主页 / ubuntu / 问题 / 1301361
Accepted
njordfromsouth
Asked: 2020-12-20 07:47:26 +0800 CST

使用 SSHFS 在本地挂载远程文件后无法创建/编辑/删除远程文件

  • 772

我有一个使用 RaspberryPI、Ubuntu 服务器 20.04 和 Nginx 的基本服务器设置。使用 ssh,我可以直接在终端中编辑文件,但这会变得草率,所以我正在寻找一种更优雅的方式。因此 - SSHFS。

行动:

  • 将远程卷/var/www/html挂载到本地文件夹~/Work/Server
  • 打开我的文本编辑器并尝试修改和保存文件。

问题:

  • 我收到错误无法保存文件:权限被拒绝

试图解决:

  • 使用sshfs -o allow_other- 结果相同
  • 用户sshfs -o allow_other,default_permissions- 结果相同

解决方案: ???

卷安装没有错误,我可以打开并查看文件。远程 /var/www 的组所有者是 www-data,我连接的用户是该组的一部分。

我缺少什么以及如何使此配置真正起作用?

server permissions ssh sshfs 20.04

2 个回答

  1. Best Answer

    好的一些基础知识,因为我们遇到了误解:

    1. 第一级权限来自远程服务器:这里的文件/var/www归所有人所有www-data,组设置为相同。

    2. 默认情况下,只有所有者拥有写入权限,而组是只读的。因此,作为远程​​用户安装不会产生预期的效果,因为他只是组成员而不是www-data其本身。

    3. 最好不要像你所做的那样改变所有权/var/www- 这可能会破坏一些事情。例如,用户将无法将文件上传到nginx运行的服务器www-data,因此写入将作为该用户完成。

    那么如何管理你的问题呢?

    我相信最安全的方法是将其安装为 user www-data。让我们走安全的路线,只使用基于密钥的登录,并尝试限制我们只需要的部分的访问。我会详细说明,以便其他用户也可以从中获利。

    定义:

    • 客户端 - 您家中的 PC
    • server - 带有您要挂载的目录的网站服务器
    • www-data- 服务器上的用户 www-data
    • dan- 您客户端上的本地用户

    先决条件: -root服务器上的权限

    dan1)如果不存在,请在您的客户端上创建一个密钥对

       ssh-keygen

    不用密码就可以了。您现在应该拥有这些文件id_rsaid_rsa.pub进入~/.ssh- 如果您不熟悉无密码 ssh,那里有很多信息。

    2) 使www-dataacceptdan的公钥用于登录

    www-data/var/www作为主目录。在某些情况下,您可能希望使该目录可浏览。一般来说,尽管用户是标准位置,但您不希望将authorized_keys-file(这是 -logins 的可接受公钥列表)放在那里。那我们去专门的地方吧;最好的。sshhome/etc

    在服务器上:创建一个文件/etc/www/ssh/authorized_keys(加上父目录)。将文件和父目录的所有权更改为www-data,并调整权限。这是必要的,因为ssh仅接受authorized_keys对文件和父目录具有特定权限的文件以及相关用户的所有权:

       chown -R www-data:www-data /etc/www/ssh
   chmod 700 /etc/www/ssh
   chmod 600 /etc/www/ssh/authorized_keys

    离开所有权/etc/wwwwithroot

    现在将dan's public key 的内容(在客户端/home/dan/.ssh/id_rsa.pub.... pub!上,另一个是您的秘密文件,永远不会被共享)复制到这个文件。确保条目在一行上(有时复制可能会引入换行符)。应该看起来像这样:

      cat /etc/www/ssh/authorized_keys
  ssh-rsa VERY+long+KEY+from+NUMBERS+and+LETTERS+covering+SEVERAL+lines dan@client

    3) Adapt ssh-server 用于这种类型的连接

    www-data出于安全原因没有外壳(参见/usr/sbin/nologin参考资料grep www /etc/passwd)。因此,我们需要调整ssh-server 设置以仍然允许挂载目录。出于安全考虑,我们还要更改根目录,这样www-dataviassh可能不会逃到外面/var/www,并强制执行公钥认证,以及禁用交互发送命令。毕竟网络服务器看到了互联网 - 黑客喜欢这个。

    在服务器上:在末尾/etc/ssh/sshd_config添加这些行。请注意,匹配块永远不会结束,直到下一个匹配块。另请注意,/var/www必须由root(默认情况下)拥有才能使ChrootDirectory命令正常工作。

    Match User www-data
    AuthorizedKeysFile /etc/www/ssh/authorized_keys
    ChrootDirectory /var/www/
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no
    PasswordAuthentication no

    (来源:ArchWikissh without shell定义授权密钥

    通过 重新加载配置systemctl reload ssh

    4. 全部完成

    在客户端上根据需要执行sshfs-mount

    sshfs www-data@server:/html /homa/dan/WorkServer

    请注意,随着根目录的改变,现在的根目录只会/var/www/html变成现在的根目录。/hmtl/var/www

    5.附加硬化

    如果适用:您仅在工作场所的 LAN 中执行此操作?拒绝- 全局ssh访问www-data并仅在网络上授予它。在匹配块之前sshd_config

     DenyUsers www-data

    并将工作 LAN(例如 192.168. 块)放入匹配条件中:

     Match User www-data Address 192.168.
    • 1

  2. 更新 - (可能)修复:

    我按照@Fiximan的提示,将卷安装在 www-data 拥有的本地 /var/www/html中,就像在远程上一样。

    此外,我已将 /var/www/html 的远程所有者更改为我登录的用户(属于 www-data 组的用户)。

    • 0

相关问题