Настройка домашнего каталога SFTP или SSH Chroot

По умолчанию, при подключении по SFTP пользователь имеет возможность спускаться по дереву каталогов и видеть структуру папок. А при наличии прав, редактировать и удалять файлы. Доступ можно ограничить, создав специальное окружение для определенной папки и всех ее подпапок.

Настройка SSH

Открываем конфигурационный файл openssh:

vi /etc/ssh/sshd_config

Комментируем следующую строку:

#Subsystem sftp /usr/lib/openssh/sftp-server

Добавляем следующее (обязательно в самый конец файла).

Для определенного пользователя:

Subsystem sftp internal-sftp -f AUTH -l VERBOSE
Match user sftpuser
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no

* где sftpuser — имя пользователя, для которого срабатывает набор правил; %h (home directory) — домашняя директория пользователя (здесь также можно указать конкретный каталог); ForceCommand internal-sftp — использовать только sftp, встроенный в ssh.
** если данные строки добавить не в конец файла, сервис ssh может не запуститься.

Для группы пользователей:

Subsystem sftp internal-sftp -f AUTH -l VERBOSE
Match group sftpgroup
ChrootDirectory /home/%u
ForceCommand internal-sftp
AllowTcpForwarding no

* как видим, в данном примере все то же самое — только меняем user на group/home/%u — другой способ прописать путь к домашней директории (/home + имя пользователя).

После перезапускаем службу:

systemctl restart ssh || systemctl restart sshd || service ssh restart || service sshd restart

* команда рассчитана на запуск в разных версиях Linux (CentOS / Ubuntu / Red Hat / Debian и так далее, а также на базе systemd или ранних версий), так как служба может называться ssh или sshd.

Создание пользователя и группы

Если в системе еще нет группы или пользователя, для которого мы настроили SSH chroot, выполняем следующие команды.

Создание пользователя

useradd sftpuser -d /home/sftpuser -m

* где sftpuser — имя пользователя; /home/sftpuser — домашний каталог пользователя.

Задаем пароль для пользователя:

passwd sftpuser

Создание группы

groupadd sftpgroup

Для добавления пользователя в группу можно воспользоваться командой:

usermod sftpuser -G sftpgroup

или отредактировать файл:

vi /etc/group
sftpgroup:x:1004:sftpuser

1004 — идентификатор группы (может быть любым числом).

Выставление прав на каталог

При попытке подключиться по SFTP мы получим ошибку fatal: bad ownership or modes for chroot directory, так как необходимо выставить правильные права. Система требует, чтобы все каталоги пути имели права 755 и их владельцем был root.

В нашем примере мы выполняем следующие команды:

chown root: /home/sftpuser
chmod 755 /home/sftpuser

Права будут следующие:

drwxr-xr-x 2 root root 4096 окт.  30 09:00 /home/sftpuser/

Похожие записи

Как обновить PostgreSQL с 14 до 15

Авторmasker

Выпущена новая версия PostgreSQL 15 . Есть несколько способов обновить старую версию 14, и самый простой из них — использовать инструмент pg_upgrade . Вот краткое руководство для систем Ubuntu (или Debian). И, пожалуйста, не забудьте сделать резервную копию ваших данных!

Конвертируем PFX в KEY и CRT

Авторmasker

Конвертация PFX в KEY и CRT может потребоваться в том случае, если вы используете какое-либо unix/linux-приложение с поддержкой доступа по SSL. Чаще всего это веб-приложения. В противовес этому подходу Windows использует сертификаты в формате .pfx для хранения пары закрытый-открытый ключи враз, разумеется с защитой паролем при попытке экспорта. Регулярно приходится работать с сертификатами и процесс…

Разрешаем загрузку больших файлов в nginx/apache/php

Авторmasker

Директива client_max_body_size задаёт максимально допустимый размер тела запроса клиента, указываемый в строке «Content-Length» в заголовке запроса. Если размер больше заданного, то клиенту возвращается ошибка «Request Entity Too Large» (413). Следует иметь в виду, что браузеры не умеют корректно показывать эту ошибку.

Развёртывание Kubernetes-кластера в Debian

Авторmasker

Требуется: развернуть Kubernetes-кластер для получения опыта, связанного с настройкой и управлением Kubernetes-кластера, и дальнейшего его использования для разработки и хостинга персональных проектов. Минимальная конфигурация кластера может состоять из одного-двух узлов: либо один master, которому разрешено хостить пользовательские нагрузки, либо один master и один worker. Однако, подобный кластер не будет, даже близко, похож на типичный промышленный…

OpenVPN на Debian 11

Авторmasker

В данной статье предполагается, что минимальная установка Debian 11 уже проведена, но желательно произвести ряд дополнительных настроек, которые немного поднимут безопасность. Первичная настройка Сервера Добавление нового пользователя Для начала зайдем на сервер от имени root su — Установим утилиту sudo apt -y install sudo Добавим пользователя и возможность пользователю работать от имени root, в данном примере имя…

Как установить NextCloud 21 на Ubuntu Server 20.04 с помощью Nginx, PHP-FPM, MariaDB и Redis

Авторmasker

Это руководство предназначено для ручной установки NextCloud 21 на новый сервер Ubuntu 20.04 с использованием Nginx, MariaDB и PHP 7.4; и Redis для кэша памяти. 1. Установите зависимости Прежде всего, установите зависимости. Начнем с Nginx (веб-сервер) и MariaDB (движок базы данных, эквивалентный MySQL). Обратите внимание , что я запускаю команды, показанные ниже, из командной строки root. Если у вас…