OpenSSH и umask

0

1

Нужно поменять дефолтный umask на 0002. Пишу в /etc/ssh/sshd_config

ForceCommand internal-sftp -u 0002

и нифига, залитые файлы всё равно создаются с 0644.

В чём логика?

Ссылка

←	Может ли клиент проигнорировать назначенный ему OpenVPN IP-адрес?

Nginx + php-fpm отдают данные по мере генерации а не после.

→

Посмотри, не ставится ли umask у пользователя в .profile и .bashrc. Ещё, по логике, нужно в sshd_config

Subsystem internal-sftp

Я бы скорее смотрел на pam_umask и /etc/login.defs - более универсально.

selivan ★★★
(28.08.14 17:06:12 MSK)

Многие sftp клиенты не забывают копировать права соответствующими командами ;)

router ★★★★★
(28.08.14 17:07:57 MSK)

З.Ы. А у internal-sftp вообще какие-то опции есть? Оно ж, вроде, не отдельная программа, а что-то внутрях sshd.

selivan ★★★
(28.08.14 17:08:52 MSK)

Ответ на: комментарий от selivan 28.08.14 17:06:12 MSK

Я бы скорее смотрел на pam_umask и /etc/login.defs - более универсально

Нужно поменять дефолтный umask для конкретного пользователя или группы. Естественно, перед ForceCommand написано нечто вроде

Match User username

frozen_twilight ★★
(28.08.14 17:21:25 MSK) автор топика
Последнее исправление: frozen_twilight 28.08.14 17:23:47 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от selivan 28.08.14 17:08:52 MSK

internal-sftp - это по сути отсылка к дефолтному sftp-server бинарнику (/usr/lib/openssh/sftp-server). Если задавать какие-то другие значения через -u, то заметно, что как-то всё-таки оно действует.

frozen_twilight ★★
(28.08.14 17:22:45 MSK) автор топика

Ответ на: комментарий от frozen_twilight 28.08.14 17:22:45 MSK

Specifying a command of “internal-sftp” will force the use of an in-process sftp server that requires no support files when used with ChrootDirectory.

The command sftp-server(8) implements the “sftp” file transfer subsystem. Alternately the name “internal-sftp” implements an in-process “sftp” server.

Всё-таки “internal-sftp” и /usr/lib/openssh/sftp-server - разные вещи.

В в .profile и .bashrc ничего не нашлось? Значения -u, кроме 0002, действуют? Тогда совсем непонятно

selivan ★★★
(28.08.14 18:08:18 MSK)

Ответ на: комментарий от selivan 28.08.14 18:08:18 MSK

В в .profile и .bashrc ничего не нашлось?

Как это относится к SFTP?

Значения -u, кроме 0002, действуют?

В общем, после ряда экспериментов я пришёл к выводу, что итоговые права получаются из прав исходного файла на стороне клиента (и OpenSSH sftp клиент всё-таки передаёт их серверу) и наложенного на него umask. К сожалению, форсировать права по крайней мере в линуксовом порте OpenSSH, похоже, нет возможности.

frozen_twilight ★★
(28.08.14 21:03:46 MSK) автор топика

Ответ на: комментарий от frozen_twilight 28.08.14 21:03:46 MSK

Как это относится к SFTP?

Если забъёшь в .profile, например, screen - scp перестанет работать. То есть, для передачи данных оно использует шелл.

Форсировать права по крайней мере в линуксовом порте OpenSSH, похоже, нет возможности.

Можно сварганить велосипед из incron: появился новый файл - меняем права.

selivan ★★★
(28.08.14 23:04:21 MSK)

Ссылка

Ответ на: комментарий от router 28.08.14 17:07:57 MSK

Многие sftp клиенты не забывают копировать права соответствующими командами ;)

большинство. как вариант можно пропатчить бинарник sftp сервера и убрать обработку команды chmod, повесив на нее заглушку. а с пермишенами в линуксе нерешаемая беда. вот еще selinux может помочь.

prizident ★★★★★
(28.08.14 23:14:31 MSK)