sftp + ChrootDirectory возможно ли запретить пользователю выходить из папки.

0

1

Всем привет, на текущий момент пользователь заходит через sftp на сервер и его перемещает в папку files. Возможно ли каким-то образом запретить ему выходить из папки files.

sshd конфиг для пользователя sftp

Match User sftp
    ForceCommand internal-sftp -d /files/
    PasswordAuthentication no
    PubkeyAuthentication yes
    ChrootDirectory /home/sftp/uploads/
    PermitTunnel no
    AllowAgentForwarding no
    AllowTcpForwarding no
    X11Forwarding no

Знаю что ForceCommand internal-sftp есть доп. ключи -P запретить, -p разрешить. Но их комбинирование к искомому результату не привели. Самое близкое это «ForceCommand internal-sftp -d /files/ -P stat», но при запрещении stat пользователь не может скачать файл.

Полный список ключей.

open, close, read, write, lstat, fstat, setstat, fsetstat, opendir, readdir, remove, mkdir, rmdir, realpath, rename, readlink, symlink, posix-rename, statvfs, fstatvfs, hardlink, fsync, lsetstat

Возможно кто-то ранее сталкивался с подобной задачей? Как реализовали?

←	KDE использует 100% одного ядра

Синхронная запись на съёмные носители

→

А может просто не расшаривать более низкие слои дерева?

kirill_rrr ★★★★★
(31.01.25 22:26:55 MSK)

Зачем ты ChrootDirectory прописал?

firkax ★★★★★
(31.01.25 22:39:11 MSK)

Ах какой нажористый заголовок…

hobbit ★★★★★
(01.02.25 00:39:51 MSK)

Ответ на: комментарий от kirill_rrr 31.01.25 22:26:55 MSK

Так смысл ChrootDirectory в том, что на нее выставляются права 750 и владелец рут, другие пользователи не могут туда положить файл . Для загрузки/выгрузки файлов создается каталог ниже. Вопрос топика заключается в поиске наличия возможности запретить пользователю переходить в каталог выше. Сейчас ChrootDirectory /uploads/, каталог пользователя files/. Можно ли как-то запретить пользователю покидать files/?

jojofun
(03.02.25 10:22:01 MSK) автор топика

возможно ли запретить пользователю выходить из папки

Биология уже запретила — все человеки (включая пользователей) из мамок вышли. Может, конечно, генные инженеры смогут сделать возможным получать детей из папки, но пока ничего для такого запрета делать не надо — уже и так запрещено.

По проблеме:

А почему не тупо ChrootDirectory /home/sftp/uploads/files?

CrX ★★★★★
(03.02.25 10:28:42 MSK)

Ответ на: комментарий от CrX 03.02.25 10:28:42 MSK

При назначении files как Chroot direcory

ChrootDirectory /home/sftp/uploads/files

Права на папку обязательно должны быть 755 или 700. Иначе chrootdirectory не работает и не пускает пользователя по sftp. А с такими правами пользователь не может скачивать/загружать файлы.

jojofun
(03.02.25 10:57:41 MSK) автор топика

Ответ на: комментарий от jojofun 03.02.25 10:57:41 MSK

Может пойти с другой стороны? И что такого если юзер получает туда доступ если там пусто ? (кроме диры:files).

mx__ ★★★★★
(03.02.25 11:12:17 MSK)

Ответ на: комментарий от mx__ 03.02.25 11:12:17 MSK

Тоже никаких проблем не вижу, но интересует возможность чтобы пользователь мог только скачивать и загружать без возможности выйти из папки.

jojofun
(03.02.25 11:43:18 MSK) автор топика

Ответ на: комментарий от jojofun 03.02.25 11:43:18 MSK

Я думаю это так сделано специально. (хз почему). В конце концов это не критично, на одну диру вниз у каждого пользователя/группы. В конце концов это же не фтп сервер а просто обрубок протокола.

mx__ ★★★★★
(03.02.25 15:13:17 MSK)

←	KDE использует 100% одного ядра

General

Синхронная запись на съёмные носители

→

Похожие темы