使用 SSHFS 在本地挂载远程文件后无法创建/编辑/删除它们

使用 SSHFS 在本地挂载远程文件后无法创建/编辑/删除它们

我有一个使用 RaspberryPI、Ubuntu 服务器 20.04 和 Nginx 的基本服务器设置。使用 ssh,我可以直接在终端中编辑文件,但这会变得很草率,所以我正在寻找一种更优雅的方式。因此 - SSHFS。

措施:

  • 挂载远程卷/var/www/html到本地文件夹〜/工作/服务器
  • 打开我的文本编辑器并尝试修改和保存文件。

问题:

  • 我收到错误无法保存文件:权限被拒绝

尝试解决:

  • 使用sshfs -o allow_other- 结果相同
  • 用户sshfs -o allow_other,default_permissions-相同的结果

解决方案: ???

卷安装时没有错误,我可以打开并查看文件。远程 /var/www 的组所有者是 www-data,我连接的用户是该组的一部分。

我遗漏了什么以及如何使该配置真正起作用?

答案1

好的,我们遇到了一些误解,下面介绍一些基本知识:

  1. 第一级权限来自远程服务器:此处的文件/var/www归其所有www-data并且组设置为相同。

  2. 默认情况下,只有所有者有写入权限,而组是只读的。因此,以远程用户身份安装不会产生预期的效果,因为他只是组成员,而不是www-data其本身。

  3. 最好不要/var/www像你那样更改所有权 - 这可能会破坏一些东西。例如,用户将无法将文件上传到服务器nginxwww-data因此写入将以此用户的身份进行。

那么该如何解决你的问题呢?

我认为最安全的方式是以用户身份安装它www-data。让我们走安全路线,只使用基于密钥的登录,并尝试将访问限制在我们需要的部分。我会详细说明,以便其他用户也可以从中受益。

定义:

  • 客户端 - 你家里的电脑
  • 服务器- 您要挂载目录的网站服务器
  • www-data- 服务器上的用户 www 数据
  • dan- 您客户端上的本地用户

先决条件:root-服务器上的权限

1)如果不存在,请dan在您的客户端上创建一个密钥对

   ssh-keygen

无需密码即可。现在您应该拥有文件id_rsaid_rsa.pub-~/.ssh如果您不熟悉无密码 ssh,那么有很多信息可以参考。

2)制作www-dataacceptdan的公钥用于登录

www-data具有/var/www作为主目录。在某些情况下,您可能希望使此目录可浏览。一般来说,您不会想将 -file authorized_keys(这是 -logins 接受的公钥列表ssh)放在那里,尽管home用户 是标准位置。那么让我们找一个专用的地方;最好在/etc

在服务器上:创建一个文件/etc/www/ssh/authorized_keys(加上父目录)。将文件和父目录的所有权更改为www-data,并调整权限。这是必要的,因为ssh只接受authorized_keys对文件和父目录具有特定权限且所有权属于相关用户的文件:

   chown -R www-data:www-data /etc/www/ssh
   chmod 700 /etc/www/ssh
   chmod 600 /etc/www/ssh/authorized_keys

/etc/www离开所有权root

dan现在复制公钥的内容(在客户端上/home/dan/.ssh/id_rsa.pub...酒吧!,另一个是您的秘密文件,绝不会共享)到此文件。确保条目在一行上(有时复制可能会引入换行符)。应该看起来类似于:

  cat /etc/www/ssh/authorized_keys
  ssh-rsa VERY+long+KEY+from+NUMBERS+and+LETTERS+covering+SEVERAL+lines dan@client

3)使ssh服务器适应这种类型的连接

www-data由于安全原因,没有 shell(参见/usr/sbin/nologinfrom grep www /etc/passwd)。因此,我们需要调整ssh-server 设置以允许挂载目录。出于安全原因,我们还要更改根目录,这样www-dataviassh就无法逃逸到 之外/var/www,并强制执行公钥认证,以及停用交互式发送命令。毕竟,网络服务器可以看到互联网 - 黑客喜欢这一点。

在服务器上:在 的末尾/etc/ssh/sshd_config添加以下行。请注意,匹配块永远不会结束,直到下一个匹配块。还请注意,/var/www必须由 拥有root(默认情况下)才能使ChrootDirectory命令正常工作。

Match User www-data
    AuthorizedKeysFile /etc/www/ssh/authorized_keys
    ChrootDirectory /var/www/
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no
    PasswordAuthentication no

(来源:维基百科没有 shell 的 ssh定义授权密钥

通过 重新加载配置systemctl reload ssh

4. 全部完成

sshfs在客户端上根据需要执行-mount

sshfs www-data@server:/html /homa/dan/WorkServer

注意,随着根目录的改变,/var/www/html就变为/hmtl仅仅/var/www现在的根目录。

5. 附加硬化

如果适用:您只在工作场所 LAN 中执行此操作?拒绝全局ssh访问www-data并仅在网络上授予访问权限。在匹配块之前sshd_config

 DenyUsers www-data

并将工作 LAN(例如 192.168. block)放入匹配条件中:

 Match User www-data Address 192.168.

答案2

对于我来说,将 -o uid=999 添加到 sudo sshfs.... 命令可以修复此问题,其中 999 是拥有文件的远程用户的 uid。

您可以通过常规 SSH 登录远程并运行 id -u 来找到远程 uid

这是对答案的不太自动化的看法sshfs 正在以另一个用户身份挂载文件系统

答案3

更新-(可能)修复:

我听从了@Fiximan我有将卷挂载到本地 /var/www/html它归 www-data 所有,就像在远程一样。

此外,我已将 /var/www/html 的远程所有者更改为我以之登录的用户(属于 www-data 组的用户)。

相关内容