv/sftp/csabacs/
Ezek után ha csatlakozni akarok, akkor hibaüzenetet kapok a logban:
sshd[3501140]: fatal: bad ownership or modes for chroot directory "/srv/sftp/csabacs"
Viszont, ha a csabacs mappa tulajdonjogát root:sftpusers -re módosítom, akkor lehet már csatlakozni, de semmit nem tud másolni a mappába. Ha 775-ös chmodot adok neki, hogy az sftpusers is tudja írni, akkor meg szintén nem csatlakozik, mert az se jó jog neki.
Hogyan lehetne beállítani rendesen, hogy az adott user csak a saját mappájába tudjon csatlakozni (ez lenne elvileg az sshd_configban a /srv/sftp/%u), és oda tudjon másolni fileokat, létrehozni könyvtárakat, meg törölni is onnan?
Megoldás: "a chroot konyvtar ala tegyel egy konyvtarat, ami a sajatja, akkor tudni fog bele irni"
- 170 megtekintés
Hozzászólások
a chroot konyvtar ala tegyel egy konyvtarat, ami a sajatja, akkor tudni fog bele irni
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
Nah várj. Jól értem, hogy akkor abba a mappába amibe ő beloggol (ami ki van osztva), oda soha nem tud írni, hanem csinálni kell azalá még egy mappát csabacs:sftpusers joggal, és oda neki mindig bele kell majd lépnie, és majd oda már tud írni?
Ennek mi értelme van? Ha megnézek egy sima FTP elérést, akkor ahova már belépek, már ott rögtön abban a mappába már másolhatok fileokat, mappákat stb.
- A hozzászóláshoz be kell jelentkezni
tehat
chown 0:0 /srv/sftp/csabacs
chmod 755 /srv/sftp/csabacs
chown csabacs:sftpusers /srv/sftp/csabacs/ideirj
chmod 755 /srv/sftp/csabacs/ideirj
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
"Ha megnézek egy sima FTP elérést, akkor ahova már belépek, már ott rögtön abban a mappába már másolhatok fileokat, mappákat stb."
akkor nem ssh/internal-sftp-vel kell megoldanod, hanem egy masik sftp szerverrel
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
Értem. Akkor ez annak a "limitációja". Amúgy valóban így működik, csak erre nem gondoltam, mert ez nem éppen egy logikus megoldás. Köszi az infót!
- A hozzászóláshoz be kell jelentkezni
proftpd-t hasznalok, igaz nem sftp-t hanem ftps-t ott mukodik amit irsz, de lehet hogy a DefaultRoot nem igazi chroot, passz.
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
Igen azt ismerem, legalábbis hallásból, csak gondoltam nem teszek fel plusz csomagokat, hanem az alap openssh csomaggal oldanám meg, ha az úgyis alapból fent van. Hát. Lehet hogy átállok majd arra.
- A hozzászóláshoz be kell jelentkezni
ez a valasztek. vagy plusz csomag, vagy plusz konyvtar. :)
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
ahogy írták, igen, a /srv/sftp/csabacs könyvtár tulajdonosának rootnak kell lennie, és nem szabad írható engedélyeket adni más felhasználóknak, mivel a chroot biztonsági követelményei ezt megkövetelik. hozz létre egy alkönyvtárat, melynek ő a tulajdonosa, oda már írhat
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
- A hozzászóláshoz be kell jelentkezni
Fura egy logika, de ha így működik, akkor így működik. Köszi neked is.
- A hozzászóláshoz be kell jelentkezni