我希望允许 Bob 只/var/www/main/open
通过 sftp 访问目录中的文件。
我已编辑/etc/ssh/sshd_config
,并将其更改Subsystem sftp /usr/libexec/openssh/sftp-server
为Subsystem sftp internal-sftp
,同时还添加了以下内容:
Match Group allow_sftp
ChrootDirectory /var/www/main/open
ForceCommand internal-sftp
AllowTcpForwarding no
然后我又补充道:
useradd bob -d /var/www/main/open
passwd bob
groupadd allow_sftp
usermod -G allow_sftp bob
usermod -s /bin/false bob
然后我使用 FileZilla 和 Bob 的凭证访问服务器。它在 Bob 的新主目录中打开/var/www/main/open
,但是,我仍然能够访问服务器上的所有目录。
我如何限制 Bob 仅能访问目录中的文件/var/www/main/open
?
编辑。添加了对评论的回复
[root@devserver ~]# cat /etc/centos-release
CentOS release 6.5 (Final)
[root@devserver ~]# sshd -V
sshd: illegal option -- V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
usage: sshd [-46DdeiqTt] [-b bits] [-C connection_spec] [-c host_cert_file]
[-f config_file] [-g login_grace_time] [-h host_key_file]
[-k key_gen_time] [-o option] [-p port] [-u len]
[root@devserver ~]# sshd -d -d -d -d -p 9999
sshd re-exec requires execution with an absolute path
[root@devserver ~]#
编辑2
[root@devserver ~]# /usr/sbin/sshd -d -d -d -d -p 9999
debug2: load_server_config: filename /etc/ssh/sshd_config
debug2: load_server_config: done config len = 694
debug2: parse_server_config: config /etc/ssh/sshd_config len 694
debug3: /etc/ssh/sshd_config:21 setting Protocol 2
debug3: /etc/ssh/sshd_config:36 setting SyslogFacility AUTHPRIV
debug3: /etc/ssh/sshd_config:42 setting PermitRootLogin no
debug3: /etc/ssh/sshd_config:66 setting PasswordAuthentication yes
debug3: /etc/ssh/sshd_config:70 setting ChallengeResponseAuthentication no
debug3: /etc/ssh/sshd_config:81 setting GSSAPIAuthentication yes
debug3: /etc/ssh/sshd_config:83 setting GSSAPICleanupCredentials yes
debug3: /etc/ssh/sshd_config:97 setting UsePAM yes
debug3: /etc/ssh/sshd_config:100 setting AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
debug3: /etc/ssh/sshd_config:101 setting AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
debug3: /etc/ssh/sshd_config:102 setting AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
debug3: /etc/ssh/sshd_config:103 setting AcceptEnv XMODIFIERS
debug3: /etc/ssh/sshd_config:109 setting X11Forwarding yes
debug3: /etc/ssh/sshd_config:133 setting Subsystem sftp internal-sftp
debug3: checking syntax for 'Match Group allow_sftp'
debug1: sshd version OpenSSH_5.3p1
debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key.
debug1: read PEM private key done: type RSA
debug1: private host key: #0 type 1 RSA
debug3: Not a RSA1 key file /etc/ssh/ssh_host_dsa_key.
debug1: read PEM private key done: type DSA
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-d'
debug1: rexec_argv[2]='-d'
debug1: rexec_argv[3]='-d'
debug1: rexec_argv[4]='-d'
debug1: rexec_argv[5]='-p'
debug1: rexec_argv[6]='9999'
debug3: oom_adjust_setup
Set /proc/self/oom_score_adj from 0 to -1000
debug2: fd 3 setting O_NONBLOCK
debug1: Bind to port 9999 on 0.0.0.0.
Server listening on 0.0.0.0 port 9999.
debug2: fd 4 setting O_NONBLOCK
debug1: Bind to port 9999 on ::.
Server listening on :: port 9999.
答案1
我认为您提出的问题基本上已经得到解答,即使它可能还没有完全按照您的要求运行。
为了使 chroot 环境适用于目录,/var/www/main/open
每个路径元素必须由 root 拥有且只能由 root 写入。例如
drwxr-xr-x. 6 root root 4.0K Apr 4 00:57 /var/www/
此外,这些必须是真实目录 - 而不是符号链接。所有这些都是为了阻止有人篡改 chroot 后的环境,例如通过重命名路径上的某个目录并将其替换为他们自己的目录。
如果 chroot 目录的组件没有足够严格的所有权或权限,那么您将看到以下形式的错误:
bad ownership or modes for chroot directory component "/a/b/"
调试如下:
以调试模式启动 sshd,在非标准端口上运行。这样做的好处是您不必更改 sshd 配置或停止/启动在标准端口 22 上运行的 sshd。此外,调试消息会在同一窗口中显示,因此您不必搜索外部消息文件。
/usr/sbin/sshd -d -d -d -d -p 9999
连接到“测试” sshd 如下:
sftp -oPort=9999 bob@localhost