Настройка SFTP средствами sshd

0

1

Все работает как надо, пользователь username, который является членом группы username попадает в запертую свою home-директорию. В тоже время другой пользователь системы тоже может зайти. Более того может «путешествовать» по всей системе. Меня это не устраивает и нужно разрешить только пользователю username подключаться по SFTP.

Насколько я понимаю это определяет Match Group username - то есть все кто в группе username могут зайти. Но по факту - доступ у всех. Почему?

Конфиг /etc/ssh/sshd_config

Subsystem       sftp    internal-sftp
Match Group username
        X11Forwarding no
        AllowTcpForwarding no
        ChrootDirectory %h
        ForceCommand internal-sftp

/etc/passwd

username:x:1001:1001::/opt/username:/sbin/nologin

/etc/group

username:x:1001:

Ссылка

←	Как расшари папку с базой 1С для второго юзера?

1С закрывается если в нее заходит другой пользователь(тонкой клиент)

→

Выполни id <user> какому-нить юзеру из группы username помимо юзера username и брось сюда.

iron ★★★★★
(16.10.14 21:02:37 MSK)

Ответ на: комментарий от iron 16.10.14 21:02:37 MSK

Так в группу username входит только пользователь username. И всё. Другой пользователь имеет UID 1000 и входит в свою отдельную группу (созданную по умолчанию) с GID 1000.

nick5
(17.10.14 10:06:19 MSK) автор топика

Ссылка

Ответ на: комментарий от iron 16.10.14 21:02:37 MSK

Может я не правильно выразился, но вопрос на самом деле в следующем...
Допустим в системе два пользователя username1 и username2, которые имеют UID 1000 и UID 1001 соответственно, являются членами групп username1 и usernam2 с GID 1000 и GID 1001. Я определяю строкой Match Group username1 возможность подключения пользователей по SFTP входящих в группу username1. Окей, работает. Вопрос - почему пользователь username2 входящий в группу username2 тоже может подключиться...

nick5
(17.10.14 10:14:35 MSK) автор топика

Ответ на: комментарий от nick5 17.10.14 10:14:35 MSK

Вопрос - почему пользователь username2 входящий в группу username2 тоже может подключиться...

Потому, что оно дает подключаться и лазить где угодно по дефолту любому юзеру у которого прописан правильный шэл и учетка не заблокирована. Поскольку username2 не входит в группу username1, на него не действует «политика» которую ты определил для группы username1. Скопипасть тоже самое в Match Group username2 и все зараотает. Либо включи юзера username2 в группу username1/

iron ★★★★★
(17.10.14 19:35:27 MSK)

Ответ на: комментарий от iron 17.10.14 19:35:27 MSK

Спасибо! :)

nick5
(20.10.14 17:30:47 MSK) автор топика

Ссылка

17 апреля 2015 г.

Здравствуйте! Поднял sftp. Пава на домашнюю папку пользователя:

# ls -la | grep user
drwxr-x---   18 root            user             4096 Апр 16 16:06 user

Юзер логинится, но писать в корень своей папки не может. Как только разрешаю пользователю писать в корень его домашней папки, получаю отлуп и запись в логах:

Apr 17 10:17:04 bug20 sshd[25977]: Accepted password for user from 192.168.0.100 port 3170 ssh2
Apr 17 10:17:04 bug20 sshd[25977]: pam_unix(sshd:session): session opened for user user by (uid=0)
Apr 17 10:17:04 bug20 sshd[25979]: fatal: bad ownership or modes for chroot directory «/home/user»
Apr 17 10:17:04 bug20 sshd[25977]: pam_unix(sshd:session): session closed for user user

Подскажите, возможно ли разрешить пользователю sftp писать в корень его домашнего каталога?
Иначе пропадает весь интерес к sftp.

Man1980
(17.04.15 07:33:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как расшари папку с базой 1С для второго юзера?

Admin

1С закрывается если в нее заходит другой пользователь(тонкой клиент)

→

Похожие темы