SFTP 치명적 나쁜 소유권 또는 chroot 디렉토리 우분투 12.04에 대한 모드


12

방금 SFTP 서버를 설정했는데 첫 번째 사용자 계정에서 SFTP 서버를 사용할 때 제대로 작동합니다. 우리는 'magnarp'이라고 부르는 사용자를 추가하고 싶었습니다. 처음에는 sshd_config에서 이것을 좋아했습니다.

Subsystem sftp internal-sftp


Match group sftponly
    ChrootDirectory /home/%u
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp

그것은 충분히 잘 작동했습니다. magnarp 사용자는 그의 홈 디렉토리로갔습니다. 그런 다음 심볼릭 링크를 추가하려고했습니다.

home$ sudo ln -s /home/DUMP/High\ Defenition/ /home/magnarp/"High Defenition"

symlink는 SSH를 통해 제대로 작동했지만 SFTP에서는 작동하지 않았습니다.

그래서 내가 지금하고 싶은 것은 Chroot 그룹 sftponly를 / home / DUMP에하는 것입니다.

Match group sftponly
    ChrootDirectory /home/DUMP
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp

DUMP 폴더에는 다음과 같은 권한이 있습니다.

drwxrwxrwx  5 root     root      4096 aug 18 02:25 DUMP

그리고 이것은 오류 코드입니다.

Aug 18 16:40:29 nixon-01 sshd[7346]: Connection from 192.168.1.198 port 51354
Aug 18 16:40:30 nixon-01 sshd[7346]: Accepted password for magnarp from 192.168.1.198 port 51354 ssh2
Aug 18 16:40:30 nixon-01 sshd[7346]: pam_unix(sshd:session): session opened for user    magnarp by (uid=0)
Aug 18 16:40:30 nixon-01 sshd[7346]: User child is on pid 7467
Aug 18 16:40:30 nixon-01 sshd[7467]: fatal: bad ownership or modes for chroot directory "/home/DUMP"
Aug 18 16:40:30 nixon-01 sshd[7346]: pam_unix(sshd:session): session closed for user magnarp

답변:


21

sshdchroot 디렉토리와 관련하여 특정 수준의 편집증이 있습니다. 이 기능을 비활성화 할 수 없다고 생각합니다 StrictModes no. chroot 디렉토리 및 모든 상위 디렉토리는 올바르게 설정 되어야합니다 .

  1. 는 chroot 디렉토리와 부모 모두 (즉, 그룹 또는 세계 쓰기 기능이 없어야합니다 chmod 755)
  2. chroot 디렉토리와 모든 상위 디렉토리는 root가 소유해야합니다.

귀하의 경우 로그인 오류는 chmod 755 /home/DUMP sftpuser가 로그인 할 수있는 세계 기록 가능 디렉토리를 가지고 있고 그 디렉토리를 하위 디렉토리로 만들어 모든 사람이 파일을 넣을 수있는 의도로 해결할 수 있습니다./home/DUMP/


1
매력처럼 일했다! 감사합니다. 이제 모든 하위 디렉토리와 NFS 시스템도 수정해야합니다. :
Jonathan

0

A) Simlink를 만드는 것이 chroot를 피하는 데 도움이된다면 chroot를 만드는 요점은 무엇입니까? (모든 사용자가 simlink를 업로드 한 다음 전체 파일 시스템에 액세스 할 수 있음)

B) 하나 더 chmod 777 그리고 당신은 theo에 의해 화를 낼 것이다 ( http://rlv.zcache.com/i_got_flamed_by_theo_de_raadt_t_shirt_tshirt-p235453348828729121en7rf_210.jpg ). http://lists.mindrot.org/pipermail/openssh-unix-dev/2010-January/028151.html 에서 openssh가 chroot 디렉토리 권한에 대해 왜 까다로운 지 이해 하십시오 .

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.