SFTP chroot mit Bordmitteln ...
![linux linux](/dirk/blog/uploads/tux.serendipityThumb.png)
In Anlehnung an scponly habe ich eine Gruppe
sftponly
angelegt. In diese habe ich alle User gesteckt, die nur per sftp
auf den Server zugreifen sollen.In der
/etc/ssh/sshd_config
habe ich die betehende Subsystem-Zeile auskommentiert und eine neue Zeile mit Hinweis auf internal-sftp
hinzugefügt.# Subsystem sftp /usr/lib/openssh/sftp-server Subsystem sftp internal-sftp
Ene chroot-Umgebung für die Gruppenmitglieder der Gruppe sftponly wird wie folgt eingerichtet:
Match group sftponly ChrootDirectory /home/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp
Die
ChrootDirectory
-Option sagt, dass /home/USERNAME
für den Benutzer zum root-Directory wird. Das Homeverzeichnis in der /etc/passwd
gilt ab diesem Verzeichnis.Das kann nervig sein, da im Standard, OpenSSH nach der
authorized_keys
-Datei im Verzeichnis .ssh des Homeverzeichnisses sucht. Das ist natürlich konfigurierbar, aber ich wollte daran nichts ändern.AuthorizedKeysFile %h/.ssh/authorized_keys
Daher sieht bei mir das Konstrukt ein wenig "eigenwillig" aus.
Unter
/home/USERNAME/.ssh/authorized_keys
sind die erlaubten öffentlichen Schlüssel des Benutzers zu finden. Das Verzeichnis /home/USERNAME
gehört jetzt dem User root
. Das Verzeichnis, in das der User schreiben darf liegt unter /home/USERNAME/home/USERNAME
. Sieht komisch aus, macht aber nichts kaputt. ![:-)](/dirk/blog/plugins/serendipity_event_emoticate/img/emoticons/smile.png)
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
kero am :
kero
Dirk Deimeke am :
Vielen Dank für die Ergänzung!
Thomas am :
Dirk Deimeke am :
Thomas am :
Dirk Deimeke am :