fragen stichworte

ChrootDirectory versucht, einen SFTP-Benutzer in sein Home-Verzeichnis aufzunehmen

Ich habe ein paar Beispiele gemacht, wie das geht, und alle enden mit der Änderung von sshd_config in

Subsystem sftp internal-sftp

Match User chubbyninja
    ChrootDirectory %h
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand/usr/lib/openssh/sftp-server

Wenn ich dies tue, dann sshd -t, um sicherzustellen, dass dann keine Fehler auftreten service sshd restart

Nach dem Neustart versuche ich, SFTP (mit filezilla) auszuführen, aber ich bekomme ständig

Response:   fzSftp started
Command:    open "chubbyninja@xxx.xxx.xxx.xxx" 22
Command:    Pass: ********************
Error:  Network error: Software caused connection abort
Error:  Could not connect to server

Wenn ich die config wieder in ihren ursprünglichen Zustand zurückversetze, kann ich SFTP gut verwenden, aber dann kann ich jedes Verzeichnis durchsuchen. Wo brauche ich Benutzer nur in ihrem Home-Verzeichnis

Meine Standardkonfiguration enthält diese Zeile:

Subsystem sftp/usr/lib/openssh/sftp-server

Was ich durch die obigen Angaben ersetze.

Ich habe nur Zugriff auf diese Maschine über SSH, obwohl ich Root-Zugriff habe.

AKTUALISIEREN Nachdem ich sam_pan_mariusz 'Rat befolgt habe, scheint es weiter zu kommen, aber jetzt bekomme ich

Response:   fzSftp started
Command:    open "chubbyninja@xxx.xxx.xxx.xxx" 22
Error:  Network error: Connection refused
Error:  Could not connect to server

UPDATE 2

Ich habe auch den Rat von Froggiz befolgt und meine Konfiguration folgendermaßen geändert:

Subsystem sftp internal-sftp -u 0007 -f AUTH -l VERBOSE 
Match Group chubbyninja
     ChrootDirectory/home/chubbyninja
     ForceCommand internal-sftp -u 0007
     AllowTcpForwarding no
     GatewayPorts no
     X11Forwarding no

aber ich bekomme den ursprünglichen Software-Verbindungsabbruch

Ich überwache /var/syslog, aber es wird nichts angezeigt, was darauf hinweist, warum dieser Fehler

vorliegt

UPDATE 3 - sshd_config hinzugefügt

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey/etc/ssh/ssh_host_rsa_key
HostKey/etc/ssh/ssh_host_dsa_key
HostKey/etc/ssh/ssh_host_ecdsa_key
HostKey/etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
#PermitRootLogin without-password
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in/etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner/etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp internal-sftp -u 0007 -f AUTH -l VERBOSE

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes



Match Group chubbyninja
        ChrootDirectory/home/chubbyninja
        AllowTCPForwarding no
        X11Forwarding no
        GatewayPorts no
        ForceCommand internal-sftp -u 0007

antworten

Ich verstehe den "ersetzenden" Teil der Frage nicht wirklich, aber ... bei der Erstellung von chrooting in SSH sollte ForceCommand auf den Namen des internen Subsystems verweisen. In Ihrem Fall sollte die gesamte Zeile lauten: ForceCommand sftp.

Wenn Sie den ausführbaren Pfad in Chroot verwenden möchten, müssen Sie ein entsprechendes chroot-Verzeichnis erstellen (das Bibliotheken enthält, auf die die ausführbare Datei verweist, die Konfigurationsdateien usw.).

Relevante Zeilen aus meiner Arbeitskonfiguration:

Subsystem sftp/usr/lib/openssh/sftp-server

Match User testuser1
    ChrootDirectory/one/dir/path/
    ForceCommand internal-sftp

So setze ich mein Sftp für einen bestimmten Benutzer

1] Erstellen Sie einen Benutzer

adduser {USER}

2] Bearbeiten Sie/etc/ssh/sshd_config

PasswordAuthentication yes 

 Subsystem sftp
 internal-sftp -u 0007 -f AUTH -l VERBOSE 
 Match Group {USER}
     ChrootDirectory {FOLDER}
     ForceCommand internal-sftp -u 0007
     AllowTcpForwarding no
     GatewayPorts no
     X11Forwarding no

3] Rechte für den Benutzer

setzen
chmod -R 777 {FOLDER}

4] ssh neu starten

service ssh restart

Ersetzen Sie {USER} durch Ihren Benutzer und {FOLDER} in Ihrem Ordner und es sollte funktionieren! ;)

Können Sie Ihre vollständige SSH-Konfiguration eingeben?