我已经使用 OpenSSH 设置了一个 SFTP 服务器。用户主目录是 /sftp/%user。我正在/sftp使用 S3FS 安装一个 S3 存储桶。问题是 S3FS 通过其目录结构将用户权限级联,这意味着:
- 我可以配置文件以
/sftp/*获得这些权限drwxr-xr-x 1 root root,允许 SFTP 用户连接,但他们无法写入他们的主目录,因为他们不拥有这些目录。
s3fs nwd-sftp /sftp/ -o iam_role=sftp-server -o allow_other -o stat_cache_expire=10 -o enable_noobj_cache -o enable_content_md5 -o umask=022
- 我可以将文件配置为
/sftp/*具有权限drwxrwxr-x 1 root sftpusers,以便它们(理论上)可以写入其主目录,但 SSH 协议不允许它们登录,因为它认为这些权限不正确(允许组成员写入访问权限)。我无法使用 S3FS 按用户分配所有权。
s3fs nwd-sftp /sftp/ -o iam_role=sftp-server -o allow_other -o stat_cache_expire=10 -o enable_noobj_cache -o enable_content_md5 -o umask=002 -o gid=501
我是否忽略了 OpenSSH SFTP 配置中允许用户登录并写入其目录的解决方案?他们已将 CHRooted 到其主目录,因此我认为没有理由不能为sftpusers他们共享的组授予所有 SFTP 用户主目录的读/写权限。
是否可以绕过 SSH 问题?这样做会暴露哪些安全漏洞?