Início / ubuntu / Perguntas / 968976
Accepted
James Newton
Asked: 2017-10-26 01:14:59 +0800 CST

Como permitir SSH apenas com chave RSA e SFTP com senha e chroot?

  • 772

No meu servidor Ubuntu 16.04 LTS, gostaria de fazer o seguinte:

  • Habilite um usuário administrador não raiz com privilégios sudo para SSH no servidor usando uma chave RSA (sem senha)
  • Permita que usuários não administradores selecionados carreguem arquivos por SFTP em seu próprio diretório inicial, usando uma senha para efetuar login
  • Impedir que usuários não administradores obtenham acesso ao restante do sistema de arquivos

Estou trabalhando com uma versão recém-instalada do Ubuntu 16.04.3 LTS, então tudo está em sua condição padrão de fábrica.

Li esta pergunta e as respostas com atenção, mas não consegui encontrar uma solução.

Eu criei um nonrootadminusuário com privilégios sudo.

Eu criei um nonadminsftpusuário que é membro do sftpaccessgrupo. O /home/nonadminsftp/diretório se parece com isso:

$ ls -al ~nonadminsftp
total 24
drwxr-xr-x 3 root         root       4096 Oct 25 00:52 .
drwxr-xr-x 5 root         root       4096 Oct 24 22:29 ..
-rw-r--r-- 1 nonadminsftp sftpaccess  220 Sep  1  2015 .bash_logout
-rw-r--r-- 1 nonadminsftp sftpaccess 3771 Sep  1  2015 .bashrc
drwxr-xr-x 3 nonadminsftp sftpaccess 4096 Oct 25 00:50 ftp
-rw-r--r-- 1 nonadminsftp sftpaccess  655 May 16 13:49 .profile

Suas respectivas entradas /etc/passwdsão as seguintes:

nonrootadmin:x:1000:1000::/home/nonrootadmin:/bin/bash
nonadminsftp:x:1002:1002::/home/nonadminsftp:/usr/sbin/nologin

As alterações que fiz no /etc/sshd/sshd_configarquivo são as seguintes:

PermitRootLogin no
#PasswordAuthentication no

AllowUsers nonrootadmin nonadminsftp
Subsystem sftp internal-sftp
Match group sftpaccess
#ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
#ForceCommand internal-sftp

A solução que vi propõe descomentar 3 dessas linhas, mas descubro que:

  • PasswordAuthentication noimpede que o usuário nonadminsftp se conecte com uma senha:

    $ sftp [email protected]
Permission denied (publickey).
Couldn't read packet: Connection reset by peer

  • ChrootDirectory %himpede que o usuário não rootadmin se conecte:

    $ ssh [email protected]
packet_write_wait: Connection to 12.34.56.78 port 22: Broken pipe`

  • ForceCommand internal-sftpimpede que o não rootadmin obtenha acesso SSH:

    $ ssh [email protected]
This service allows sftp connections only.
Connection to mydomain.com closed.`

Com estas linhas comentadas:

  • nonrootadmin tem acesso SSH usando uma chave RSA
  • nonadminsftp pode se conectar usando um cliente FTP como o FileZilla

MAS:

  • nonadminsftp não é enviado chrootpara o /home/nonadminsftpdiretório
  • nonrootadmin pode fazer login com uma senha

O que é que estou perdendo?

desde já, obrigado

permissions

1 respostas

  1. Best Answer

    Graças a @muru, a seguinte configuração agora está funcionando:

    PermitRootLogin no
PasswordAuthentication no

AllowUsers nonrootadmin nonadminsftp
Subsystem sftp internal-sftp

Match group sftpaccess
# The following directives only apply to users in sftpaccess
PasswordAuthentication yes
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

    Eu já havia adicionado nonrootadminao sftpaccessgrupo. Depois que removi esse usuário do grupo...

    $ sudo gpasswd -d nonrootadmin sftpaccess
$ getent group ftpaccess
ftpaccess:x:1002:nonadminsftp

    ... nonrootadminagora pode usar SSH.

    • 2

relate perguntas