FastNetMon

Sunday 24 January 2010

sftp в chrooted ssh в Debian 6 Wheezy

Открываем конфиг:
vi /etc/ssh/sshd_config


Ищем там:
Subsystem sftp /usr/lib/openssh/sftp-server


Заменяем на:
Subsystem sftp internal-sftp


То есть иными словами, мы не можем использовать внешнюю программу, т.к. ее не будет у нас в чруте и поэтому переключаемся на встроенный механизм.

Создаем юзера:
useradd nrg -m
passwd nrg


Меняем владельца домашней папки юзера - это обязательное требования для чрута в нее (иначе получите: sshd[6341]: fatal: bad ownership or modes for chroot directory "/home/nrg"):
chown root.root /home/nrg/


Также добавляем юзера, которого будем чрутить:

Match user nrg
ForceCommand internal-sftp 
ChrootDirectory %h

X11Forwarding no
AllowTcpForwarding no


Перезапускаем демона SSH:
/etc/init.d/ssh restart


Подключаемся:

sftp -oPort=22 nrg@v1.test.ru
Connecting to v1.test.ru...
nrg@v1.test.ru's password:
sftp> ls /
/123123 /suxxxx
sftp>


Вот и все, пользователь не имеет доступа никуда, кроме своей домашней папки :)

Подробности можно прочесть в мане:
man 5 sshd_config


Источник: http://undeadly.org/cgi?action=article&sid=20080220110039 и http://www.howtoforge.com/chrooted-ssh-sftp-tutorial-debian-lenny и http://blog.antage.name/posts/sftp-chroot-%D0%B2-%D0%B4%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D1%8E%D1%8E-%D0%BF%D0%B0%D0%BF%D0%BA%D1%83.html

No comments :

Post a Comment

Note: only a member of this blog may post a comment.