无法使无密码(提供 SSH)SFTP 工作

无法使无密码(提供 SSH)SFTP 工作

我已经按照如下方式设置了 chrooted sftp。

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin without-password
StrictModes yes
AllowGroups admins clients

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

#Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes



Subsystem sftp internal-sftp

Match group clients
    ChrootDirectory /var/chroot-home
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp

虚拟用户

root:~# tail -n1 /etc/passwd
david:x:1000:1001::/david:/bin/sh

现在,在这种情况下,david 可以使用 filezilla 客户端进行 sftp,并且他被 chroot 到 /var/chroot-home/david/。但是如果我要设置无密码身份验证怎么办?我尝试将他的密钥粘贴到 /var/chroot-home/david/.ssh/authorized_keys 中,但没有用,尝试以 david 的身份通过 ssh 连接到该框,在我提供密码后,它只是停在“debug1:发送 env LC_CTYPE = C”,并且 auth.log 中没有显示任何内容,可能是因为它找不到主目录。如果我以 root 身份执行“su - david”,我会看到“没有目录,使用 HOME=/ 登录”,这是有道理的。符号链接也无济于事。

我也尝试过:

Match group clients
        ChrootDirectory /var/chroot-home/%u
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp

虚拟用户

root:~# tail -n1 /etc/passwd
david:x:1000:1001::/var/chroot-home/david:/bin/sh

这样,如果我不将 /var/chroot-home/david 更改为 root:root,sshd 就会抱怨所有权或权限模式不好,如果我这样做,david 将无法再在使用 filezilla 的 sftp 时直接在他的家中上传/删除任何内容。

答案1

首先,中的主目录/etc/passwd应该反映未 chroot 的路径,否则您通常会遇到问题。在这种情况下,它sshd会在 chroot 之前检查授权密钥,因此需要使用未 chroot 的路径来找到它们。这就是您的第一次尝试失败的原因。

第二件需要注意的事:在您的第一个设置下,当 david 登录时,他从 开始/var/chroot-home/david,但实际上他被 chroot 到/var/chroot-home,这意味着如果他输入,cd ..他可以看到所有其他主目录(但如果权限正确,则看不到它们的内容)。这对您来说可能是也可能不是问题,但意识到这一点是件好事。


如果以上内容对您没有问题,您可以使用您的第一个 sshd_config,在文件/var/chroot-home/david中设置 david 的主目录passwd,并添加以下符号链接,以便 david 仍然在他的主目录中启动:

cd /var/chroot-home
mkdir var
ln -s .. var/chroot-home

该符号链接将确保无论您是否处于 chroot 中,都可以使用相同的路径到达主目录。


但是,如果您不希望客户端看到彼此的主目录的名称,则需要 chroot 到主目录本身,如第二个解决方案中所示。但正如您所见,sshd不喜欢这样做(因为出于各种微妙的原因,授予用户对文件系统根目录的写访问权限很危险)。遗憾的是,您在这里大多运气不佳。一个(笨拙的)解决方案是files/在每个主目录中创建一个子目录,并授予客户端对该子目录的写访问权限。

另一个选择可能是无论如何都要 chroot 到 /var/chroot-home,并以不同的方式命名主目录,例如使用用户 ID 号而不是名称。

答案2

我用这个解决了这个问题:

AuthorizedKeysFile /sftp/%u/.ssh/authorized_keys

其中 %u 是正在登录的 chRooted 用户。

Match Group sftp
   ChrootDirectory /sftp/%u

答案3

您是否检查过.ssh 和 authorized_keys 的文件权限?

drwx------   .ssh/                   (chmod 0700)
-rw-------   .ssh/authorized_keys    (chomd 0600)

这可能是显而易见的,但有时会被忽视。

答案4

您需要在用户的 chroot home(/var/chroot-home/david/incoming 或其他)中创建一个子目录,然后使用chown david:clients incoming授予适当的权限chmod 755 incoming

这个帖子了解详情。

我发现我必须创建一个 chroot 主目录(如上所述),但也要创建一个真正的主目录 (/home/david) 来存储他们的 .ssh/authorized_keys 文件。我相信这是因为 SSH 身份验证发生在 chroot 之前,因此 sshd 不知道在那里查找 .ssh 文件。

现在想想,我很可能会再次尝试使用他们的真实主目录作为他们的 chroot 主目录:仍然需要创建一个incoming文件夹,但至少.ssh应该在预期的位置。

相关内容