Início / server / Perguntas / 584986
Accepted
MultiformeIngegno
Asked: 2014-03-28 10:50:40 +0800 CST

propriedade ou modos incorretos para o componente de diretório chroot

  • 772

Criei o usuário MY_USER. Defina seu diretório inicial como /var/www/RESTRICTED_DIR, que é o caminho ao qual ele deve ser restrito. Então eu editei sshd_config e configurei:

Match user MY_USER
  ChrootDirectory /var/www/RESTRICTED_DIR

Então eu reiniciei o ssh. Tornou o proprietário MY_USER (e proprietário do grupo) de RESTRICTED_DIR e modificou-o para 755. Eu recebo

Accepted password for MY_USER
session opened for user MY_USER by (uid=0)
fatal: bad ownership or modes for chroot directory component "/var/www/RESTRICTED_DIR"
pam_unix(sshd:session): session closed for user MY_USER

Se eu removi as 2 linhas de sshd_config o usuário pode fazer login com sucesso. É claro que ele pode acessar todo o servidor. Qual é o problema? Eu até tentei chown RESTRICTED_DIR para fazer o root (como li em algum lugar que alguém resolveu esse mesmo problema fazendo isso). Sem sorte..

ssh

4 respostas

  1. Best Answer

    Da página : _man

    ChrootDirectory
    Especifica o nome do caminho de um diretório para chroot(2) após a autenticação. Todos os componentes do nome do caminho devem ser diretórios de propriedade do root que não sejam graváveis ​​por nenhum outro usuário ou grupo . Após o chroot, o sshd(8) altera o diretório de trabalho para o diretório inicial do usuário.

    Meu palpite é que um ou mais diretórios no caminho não atendem a esses requisitos (minha suspeita wwwé de propriedade ou gravável pelo seu usuário da web, não pelo root).
    Volte e siga as instruções, garantindo que os requisitos acima em negrito e itálico sejam atendidos.

    • 109

  2. O diretório ChrootDirectory deve ser de propriedade do root e ter o modo 755:

    sudo chown root:root /var/www/RESTRICTED_DIR
sudo chmod 755 /var/www/RESTRICTED_DIR

    Ok, agora todos os arquivos em /var/www/RESTRICTED_DIRdevem ser de propriedade de MY_USER, que deve pertencer ao www-datagrupo, e ter o modo 775 para permitir permissões de grupo, assim:

    sudo usermod -a -G www-data MY_USER
sudo chown MY_USER:www-data /var/www/RESTRICTED_DIR/*
sudo chmod 775 -R /var/www/RESTRICTED_DIR/*

    NOTA: Lembre-se de que é uma boa prática permitir o acesso apenas a uma pasta htdocs se você estiver configurando o apache.

    • 44

  3. Após algumas soluções de problemas hoje, percebi que o root também deve poder gravar nos diretórios.

    O seguinte não funcionou:

    $ ls -ld /mnt/synology03/files/
dr-xr-xr-x 1 root root 156 Oct  8 20:10 /mnt/synology03/files/
$ ls -ld /mnt/synology03
drwxr-xr-x 7 root root 4096 Oct  1 21:26 /mnt/synology03
$ ls -ld /mnt
drwxr-xr-x 6 root root 4096 Feb  8 10:01 /mnt
$ ls -ld /
drwxr-xr-x 24 root root 4096 Jan 14 09:22 /

    Assim que consertei isso, meu chroot começou a funcionar.

    $ sudo chmod 755 /mnt/synology03/files/
$ ls -ld /mnt/synology03/files/
drwxr-xr-x 1 root root 156 Oct  8 20:10 /mnt/synology03/files/
    • 4

  4. No meu caso, as etapas abaixo funcionaram.

    1. useradd -d /data/ftp/user1 -s /bin/false -g users -G sftponly user1
    2. passwd user1
    3. chown root:root /data/ftp/user1
    4. direitos para grupo e outroschmod go+rx /data/ftp/user1
    5. mkdir /data/ftp/user1/{upload,download}
    6. chown user1:users /data/ftp/user1/{upload,download}
    7. sftp user1@ipaddress_server

    Verifique se o usuário1 pode gravar em /data/ftp/user1/{upload,download}

    Melhor se user1 só tiver acesso sftp e não ssh. Além disso, o user1 deve ser chroot para seu diretor inicial. Isso ajudará https://medium.com/tensult/configure-ftp-on-aws-ec2-85b5b56b9c94

    • 2

relate perguntas