Tham gia Đăng nhập
Điểm:0
Etshy avatar Server

sftp - chỉ cấp quyền truy cập mật khẩu cho một người dùng & chroot

lá cờ in
Etshy

Trước tiên, tôi biết loại câu hỏi này đã được hỏi rất nhiều và tôi đã thử rất nhiều giải pháp ở đây và trên SuperUser nhưng không có giải pháp nào hiệu quả và tôi không thể tìm ra lý do tại sao.

Tôi muốn định cấu hình ssh của mình để chỉ chấp nhận đăng nhập bằng khóa ngoại trừ một người dùng chỉ có thể đăng nhập bằng sftp (không có quyền truy cập ssh cli, nếu có thể, tôi không chắc)

Đây là cấu hình của tôi

Cho phép người dùng người dùng1 người dùng2
Đăng nhậpGraceTime 0
PubkeyAuthentication có
AuthorizedKeysFile %h/.ssh/authorized_keys
Mật khẩu Xác thực không
ChallengeResponseXác thực không
Sử dụngPAM có
X11Chuyển tiếp có
Hộp cát UsePrivilegeSeparation
ClientAliveInterval 120
Hệ thống con sftp nội bộ-sftp
Kết hợp nhóm sftpusers
        ChrootDirectory /home/%u
        ForceCommand nội bộ-sftp
Khớp người dùng người dùng2
        Xác thực mật khẩu có
        ChrootDirectory /home/%u

Khi tôi cố gắng đăng nhập bằng FileZilla bằng SFTP, tôi có nhật ký này

Trạng thái: Đang kết nối với *my_server_ip*:*my_ssh_port*...
Phản hồi: fzSftp đã bắt đầu, protocol_version=11
Lệnh: mở "user2@*my_server_ip*" *my_ssh_port*
Trạng thái: Đang sử dụng tên người dùng "user2". 
Lệnh: Pass: ************
Lỗi không thể kết nối đến máy chủ

Khi tôi cố gắng kết nối với ssh

ssh user2@*my_server_ip* -p *my_ssh_port*
mật khẩu của user2@*my_server_ip*:
client_loop: gửi ngắt kết nối: Đặt lại kết nối

Tôi có thể kết nối tốt với user1 bằng pubkey nhưng tôi không thể khiến user2 có thể đăng nhập bằng mật khẩu

87
0 + 0
Paul avatar
lá cờ cn
Paul
Phần này của trang hướng dẫn có trả lời câu hỏi của bạn không: [ChrootDirectory](https://manpages.debian.org/bullseye/openssh-server/sshd_config.5.en.html#ChrootDirectory).
1
Hồi đáp
Etshy avatar
lá cờ in
Etshy
Được rồi, tôi đã kết nối được nhưng bây giờ tôi không thể tải lên trong `home/user2` vì tôi phải `chown root:root` thư mục. Điều đó có bắt buộc không, hay có một thủ thuật nào (như `allow_writeable_chroot` trong vsftpd)?
0
Hồi đáp
Paul avatar
lá cờ cn
Paul
Bạn có thể sử dụng thư mục con?
0
Hồi đáp
Etshy avatar
lá cờ in
Etshy
Tôi có thể nhưng đó không phải là mục tiêu của tôi. Tôi đã tìm thấy một giải pháp phù hợp với vấn đề của mình, có thể không phải là giải pháp tốt nhất.Tôi đã đăng nó và sẽ chấp nhận nó như một giải pháp khi tôi có thể.
0
Hồi đáp
Điểm:0
Etshy avatar Server
lá cờ in
Etshy

Đối với những người có cùng vấn đề với tôi, đây là cách tôi quản lý để chroot người dùng sftp trong thư mục chính của họ

Đây là sshd_config của tôi

Hệ thống con sftp nội bộ-sftp
Kết hợp nhóm sftpusers
        X11Số chuyển tiếp
        AllowTcpForwarding không
        ChrootDirectory/nhà
        ForceCommand internal-sftp -d /%u
Khớp người dùng người dùng2
        Xác thực mật khẩu có

bạn cần phải chroor /Trang Chủvà chỉ đặt đủ quyền cho kết nối chmod 711/nhà của bạn /nhà/người dùng2 dir có thể có quyền bình thường cho người dùng2 để có thể tạo/tải tệp lên.

Với cấu hình này, người dùng sẽ được di chuyển tự động trong thư mục của họ, chroot sẽ ở /Trang Chủ dir nhưng người dùng sẽ không có quyền .. và anh ta sẽ bị bỏ tù trong thư mục nhà riêng của mình.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.