LINUX.ORG.RU

sftp chroot не могу подключится

 ,


0

1

Здравствуй ЛОР.
Пытаюсь настроить sftp c chroot для разных пользователей. Настраивал по арчевому wiki (т.к sshd крутится на арче). Подключится не могу, бесконечный запрос пароля.

Что сейчас имею:

Путь к пользователю с правами /mnt/storage/media

drwxr-xr-x   3 root root  4096 авг  9 08:16 mnt
drwxr-xr-x 13 root root 4096 авг 10 09:20 storage
drwxr-xr-x  4 root  root   4096 авг 10 17:51 media

Дальше уже уже внутри домашнего каталога все с правами media:media

Ну и сообственно кусок конфига:

# override default of no subsystems
Subsystem       sftp    /usr/lib/ssh/sftp-server

Match User media
        X11Forwarding no
        AllowTcpForwarding no
        ChrootDirectory %h
        ForceCommand internal-sftp
        PasswordAuthentication yes
★★★★

Последнее исправление: xaTa (всего исправлений: 1)

″LogLevel Debug″ и смотрите, что происходит. Ещё можно включить логирование для internal-sftp (как в арч-вики написано).

mky ★★★★★
()

создать пользователя useradd и пароль на него passwd:

nano /etc/ssh/sshd_config

#Subsystem коментируем старую строку

Subsystem sftp internal-sftp Match Group sftp ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no PasswordAuthentication yes #авторизация по паролю, мало ли у рута по ключю

создаем юзера joe и группу sftp: groupadd sftp; useradd joe (можно задать папку -b /home/joe1, по умолчанию будет /home/joe) usermod -aG sftp joe usermod -s /bin/false joe chown root:root /home/joe chmod 0755 /home/joe

service sshd restart

все в кучу изза форматирования на этом сайте, я устал с ним боротся.

Regacar
()
Последнее исправление: Regacar (всего исправлений: 2)
Ответ на: комментарий от Regacar

Это все сделано уже давно. Толку только ноль.

xaTa ★★★★
() автор топика
Ответ на: комментарий от xaTa

Ну как же ничего криминального? Аутентификация пользователя через PAM не проходит. Либо потому, что ты тупо вводишь неправильный пароль, либо по другим причинам. Выкладывай теперь /var/log/secure (или куда там у тебя валятся сообщения с facility auth/authpriv). Там будет видно имя PAM-модуля, дающего отлуп.

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Все что удалось словить

авг 11 12:49:27 cubie audit[21327]: USER_AUTH pid=21327 uid=0 auid=4294967295 ses=4294967295 subj=_ msg='op=PAM:authentication grantors=? acct="media" exe="/usr/bin/sshd" hostname=192.168.5.2 addr=192.168.5.2 terminal=ssh res=failed'
авг 11 12:49:27 cubie kernel: audit: type=1100 audit(1597139367.266:401): pid=21327 uid=0 auid=4294967295 ses=4294967295 subj=_ msg='op=PAM:authentication grantors=? acct="media" exe="/usr/bin/sshd" hostname=192.168.5.2 addr=192.168.5.2 terminal=ssh res=failed'
xaTa ★★★★
() автор топика
Ответ на: комментарий от xaTa

Нее... это логи аудита. Нужно что-то вроде journalctl _COMM=sshd

bigbit ★★★★★
()

Разбирался с этим недавно. К сожалению там сильная заумь с правами, по этому делать chroot в домашний каталог по умолчанию невозможно.

На хостингах вроде какими-то патчами обходятся или трюками.

Самое простое что можно сделать это
1. Создать каталог, который будет виден через sftp;
2.Установить владельцем каталога /home/{user} (но не внутренностей) root:root 0755;
3. Внутри /home/{user} создать каталог в который будет монтироваться тот, что создали в пункте 1;
4. mount --bind каталог из пункта 1 на пункт 3.

Вы сможете входить (благодаря пункту 2) по sftp chroot в хомяки, но писать сможете только в каталог из пункта 4. Нет, прямо в 4 вы chroot делать не сможете.

atrus ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.