我有一个使用 RaspberryPI、Ubuntu 服务器 20.04 和 Nginx 的基本服务器设置。使用 ssh,我可以直接在终端中编辑文件,但这会变得很草率,所以我正在寻找一种更优雅的方式。因此 - SSHFS。
措施:
- 挂载远程卷/var/www/html到本地文件夹〜/工作/服务器。
- 打开我的文本编辑器并尝试修改和保存文件。
问题:
- 我收到错误无法保存文件:权限被拒绝
尝试解决:
- 使用
sshfs -o allow_other- 结果相同 - 用户
sshfs -o allow_other,default_permissions-相同的结果
解决方案: ???
卷安装时没有错误,我可以打开并查看文件。远程 /var/www 的组所有者是 www-data,我连接的用户是该组的一部分。
我遗漏了什么以及如何使该配置真正起作用?
答案1
好的,我们遇到了一些误解,下面介绍一些基本知识:
第一级权限来自远程服务器:此处的文件
/var/www归其所有www-data并且组设置为相同。默认情况下,只有所有者有写入权限,而组是只读的。因此,以远程用户身份安装不会产生预期的效果,因为他只是组成员,而不是
www-data其本身。最好不要
/var/www像你那样更改所有权 - 这可能会破坏一些东西。例如,用户将无法将文件上传到服务器nginx,www-data因此写入将以此用户的身份进行。
那么该如何解决你的问题呢?
我认为最安全的方式是以用户身份安装它www-data。让我们走安全路线,只使用基于密钥的登录,并尝试将访问限制在我们需要的部分。我会详细说明,以便其他用户也可以从中受益。
定义:
- 客户端 - 你家里的电脑
- 服务器- 您要挂载目录的网站服务器
www-data- 服务器上的用户 www 数据dan- 您客户端上的本地用户
先决条件:root-服务器上的权限
1)如果不存在,请dan在您的客户端上创建一个密钥对
ssh-keygen
无需密码即可。现在您应该拥有文件id_rsa和id_rsa.pub-~/.ssh如果您不熟悉无密码 ssh,那么有很多信息可以参考。
2)制作www-dataacceptdan的公钥用于登录
www-data具有/var/www作为主目录。在某些情况下,您可能希望使此目录可浏览。一般来说,您不会想将 -file authorized_keys(这是 -logins 接受的公钥列表ssh)放在那里,尽管home用户 是标准位置。那么让我们找一个专用的地方;最好在/etc。
在服务器上:创建一个文件/etc/www/ssh/authorized_keys(加上父目录)。将文件和父目录的所有权更改为www-data,并调整权限。这是必要的,因为ssh只接受authorized_keys对文件和父目录具有特定权限且所有权属于相关用户的文件:
chown -R www-data:www-data /etc/www/ssh
chmod 700 /etc/www/ssh
chmod 600 /etc/www/ssh/authorized_keys
/etc/www离开所有权root
dan现在复制公钥的内容(在客户端上/home/dan/.ssh/id_rsa.pub...酒吧!,另一个是您的秘密文件,绝不会共享)到此文件。确保条目在一行上(有时复制可能会引入换行符)。应该看起来类似于:
cat /etc/www/ssh/authorized_keys
ssh-rsa VERY+long+KEY+from+NUMBERS+and+LETTERS+covering+SEVERAL+lines dan@client
3)使ssh服务器适应这种类型的连接
www-data由于安全原因,没有 shell(参见/usr/sbin/nologinfrom grep www /etc/passwd)。因此,我们需要调整ssh-server 设置以允许挂载目录。出于安全原因,我们还要更改根目录,这样www-dataviassh就无法逃逸到 之外/var/www,并强制执行公钥认证,以及停用交互式发送命令。毕竟,网络服务器可以看到互联网 - 黑客喜欢这一点。
在服务器上:在 的末尾/etc/ssh/sshd_config添加以下行。请注意,匹配块永远不会结束,直到下一个匹配块。还请注意,/var/www必须由 拥有root(默认情况下)才能使ChrootDirectory命令正常工作。
Match User www-data
AuthorizedKeysFile /etc/www/ssh/authorized_keys
ChrootDirectory /var/www/
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
PasswordAuthentication no
(来源:维基百科,没有 shell 的 ssh,定义授权密钥)
通过 重新加载配置systemctl reload ssh。
4. 全部完成
sshfs在客户端上根据需要执行-mount
sshfs www-data@server:/html /homa/dan/WorkServer
注意,随着根目录的改变,/var/www/html就变为/hmtl仅仅/var/www现在的根目录。
5. 附加硬化
如果适用:您只在工作场所 LAN 中执行此操作?拒绝全局ssh访问www-data并仅在网络上授予访问权限。在匹配块之前sshd_config:
DenyUsers www-data
并将工作 LAN(例如 192.168. block)放入匹配条件中:
Match User www-data Address 192.168.
答案2
对于我来说,将 -o uid=999 添加到 sudo sshfs.... 命令可以修复此问题,其中 999 是拥有文件的远程用户的 uid。
您可以通过常规 SSH 登录远程并运行 id -u 来找到远程 uid
这是对答案的不太自动化的看法sshfs 正在以另一个用户身份挂载文件系统
答案3
更新-(可能)修复:
我听从了@Fiximan我有将卷挂载到本地 /var/www/html它归 www-data 所有,就像在远程一样。
此外,我已将 /var/www/html 的远程所有者更改为我以之登录的用户(属于 www-data 组的用户)。