主页 / server / 问题 / 1055109
Accepted
jma
Asked: 2021-02-26 12:16:42 +0800 CST

openssh,允许某些用户使用带有密码和有限权限的 sftp

  • 772

我有一个带有 openssh 的 linux 主机,它允许用户使用公钥登录。

AuthenticationMethods publickey

但是现在我有一些用户需要使用 sftp 作为文件删除来访问主机。此外,这些用户将使用用户密码而不是密钥对。

我使所有这些用户都属于该组sftp_users

[email protected]:~$ id
uid=1005(an_sftp_user) gid=1007(an_sftp_user) groups=1007(an_sftp_user),1006(sftp_users)
[email protected]:~$ groups
an_sftp_user sftp_users
[email protected]:~$

现在我创建/etc/ssh/sshd_config.d/sftp_users.confroot拥有的文件0644:

Match Group sftp_users
  X11Forwarding no
  AllowTcpForwarding no
  AuthorizedKeysCommand /bin/true
  AuthenticationMethods keyboard-interactive
  PasswordAuthentication yes
  ChrootDirectory /sftp-incoming

我想要这样做是允许组中的用户sftp_users能够使用密码和访问权限进行连接/sftp-incoming

实际发生的情况是,我看到一个消息服务器端auth.log仅表示连接已关闭,并且在客户端,我看到(使用sftp -v)它尝试了它在其中找到的证书$HOME/.ssh(我已经为这些测试禁用了我的 ssh-agent ) 但从不尝试密码登录。

确实,一行是这样的:

debug1: Authentications that can continue: publickey

所以不知何故,我的比赛没有得到满足或没有被看到。但我不清楚为什么。

有什么建议我哪里出错了吗?

更新

@Gogowitsch 的解决方案在很大程度上回答了这个问题,尤其是注释,它sftp-internal是 openssh 内部的,因此不需要在我的 chroot 监狱中提供二进制文件。同样重要的是发现 chroot 要求目录链一直是 0755 root,所以我必须对一些权限进行排序。

他将配置全部放在一个sshd_config文件中的建议也很有帮助。事实上,一旦它开始工作,将该块移回配置文件并使用Include它来包含它会失败而不会出错。该块根本没有使用。我正在使用 8.2:

OpenSSH_8.2p1 Ubuntu-4ubuntu0.1, OpenSSL 1.1.1f  31 Mar 2020

声称支持Include(自7.3p1起出现,显然于 2020 年 2 月 1 日承诺(2020 年 3 月 31 日之前)。

ssh

1 个回答

  1. Best Answer

    我看到了这些直接的问题:

    • 指令的顺序。尝试将 放在Match Group sftp_users文件的最后,/etc/ssh/sshd_server而不是放在sshd_server.d. 这是因为最后一个AuthenticationMethods似乎赢了。
    • 应该AuthenticationMethods包含. password这显然是允许密码登录的原因。
    • 使用ChrootDirectory指令时,您还必须在Match Group sftp_users块中使用以下行: 
      ForceCommand internal-sftp
      这是因为它/sftp-incoming成为所有命令的文件系统的实际根目录。默认情况下,SSH 服务器会尝试运行二进制文件,例如/usr/lib/openssh/sftp-server. 从 chroot 文件系统的角度来看,可能没有任何这样的文件。

    潜在地,您还必须运行以下命令以确保/sftp-incoming“其他”(八进制 0750 中的最后一位)无法访问该目录:

    chmod 0750 /sftp-incoming

    作为实验设置,我使用了以下内容Dockerfile

    FROM ubuntu

RUN apt-get update && \
    apt-get install -yq openssh-sftp-server openssh-server

# Create two users, first has no password, second has the password "1".
# This will also create the home directory for the sftp user.
RUN echo | adduser only-passwordless-user && \
    echo | adduser only-with-password-user --home /sftp-incoming/only-with-password-user && \
    echo only-with-password-user:1 | chpasswd && \
    addgroup sftp_users && \
    adduser only-with-password-user sftp_users

# These are needed so that sshd is happy. Otherwise,
# it likes to say “bad ownership or modes for chroot directory”
RUN mkdir -p -m0755 /var/run/sshd && \
    chown root:root /sftp-incoming && \
    chmod 0750 /sftp-incoming

RUN echo AuthenticationMethods publickey >> /etc/ssh/sshd_config && \
    printf "Match Group sftp_users                                \n\
            ForceCommand internal-sftp                            \n\
            X11Forwarding no                                      \n\
            AllowTcpForwarding no                                 \n\
            AuthorizedKeysCommand /bin/true                       \n\
            AuthenticationMethods keyboard-interactive password   \n\
            PasswordAuthentication yes                            \n\
            ChrootDirectory /sftp-incoming                        \n\
           " >> /etc/ssh/sshd_config  # cannot be ".d/sftp_users.conf"

# Start a single-connection debug server.
# Remove the -d parameter to make it long-lived but quiet.
ENTRYPOINT /usr/sbin/sshd -d

    您可以使用以下命令启动在端口 2200 上运行的 sshd:

    docker build . -t ssh-test && docker run -it --name ssh-test -p2200:22 --rm ssh-test bash

    要使用 sftp 连接到它,请运行以下命令:

    sshpass -p1 sftp -P 2200 [email protected]
    • 2

相关问题