我已经按照如下方式设置了 chrooted sftp。
# Package generated configuration file
# See the sshd_config(5) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin without-password
StrictModes yes
AllowGroups admins clients
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
#Subsystem sftp /usr/lib/openssh/sftp-server
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
Subsystem sftp internal-sftp
Match group clients
ChrootDirectory /var/chroot-home
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
虚拟用户
root:~# tail -n1 /etc/passwd
david:x:1000:1001::/david:/bin/sh
现在,在这种情况下,david 可以使用 filezilla 客户端进行 sftp,并且他被 chroot 到 /var/chroot-home/david/。但是如果我要设置无密码身份验证怎么办?我尝试将他的密钥粘贴到 /var/chroot-home/david/.ssh/authorized_keys 中,但没有用,尝试以 david 的身份通过 ssh 连接到该框,在我提供密码后,它只是停在“debug1:发送 env LC_CTYPE = C”,并且 auth.log 中没有显示任何内容,可能是因为它找不到主目录。如果我以 root 身份执行“su - david”,我会看到“没有目录,使用 HOME=/ 登录”,这是有道理的。符号链接也无济于事。
我也尝试过:
Match group clients
ChrootDirectory /var/chroot-home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
虚拟用户
root:~# tail -n1 /etc/passwd
david:x:1000:1001::/var/chroot-home/david:/bin/sh
这样,如果我不将 /var/chroot-home/david 更改为 root:root,sshd 就会抱怨所有权或权限模式不好,如果我这样做,david 将无法再在使用 filezilla 的 sftp 时直接在他的家中上传/删除任何内容。
答案1
首先,中的主目录/etc/passwd
应该反映未 chroot 的路径,否则您通常会遇到问题。在这种情况下,它sshd
会在 chroot 之前检查授权密钥,因此需要使用未 chroot 的路径来找到它们。这就是您的第一次尝试失败的原因。
第二件需要注意的事:在您的第一个设置下,当 david 登录时,他从 开始/var/chroot-home/david
,但实际上他被 chroot 到/var/chroot-home
,这意味着如果他输入,cd ..
他可以看到所有其他主目录(但如果权限正确,则看不到它们的内容)。这对您来说可能是也可能不是问题,但意识到这一点是件好事。
如果以上内容对您没有问题,您可以使用您的第一个 sshd_config,在文件/var/chroot-home/david
中设置 david 的主目录passwd
,并添加以下符号链接,以便 david 仍然在他的主目录中启动:
cd /var/chroot-home
mkdir var
ln -s .. var/chroot-home
该符号链接将确保无论您是否处于 chroot 中,都可以使用相同的路径到达主目录。
但是,如果您不希望客户端看到彼此的主目录的名称,则需要 chroot 到主目录本身,如第二个解决方案中所示。但正如您所见,sshd
不喜欢这样做(因为出于各种微妙的原因,授予用户对文件系统根目录的写访问权限很危险)。遗憾的是,您在这里大多运气不佳。一个(笨拙的)解决方案是files/
在每个主目录中创建一个子目录,并授予客户端对该子目录的写访问权限。
另一个选择可能是无论如何都要 chroot 到 /var/chroot-home,并以不同的方式命名主目录,例如使用用户 ID 号而不是名称。
答案2
我用这个解决了这个问题:
AuthorizedKeysFile /sftp/%u/.ssh/authorized_keys
其中 %u 是正在登录的 chRooted 用户。
Match Group sftp
ChrootDirectory /sftp/%u
答案3
您是否检查过.ssh 和 authorized_keys 的文件权限?
drwx------ .ssh/ (chmod 0700)
-rw------- .ssh/authorized_keys (chomd 0600)
这可能是显而易见的,但有时会被忽视。
答案4
您需要在用户的 chroot home(/var/chroot-home/david/incoming 或其他)中创建一个子目录,然后使用chown david:clients incoming
授予适当的权限chmod 755 incoming
。
看这个帖子了解详情。
我发现我必须创建一个 chroot 主目录(如上所述),但也要创建一个真正的主目录 (/home/david) 来存储他们的 .ssh/authorized_keys 文件。我相信这是因为 SSH 身份验证发生在 chroot 之前,因此 sshd 不知道在那里查找 .ssh 文件。
现在想想,我很可能会再次尝试使用他们的真实主目录作为他们的 chroot 主目录:仍然需要创建一个incoming
文件夹,但至少.ssh
应该在预期的位置。