Início / unix / Perguntas / 561290
Accepted
Basj
Asked: 2020-01-10 14:56:07 +0800 CST

Como criar um usuário SFTP isolado/preso?

  • 772

Acabei de criar um novo usuário friendno meu servidor, o objetivo é dar acesso SFTP a um amigo meu, para que ele possa hospedar seu site lá.

Percebi que ao conectar o servidor por SFTP com o usuário friend, a pasta padrão é /home/friend/, mas você pode facilmente sair /home/friend/ e visitar todos os arquivos em acesso de leitura no servidor , como /home/anotheruser/website2/config.php! Eu não quero isso.

Foi-me dito para colocar este usuário em "modo preso/isolado", então, no final do meu padrão sshd_config:

...
Subsystem sftp /usr/lib/openssh/sftp-server

... Eu adicionei isso:

Match User friend
ChrootDirectory /home/friend
ForceCommand internal-sftp

e fez service sshd restart.

Então não consegui mais conectar o servidor por SFTP com user friend, oops! Também tentei substituir Subsystem ...por Subsystem sftp internal-sftpmas o resultado foi o mesmo: friendnão consigo mais conectar o servidor via SFTP.

Pergunta:

Como isolar o usuário friendpara que ele não possa sair de casa /home/friend/via SFTP/SSH?

Nota: Eu já li Como restringir usuários de SFTP a diretórios domésticos usando chroot Jail , Como posso chroot usuários SSH somente sftp em suas casas? , etc

sshd ssh

3 respostas

  1. Não tenho certeza de qual sistema operacional você está usando, mas uso o link abaixo quando preciso configurar usuários SFTP presos. É um tutorial muito bom sobre como configurar um usuário SFTP preso.

    https://access.redhat.com/solutions/2399571

    Eu então montaria o bind em qualquer diretório para o diretório chroot ao qual você deseja dar acesso ao seu amigo.

    • 5
  2. Best Answer

    Solução de trabalho

    Isso é inspirado no tutorial Como configurar um servidor sftp com usuários chroot restritos com chaves ssh mencionadas na resposta do @HeysusEscobar.

    Faça isso de root:

    useradd friend   # NB: this doesn't create a home dir, see https://askubuntu.com/q/374870
passwd friend    # set the password 
groupadd sftpusers
mkdir /sftp
mkdir /sftp/friend        # this is where he'll be chrooted
mkdir /sftp/friend/home   # his home directory
mkdir /sftp/friend/www    # for websites
usermod -aG sftpusers friend   # aG for append group
chown friend:sftpusers /sftp/friend/home/
chown friend:sftpusers /sftp/friend/www/
usermod -d /sftp/friend/home friend   # set as his home directory

    Adicione isto a /etc/ssh/sshd_config:

    # Subsystem sftp /usr/lib/openssh/sftp-server   # you'll probably need to comment this line
Subsystem sftp internal-sftp -d /home
Match Group sftpusers
ChrootDirectory /sftp/%u

    e fazer service sshd restart. Isso é tudo!

    Observe que:

    • outros usuários ainda podem ssh, então não modificou nada para outros usuários
    • o usuário friendnão podessh
    • usuário friendpode se conectar porsftp

    PS: se você quiser disponibilizar friendo site do 's para internet, você pode adicionar isso à configuração do Apache:

    <VirtualHost *:80>
  ServerName friend.example.com
  DocumentRoot /sftp/friend/www
  php_admin_value "open_basedir" "/sftp/friend"
  <Directory />
    AllowOverride All
    Require all granted
  </Directory>
</VirtualHost>

    Nota do site: mesmo com open_basediro acima, friendainda não pode sair de seu ambiente chroot com PHP ou executar código malicioso com impacto em todo o sistema de arquivos? Pergunta vinculada: Um usuário SFTP com chroot/isolado ainda pode visitar todo o sistema de arquivos com PHP

    Solução antiga (somente pela metade)

    Substituindo ChrootDirectory /home/friendpor ChrootDirectory /homeajudado, conforme documentação:

    ChrootDirectory: Especifica o nome do caminho de um diretório para chroot(2) após a autenticação. Todos os componentes do nome do caminho devem ser diretórios de propriedade do root que não sejam graváveis ​​por nenhum outro usuário ou grupo.

    Com isso, o usuário friendpode se conectar ao SFTP novamente; não pode sair /home/; mas ainda pode visitar /home/anotheruser/..., o que é indesejado!

    • 3

  3. Você pode manter as modificações em seu arquivo .sshd_config e usar chmod -R 700 /home/anotheruserpara restringir o acesso à casa de outro usuário de qualquer outra pessoa, incluindo friend. Você pode modificar o valor chmod se isso for muito rigoroso, mas é isso que eu pessoalmente estava procurando na minha pergunta aqui . (Desculpe por postar isso como outra resposta, não tenho reputação suficiente para adicionar isso como um comentário à sua resposta)

    • -2

relate perguntas