Вопрос знатокам по SFTP

Начнем с того, что SFTP - протокол, а не программа.

Тю, а libastral где? Забыл тег openssh добавить, каюсь. Так что, есть какие-то подобные параметры в sshd_config или как сделать (если вообще возможно)? В мане не нашел.

какие гости в ssh? вы авторизуетесь конкретным пользователем c конкретными учетными данными (пароль или ключ)

Match User vasyan 
    ChrootDirectory /home/%u
    ForceCommand internal-sftp
    ...

Хочу чтобы от Васяна работал Mакском со всеми привилегиями. В vsftpd это реализуется в настройках как указано в ОП. Можно такое сделать в sftp openssh? Вроде все корректно описал, х.з. как еще объяснить.

Все мощности libastral'а брошены на попытку представить, какую именно задачу ты пытаешься решить.

Я имею в виду не поиски рецепта «как замапить юзера», а в более широком смысле, т.е. цель.

Задача не важна. Как её решить по-человечески я и так знаю. Но интересует именно такой простой «васянский» способ. Возможно ли сделать так, как это позволяет vsftpd? Т.е. мне нужно чтобы гости: vasya, petya, tolya заходили по sftp, но их команды исполнялись от имени и с правами пользователя maxcom.

А почему ты называешь «простым» способ, которого не умеешь?
Я, кстати, тоже не умею, увы.

Непонятно, почему не подходит аутентификация с одинаковым юзернеймом и различными ключами. Вот это был бы действительно простой способ. Смысл в разных юзернеймах какой?

А почему ты называешь «простым» способ, которого не умеешь?

Потому, что это умеет vsftpd. Отсюда и вопрос: для таких «простых» решений использовать по старинке vsftpd или это можно сделать в sftp openssh?

Непонятно, почему не подходит аутентификация с одинаковым юзернеймом

Нужны разные username, логично же. Maxcom может быть вообще таким useradd -d /dev/null -s /usr/sbin/nologin maxcom, например. Конечных целей у задачи может быть много. Перечислять каждую не имеет смысла. Меня просто интересует вопрос: возможно подобное в sftp openssh или нет? Всё.

положите ключ Макскома к Васяну в .ssh/authorized_keys и пусть Макском входит на сервер, указывая, что он Васян. И все привелегии Васяна получит.

Maxcom может быть вообще таким useradd -d /dev/null -s /usr/sbin/nologin maxcom, например.

со /sbin/nologin (какое говорящее название) в сессию не попасть. Вы что-то странное для неопределенного рода дел хотите.

Username, введенный при авторизации, четко определяет, какие права вы получите. Переопределить его на лету не получится.

Можно включить их в одну группу и необходимые операции ограничить правами на группу. Может это вам нужно?

Ну ээээ.

ForceCommand sudo -u mysftpuser /usr/lib/openssh/sftp-server

со /sbin/nologin (какое говорящее название) в сессию не попасть

Мне не по ssh залогинется нужно, а через sftp работать. И openssh позволяет это делать (для справки) даже с nologin. Но, пример не об этом был.

Можно включить их в одну группу и необходимые операции ограничить правами на группу. Может это вам нужно?

Точно! Два чая! Офигеть просто… Вы ОП читали?

Но ты все-таки расскажи задачу, я обещаю не ржать

Один из примеров: php-fpm, по-хорошему нужно создавать отдельные пулы. Выделять отдельный каталог под session files с правами и т.п. Но иногда это просто не нужно, а давать лишние права - небезопасно. Выручает vsftpd работающий от любого юзера как будто это www-data, например.

Сейчас какой-то конкретной задачи не стоит. В смысле она даже не одна, но все решаются через vsftpd. В общем, зря вопрос поднял. Раз в мане ничего нет, значить sftp openssh в это не может.

Тему помечаю как решенную. Не вижу смыла продолжать и отвечать на массу левых вопросов, когда нужен был один простой ответ.

Начнём с того, что ты пиздоглазое мудило!

ForceCommand sudo -u mysftpuser /usr/lib/openssh/sftp-server

Блин, вообще рабочий вариант, наверно. Подумал, раз ForceCommand будет запускать команду с привилегиями «гостя», то не вариант. Погорячился. Можно же в sudoers NOPASSWD сделать на «гостя» конкретно для sftp-server. Я же правильно размышляю? А как это на ИБ скажется? Так то не очень хорошо, что «гость» будет иметь такие права, пусть даже только на sftp-server.

Еще хотелось бы internal-sftp использовать. Но раз других вариантов нет, пойдет. Только /usr/lib/openssh/sftp-server не стартанет от пользователя с /usr/sbin/nologin, да?

Ладно. Спасибо! Буду на днях проверять.

P.S. С другой стороны, как-то не очень мне нравится идея всех «гостей» прописывать в sudoers с NOPASSWD. Других идей нет?

Ну да, nopasswd, и это костыльно, конечно. Я поэтому так настойчиво и спрашиваю о задаче и о смысле наличия различных юзернеймов.

Напоминаю (или сообщаю): можно назначать различные ForceCommand для различных ключей одного и того же пользователя.

Чрут, наверное, тоже сюда получится прикрутить только через жопу. С другой стороны, в ForceCommand может лежать скрипт, который делает хоть черта лысого. Можно вообще поднимать рсинк-сервер, который будет принимать файло от клиента и складывать его куда нам надо, а не куда клиент попросил. Я так делал.

не стартанет от пользователя с /usr/sbin/nologin, да?

Если у васи нологин, васю развернет на этапе аутентификации, конечно.

не очень мне нравится идея всех «гостей» прописывать в sudoers

Можно их в группу собрать. И опять же, см. про authorized_keys2.

Напоминаю (или сообщаю): можно назначать различные ForceCommand для различных ключей одного и того же пользователя

Да, не знал, что так можно. Благодарю.

С другой стороны, в ForceCommand может лежать скрипт

Тоже подумал, что так лучше делать. Чтобы расширить возможности проще.

В целом, сильно костыльно и геморойно получается. Если придется кому-то другому админить - ногу сломает пока разберется :) Потыкаю, конечно, ради интереса. Но от vsftpd отказываться, как я понял, для таких целей - не вариант.

Спасибо еще раз за наводки и подсказки.

Если придется кому-то другому админить - ногу сломает пока разберется

Я как раз изучаю админство, мой юный друг.
ЗЫ - вспоминали вас недавно с коллегами.

Владимир

Задумайся - русский ты человек, или постилка rусских и амеrиканских?

Сейчас одни жиды тrавят (на самом деле нет) другого жида-извращенца, который в свою очередь выступал за жидовскую «свободу» - посему и (((либертарианцы))) подключились.

«Свобода» жидов - это порабощение всех остальных (настоящих) людей.

«Православные» жиды - сюда же; яхвист - по определению нерусь.

Задумайся, и если ты всё ещё не дал себе впарить, что рабство это эталон свободы - борись.