Вопрос или проблема
Если пользователь заходит на машину через SFTP, можно использовать ключевое слово ChrootDirectory, чтобы создать иллюзию того, что пользователь находится в корневом каталоге. Но этот каталог можно редактировать только пользователю root. Я бы хотел, чтобы у этого пользователя были такие права на запись, и, похоже, OpenSSH это не предлагает, если я ничего не пропустил?
Я понимаю, что пользователю SFTP можно предоставить права на запись на любой файл/каталог внутри этого ChrootDirectory, но этого недостаточно. Я хочу, чтобы пользователь также мог создавать/удалять файлы непосредственно в этом “корневом” каталоге, без обходного пути создания подпапки, в которой у этого пользователя есть возможность записи.
Я столкнулся с той же проблемой в моей локальной SFTP. Вот что я сделал, чтобы обойти это:
В файле sshd_config:
Match group sftpusers
ChrootDirectory %h
В файле /etc/groups добавьте вашего пользователя sftp в группу sftpusers (создайте, если она не существует):
sftpusers:x:6000:user1,user2
Для ChrootDirectory убедитесь, что вы chown каталог к следующему (внимание, будьте осторожны с каталогом, на котором вы выполняете эту команду, убедитесь, что она выполняется только в каталоге, в который заходит пользователь, команда -R означает рекурсивно, так что если есть подпапки, которые вы не хотите, чтобы эта команда включала, уберите ее. Также пользователю SFTP никогда не следует предоставлять доступ к системному каталогу уровня root, например /etc, лучше создать папку под чем-то вроде /usr/local/alcatraz и дать им доступ к этому):
chown -R root:sftpusers userChrootDirectory
Примените chmod к каталогу, чтобы установить желаемые разрешения, что-то вроде:
drwxrws---
Если вам нужна дополнительная информация, дайте знать, это только основные моменты, которые должны привести вас к желаемому результату.
Ответ или решение
Как сделать директорию ChrootDirectory доступной для записи пользователем SFTP
При организации доступа к серверу по SFTP через параметр ChrootDirectory, многие администраторы сталкиваются с проблемой, что пользователи могут взаимодействовать только с подкаталогами этой директории, тогда как доступ к корню (главной директории) возможен только для пользователя root. В этом руководстве мы рассмотрим, как обеспечить доступ для записи к директории ChrootDirectory для пользователя SFTP, избегая распространённых подходов, требующих создания дополнительных подкаталогов.
Основы работы с ChrootDirectory
Параметр ChrootDirectory в конфигурации SSH (обычно в файле /etc/ssh/sshd_config) позволяет изолировать пользователя, предоставляя ему доступ только к определенному поддереву файловой системы. В большинстве случаев это удобно, но ограничивает возможности управления файлами на уровне корневой директории chroot-окружения.
Шаги для настройки доступа к ChrootDirectory
-
Настройка sshd_config:
В файле
/etc/ssh/sshd_config, добавьте следующее:Match group sftpusers ChrootDirectory %hЭто указание делает так, что пользователи, входящие в группу
sftpusers, будут изолированы в своей домашней директории, указанной переменной%h. -
Создание группы sftpusers:
Если группа
sftpusersеще не существует, создайте её, добавив нужных пользователей в файл/etc/group. Пример записи:sftpusers:x:6000:user1,user2 -
Настройка директории ChrootDirectory:
Убедитесь, что директория
ChrootDirectoryпринадлежит пользователюrootи группеsftpusers. Выполните следующую команду:chown root:sftpusers /usr/local/alcatraz/userChrootDirectoryВажно: Будьте осторожны с этой командой! Замените путь на правильный, соответствующий вашему окружению, чтобы избежать изменения прав доступа к системным директориям.
-
Установка прав доступа:
Настройте права на директорию, чтобы пользователи могли писать в неё. Пример команд для настройки прав:
chmod 770 /usr/local/alcatraz/userChrootDirectory chmod g+s /usr/local/alcatraz/userChrootDirectoryТакой подход обеспечит возможность пользователям группы
sftpusersсоздавать и изменять файлы в корневой директории chroot-окружения.
Альтернативные решения и проблемы безопасности
Важно отметить, что хотя это решение позволяет пользователям записывать файлы непосредственно в ChrootDirectory, оно может создать потенциальные риски безопасности. Пользователи могут случайно (или намеренно) повредить важные системные файлы или создать другие проблемы в управлении сервером.
Таким образом, рекомендуется рассмотреть возможность использования подкаталогов для хранения пользовательских данных, особенно если это SFTP-сервер используется в производственной среде. Также следует регулярно проводить аудит прав доступа и активности пользователей для предотвращения злоупотреблений.
Заключение
Использование параметра ChrootDirectory в комбинации с корректной настройкой прав пользователя может существенно повысить безопасность вашего SFTP-сервера и предоставить пользователям необходимые функции. Однако, всегда помните о необходимости тщательного контроля прав доступа и возможности использования изолированных подкаталогов для хранения данных. Если вам требуется дополнительная информация или возникнут вопросы, не стесняйтесь обращаться за помощью.