înregistrare Logare
Puncte:0
Etshy avatar Server

sftp - oferă acces prin parolă unui singur utilizator și chroot

drapel in
Etshy

În primul rând, știu că acest tip de întrebare a fost pusă mult și am încercat o mulțime de soluții aici și pe SuperUser, dar niciuna nu a funcționat și nu găsesc de ce.

Vreau să-mi configurez ssh-ul să accepte numai autentificarea cu cheie, cu excepția unui utilizator care s-ar putea autentifica numai cu sftp (fără acces ssh cli, dacă este posibil, nu sunt sigur)

Aici este configurația mea

AllowUsers utilizator1 utilizator2
LoginGraceTime 0
PubkeyAuthentication da
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication nr
ChallengeResponseAuthentication nr
Folosește PAM da
X11 Redirecționare da
Utilizați cutia de testare PrivilegeSeparation
ClientAliveInterval 120
Subsistem sftp intern-sftp
Grupul de meciuri sftpusers
        ChrootDirectory /home/%u
        ForceCommand intern-sftp
Potriviți utilizatorul utilizator2
        Autentificare prin parolă da
        ChrootDirectory /home/%u

Când încerc să mă autent cu FileZilla cu SFTP, am acest jurnal

Stare: se conectează la *my_server_ip*:*my_ssh_port*...
Răspuns: fzSftp a început, protocol_version=11
Comandă: deschideți „user2@*my_server_ip*” *my_ssh_port*
Stare: se utilizează numele de utilizator „utilizator2”. 
Comanda: Treci: ************
Eroare: nu s-a putut conecta la server

Când încerc să mă conectez cu ssh

ssh user2@*my_server_ip* -p *my_ssh_port*
parola utilizator2@*my_server_ip*:
client_loop: trimitere deconectare: resetarea conexiunii

Mă pot conecta cu user1 foarte bine folosind pubkey, dar nu pot face user2 capabil să se autentifice cu parola

87
0 + 0
Paul avatar
drapel cn
Paul
Răspunde această secțiune a paginii de manual la întrebarea dvs.: [ChrootDirectory](https://manpages.debian.org/bullseye/openssh-server/sshd_config.5.en.html#ChrootDirectory).
1
Răspunde
Etshy avatar
drapel in
Etshy
Ok, am reușit să mă conectez, dar acum nu pot încărca în `home/user2` pentru că a trebuit să `chown root:root` directorul. Este asta obligatoriu sau există un truc (cum ar fi `allow_writeable_chroot` în vsftpd)?
0
Răspunde
Paul avatar
drapel cn
Paul
Puteți folosi subdirectoare?
0
Răspunde
Etshy avatar
drapel in
Etshy
Aș putea, dar nu era scopul meu. Am găsit o soluție care se potrivește cu problema mea, poate nu cea mai bună soluție.L-am postat și o voi accepta ca soluție când voi putea.
0
Răspunde
Puncte:0
Etshy avatar Server
drapel in
Etshy

Pentru cei cu aceeași problemă ca mine, iată cum am reușit să crootez utilizatorul sftp în directorul lor de acasă

Aici este sshd_config-ul meu

Subsistem sftp intern-sftp
Grupul de meciuri sftpusers
        X11Redirecționare nr
        AllowTcpForwarding nr
        ChrootDirectory /home
        ForceCommand internal-sftp -d /%u
Potriviți utilizatorul utilizator2
        Autentificare prin parolă da

Trebuie să te aranjezi /Acasăși setați permisiunea suficientă pentru conexiune chmod 711 /home ta /home/user2 dir poate avea permisiunea normală pentru utilizator2 pentru a putea crea/încărca fișiere.

Cu această configurare, utilizatorul va fi mutat automat în directorul său, chroot-ul va fi în /Acasă dir, dar utilizatorul nu va avea permisiunea .. si va fi inchis in propria sa casa dir.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.