[5] SFTP + Chroot
24 maja 2020Zrobimy teraz ograniczenie tylko do SFTP i „uwięzimy” użytkownika w katalogu.
[1] Ustawimy katalog domowy [/home] jako Chroot.
[root@lsr01vm user]# groupadd sftp-users
[root@lsr01vm user]# mcedit /etc/ssh/sshd_config
# linia 142: zakomentuj i dodaj
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
# dodaj na końcu
Match Group sftp-users
X11Forwarding no
AllowTcpForwarding no
ChrootDirectory /home
ForceCommand internal-sftp
Match Group sftp-users
X11Forwarding no
AllowTcpForwarding no
ChrootDirectory /home
ForceCommand internal-sftp
[root@lsr01vm user]# systemctl restart sshd
# powiedzmy, że chcemy tak ograniczyć użytkownika [red]
[root@lsr01vm user]# usermod -G sftp-users red
[2] Sprawdźmy czy wszystko działa OK.
[red@lsr02vm ~]$ ssh 192.168.1.2
red@192.168.1.2's password:
This service allows sftp connections only.
Connection to 192.168.1.2 closed. # czyli dziala, ssh nie zrobimy
[red@lsr02vm ~]$ sftp 192.168.1.2
red@192.168.1.2's password:
Connected to 192.168.1.2.
# ale już sftp działa ;-)
sftp> ls -l
drwx------ 5 cent 1001 126 May 24 13:18 cent
drwx------ 2 red red 83 May 19 20:08 red
drwx------ 5 1003 1003 126 May 20 09:56 test
drwx------ 2 1004 1005 113 May 24 10:35 testuser
drwx------ 6 user 1000 191 May 24 11:45 user
sftp> pwd
Remote working directory: /
sftp> exit
[red@lsr02vm ~]$