Как установить правильные разрешения для клиента Windows без SFTP root?

Вопрос или проблема

Я использую OpenSSH для маппинга диска на клиенте Windows. Сервер также работает на Windows.

Если я использую ChrootDirectory в sshd_config, клиент может видеть файлы внутри символической ссылки, но не может их загрузить.
Чтобы иметь возможность загрузить их, мне нужно отключить ChrootDirectory для клиента, но тогда у него будет доступ к корневому каталогу, что я не хочу разрешать.

Как я могу установить правильные разрешения для клиента без корневого доступа к SFTP?

Вот что появляется в конце файла sshd_config:

#Match Group administrators
#       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys
AllowUsers Guest2 Guest3 Try
Match User Guest2
 #ChrootDirectory "C:\Users\guest2"
 ForceCommand internal-sftp -d "C:\Users\guest2"

Вот как клиент маппит удаленный диск

net use Z: \\sshfs\Guest2@domain!Port 123456 /user:Guest2

По какой-то причине sshfs-win не работает. Я получаю connection reset by peer

Ответ или решение

Настройка правильных разрешений на Windows-клиенте без предоставления root-доступа через SFTP — задача, которая требует особого внимания к деталям конфигурации и безопасности. Давайте разберёмся в этой проблеме, используя теорию, примеры и практическое применение для более полного понимания.

Теория

Вашей первоочередной задачей является предоставление пользователю доступа к необходимым файлам и директориям без предоставления root-доступа. Это традиционная проблема с безопасностью при использовании настройки ChrootDirectory в sshd_config. Chroot защищает корневую файловую систему, ограничивая доступ пользователя определенной директорией, обычно, чтобы предотвратить выход за пределы установленных границ файловой системы. Однако это вызывает трудности с доступом к символическим ссылкам, потому что chroot ограждает symbolic links, и действия, такие как чтение или запись за пределами chroot-директории, становятся невозможны.

Пример

Используя OpenSSH на Windows, вы возможно столкнулись с ситуацией, когда клиент может просматривать файлы внутри символической ссылки, но не может их скачать. Это часто связано с тем, как настраивается Chroot. Без применения chroot-доступа клиент будет иметь root-права, что может повлечь риски для безопасности. Необходимо оптимизировать структуру директорий и символических ссылок так, чтобы они находились в пределах chroot-джейлеба и поддерживали корректную работу без необходимости предоставления доступа к корню файловой системы.

Практическое применение

Первым шагом в решении этой задачи является правильная настройка sshd_config. Обратите внимание на последнюю часть вашей конфигурации:

#Match Group administrators
#       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys
AllowUsers Guest2 Guest3 Try
Match User Guest2
 #ChrootDirectory "C:\Users\guest2"
 ForceCommand internal-sftp -d "C:\Users\guest2"

Здесь важным моментом является директива ForceCommand internal-sftp, которая позволяет принудительно выполнять только SFTP-сеанс. Это предотвращает использование других команд SSH, что уже улучшает безопасность.

Для исправления ситуации необходимо:

Перенос файлов внутрь chroot-директории:

Убедитесь, что все необходимые файлы и символические ссылки, на которые вам нужно ссылаться, находятся внутри директории C:\Users\guest2. Это позволит SFTP работать как запланировано. Корректная структура файловой системы внутри chroot-директории — ключ к доступу без root-доступа.
Изолированное окружение:

Создайте отдельного пользователя или группу, у которых будет строго ограниченный доступ к системным ресурсам. Используйте Windows ACL (Access Control List) для настройки разрешений на уровне файловой системы. Это позволит точно определить, какие файлы и каталоги могут быть прочитаны, изменены или выполнены пользователем.
Политики аудита и мониторинга:

Настройте аудит доступа к файлам и действиям через Event Viewer в Windows. Это может помочь в отслеживании любой подозрительной активности. Используйте журнал регистрации событий для этого. Добавьте политики безопасности, которые уведомят вас о нарушениях.
Проверка и тестирование

После внесения изменений, тщательно проверьте, что доступ к необходимым файлам работает должным образом для ваших пользователей и что они ограничены в своих правах на доступ к системе. Запустите тесты под учётной записью пользователя, чтобы убедиться, что конфигурация корректна и безопасна.
Отладка проблемы "connection reset by peer":

Для решения проблемы sshfs-win с ошибкой "connection reset by peer" убедитесь, что сеть и SSH-конфигурации настроены правильно. Проверьте, что брандмауэр Windows и сетевые политики не блокируют соединения. Перезагрузите SSH-службу после изменений: net stop sshd и net start sshd.

Следуя этим шагам, можно успешно настроить SFTP-доступ для клиента без предоставления root-доступа, сохраняя безопасность и функциональность системы. Важно следить за изменениями в системных обновлениях и практиках безопасности, чтобы адаптировать ваше решение под новые требования и угрозы.