尝试在 chroot jail 中为一个用户设置 SFTP

尝试在 chroot jail 中为一个用户设置 SFTP

希望你们能帮忙,看看我是否在这里做了一些奇怪的事情,我正尝试使用我设置的用户登录,FileZilla 显示:

Command:    open "///@///" Command: Pass: ********
Status: Connected to ///
Error:  Connection closed by server with exitcode 1
Error:  Could not connect to server

因此,我进入 auth.log 并看到了以下内容:

Feb 12 11:08:49 sshd[12056]: Accepted password for /// from /// port /// ssh2
Feb 12 11:08:49 sshd[12056]: pam_unix(sshd:session): session opened for user /// by (uid=0)
Feb 12 11:08:50 sshd[12164]: subsystem request for sftp by user ///
Feb 12 11:08:50 sshd[12056]: pam_unix(sshd:session): session closed for user ///

这是该用户的密码条目:

///:x:666:666:///,,,:/chroot:/usr/bin/rssh

如果我自己尝试运行 rssh,我会得到Allowed commands: sftp它似乎设置正确。至于我设置为主文件夹的文件夹,它归用户所属的组“sftp”所有。

显然,我在这里做错了什么,因此,对于我应该尝试什么以接近解决方案的任何建议,我都会表示感谢。

编辑:如果我将 /usr/bin/rssh 更改为 /bin/bash,它就可以正常工作,但用户仍然可以浏览整个系统,这并不理想。基本上,我希望用户直接进入目录,在那里做任何他们想做的事情,比如读写文件,但无法进入文件系统,运行其他二进制文件等等。

答案1

1. 创建新组

创建一个名为 sftpusers 的组。只有属于该组的用户才会自动被限制在本系统的 SFTP chroot 环境中。

# groupadd sftpusers

2. 创建用户(或修改现有用户)

假设您想要创建一个用户 guestuser,该用户只允许在 chroot 环境中执行 SFTP,而不允许执行 SSH。

以下命令创建 guestuser,将该用户分配给 sftpusers 组,将 /incoming 设为主目录,将 /sbin/nologin 设置为 shell(这将不允许用户 ssh 并获取 shell 访问权限)。

# useradd -g sftpusers -d /incoming -s /sbin/nologin guestuser
# passwd guestuser

验证用户是否已正确创建。

# grep guestuser /etc/passwd
guestuser:x:500:500::/incoming:/sbin/nologin

如果您想要修改现有用户并使其成为 sftp 用户并将他放入 chroot sftp 监狱,请执行以下操作:

# usermod -g sftpusers -d /incoming -s /sbin/nologin john

相关说明一下,如果您必须将文件从 Windows 传输到 Linux,请使用此前 7 个 sftp 客户端列表中提到的任何一个 sftp 客户端。

3. 在 sshd_config 中设置 sftp-server 子系统

您应该指示 sshd 使用 internal-sftp 进行 sftp(而不是默认的 sftp 服务器)。

修改/etc/ssh/sshd_config文件,注释掉下面一行:

#Subsystem       sftp    /usr/libexec/openssh/sftp-server

接下来,将以下行添加到 /etc/ssh/sshd_config 文件

Subsystem       sftp    internal-sftp

它看起来应该是这样的:

# grep sftp /etc/ssh/sshd_config
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem       sftp    internal-sftp

4. 为组指定 Chroot 目录

您希望仅将某些用户(即属于 sftpusers 组的用户)放入 chroot jail 环境中。在 /etc/ssh/sshd_config 末尾添加以下几行

Match Group sftpusers
        ChrootDirectory /sftp/%u
        ForceCommand internal-sftp

在上文中:

  • 匹配组 sftpusers – 这表示以下行仅与属于组 sftpusers 的用户匹配
  • ChrootDirectory /sftp/%u – 这是用户通过身份验证后用于 chroot 的路径。%u 表示用户。因此,对于 john 来说,这将是 /sftp/john。
  • ForceCommand internal-sftp – 强制执行 internal-sftp 并忽略 ~/.ssh/rc 文件中提到的任何命令。

5.创建 sftp 主目录

由于我们上面已将 /sftp 指定为 ChrootDirectory,因此请创建此目录(相当于典型的 /home 目录)。

# mkdir /sftp

现在,在 /sftp 下,为属于 sftpusers 组的用户创建单独的目录。即,只允许执行 sftp 并处于 chroot 环境中的用户。

# mkdir /sftp/guestuser

因此,/sftp/guestuser 相当于 guestuser 的 /。当 guestuser 通过 sftp 连接到系统并执行“cd /”时,他们只会看到“/sftp/guestuser”下目录的内容(而不是系统的真实 /)。这就是 chroot 的威力。

因此,在此目录 /sftp/guestuser 下,创建您希望用户看到的任何子目录。例如,创建一个传入目录,用户可以在其中通过 sftp 传输文件。

# mkdir /sftp/guestuser/incoming

6. 设置适当的权限

为了使 chroot 正常工作,您需要确保在上面刚刚创建的目录上正确设置了适当的权限。

将所有权设置为用户,并将组设置为 sftpusers 组,如下所示。

# chown guestuser:sftpusers /sftp/guestuser/incoming

对于传入目录,权限将如下所示。

# ls -ld /sftp/guestuser/incoming
drwxr-xr-x 2 guestuser sftpusers 4096 Dec 28 23:49 /sftp/guestuser/incoming

/sftp/guestuser 目录的权限如下所示

# ls -ld /sftp/guestuser
drwxr-xr-x 3 root root 4096 Dec 28 23:49 /sftp/guestuser

# ls -ld /sftp
drwxr-xr-x 3 root root 4096 Dec 28 23:49 /sftp

7. 重启 sshd 并测试 Chroot SFTP

重新启动 sshd:

# service sshd restart

测试 chroot sftp 环境。如下所示,当 gusetuser 执行 sftp 并执行“cd /”时,他们只会看到传入目录。

# sftp [email protected]
guestuser@thegeekstuff's password:

sftp> pwd
Remote working directory: /incoming

sftp> cd /
sftp> ls
incoming

当 guestuser 将任何文件从 sftp 传输到 /incoming 目录时,它们实际上位于系统上的 /sftp/guestuser/incoming 目录下。

相关内容