sftp+chroot

     SFTP расшифровывается как SSH File Transfer Protocol — SSH-протокол для передачи файлов. Он предназначен для копирования и выполнения других операций с файлами поверх надёжного и безопасного соединения. Как правило, в качестве базового протокола, обеспечивающего соединение, и используется протокол SSH2, но это не обязательно.OpenSSH (открытый безопасный shell) — набор программ, предоставляющих шифрование сеансов связи по компьютерным сетям с использованием протокола SSH.

    Он был создан под руководством Teo de Raadt (Тэо де Раадт) как открытая альтернатива проприетарного ПО от SSH Communications Security. В набор программ OpenSSH входит и sftp-сервер.Недавно в дерево исходных текстов OpenSSH принят код,позволяющий помещать отдельных пользователей в изолированное окружение(chroot).

    Собственно, я сам для копирования данных на сервер пользуюсь sftp, меня это вполне устраивает.Возникла необходимость дать возможность нескольким пользователям заливать на сервер контент для своих сайтов.Ставить ради этого какой-нибудь PureFTPd я не хотел, но использование в чистом виде sftp мне не нравилось тем, что они могут залогиниться под ssh, а также тем, что в клиенте (например Filezilla) видна вся файловая система сервера.То есть я хотел, чтобы пользователи могли зайти только по sftp и видеть и изменять только свою папку.

# cd /usr/ports/
# make search name='openssh'
Port:   openssh-portable-5.0.p1,1
Path:   /usr/ports/security/openssh-portable
Info:   The portable version of OpenBSD's OpenSSH
Maint:  mnag@FreeBSD.org
B-deps:
R-deps:
WWW:    http://www.openssh.org/portable.html

Port:   security/openssh
Moved:
Date:   2008-03-02
Reason: Has expired: Outdate and has security issues

    Нашли то, что нам надо, идем туда, компилируем с такими опциями и устанавливаем.

# cd ./security/openssh-portable
# make install clean
[X] PAM             Enable pam(3) support                     
[X] TCP_WRAPPERS    Enable tcp_wrappers support               
[X] LIBEDIT         Enable readline support to sftp(1)
[X] KERBEROS        Enable kerberos (autodetection)            
[ ] SUID_SSH        Enable suid SSH (Recommended off)    
[ ] GSSAPI          Enable GSSAPI support (req: KERBEROS)  
[ ] KERB_GSSAPI     Enable Kerberos/GSSAPI patch (req: GSSAPI)
[X] OPENSSH_CHROOT  Enable CHROOT support                      
[ ] OPENSC          Enable OpenSC smartcard support            
[ ] OPENSCPINPATCH  Enable OpenSC PIN patch                   
[ ] HPN             Enable HPN-SSH patch                      
[ ] LPK             Enable LDAP Public Key (LPK) patch         
[ ] OVERWRITE_BASE  OpenSSH overwrite base

    Не забудьте прописать в /etc/rc.conf

openssh_enable="YES"
#sshd_enable="YES"

    Далее редактируем файлы настроек

[color=red]# cd /usr/local/etc/ssh
# ls
moduli                  ssh_config-dist         
ssh_host_dsa_key.pub    ssh_host_key.pub        
ssh_host_rsa_key.pub    sshd_config-dist
ssh_config              ssh_host_dsa_key        
ssh_host_key            ssh_host_rsa_key        
sshd_config

    Открываем файл sshd_config и добавляем куда-нибудь в конец следующие строки.

AllowGroups wheel sftponly

# override default of no subsystems
Subsystem       sftp    /usr/local/libexec/sftp-server

Match group sftponly
        ChrootDirectory %h
        ForceCommand internal-sftp
        AllowTcpForwarding no
        X11Forwarding no

    Ну, в wheel вхожу я, ничем не ограниченный, а в группу sftponly входят наши пользователи.



    Создадим будущему пользователю домашний каталог, куда он и будет кидать свои файлы

# mkdir /usr/local/www/example

    А внутри этого каталога еще один

# mkdir /usr/local/www/example/www

    Теперь надо правильно добавить пользователя через adduser. Надо включить его в группу sftponly, дать реальную оболочку(например sh),указать правильный домашний каталог(мы его уже создали), ну естественно, пароль.Вернемся  к нашим баранам(т.е. домашним каталогам пользователей),зададим правильные права.

# chown -R root /usr/local/www/example
# chown -R our_user /usr/local/www/example/www

    Все, теперь перезапускаем openssh

#/usr/local/etc/rc.d/openssh restart

    И пробуем залогинится под нашим пользователем с какой-нибудь машины. Сам я пользуюсь Filezilla, честно говоря, другие клиенты не смотрел.Виден только домашний каталог, а записать пользователь может только в папку www, что и требовалось сделать.

Зайти под ssh этот пользователь не сможет.



Ссылки

1.http://www.openssh.com/-страница проекта OpenSSH

2.http://ru.wikipedia.org/wiki/OpenSSH - страница OpenSSH  в Википедии

3.http://xgu.ru/wiki/Sftp -Информация о протоколе sftp

4.http://www.opennet.ru/opennews/art.shtml?num=14331 - Ссылка на новость о chroot в OpenSSH из Opennet

5.http://blogs.techrepublic.com.com/opensource/?p=229

6.http://www.debian-administration.org/articles/590

Dan, 2008-12-27 в 11:54:55

# mkdir /usr/loca/www/example опечатка в тексте в этой строке

XoRe, 2008-12-28 в 1:17:56

Раз уж решили использовать openssh+chroot, то можно предоставлять и шелл при необходимости. Определить список доступных команд, и вперед. И корневой директорией будет папка пользователя. Ну а статей о том, как сделать chroot'ный шелл юзеру с помощью того-же патча openssh, в инете навалом. Например тут: http://www.opennet.ru/search.shtml?exclude=index|%2Fman.shtml&words=ssh+chroot

Alexander Sheiko, 2008-12-28 в 1:40:08

Как альтернатива - давно использую такой вариант: http://www.mozilla.org.ua/projects/faq/chroot.sftp.openssh/

vorakl, 2009-02-20 в 2:09:51

У меня заработало только после установки Subsystem sftp internal-sftp вместо Subsystem sftp /usr/local/libexec/sftp-server И ещё особое внимание стоит обратить на то, что все каталоги выше от домашенего и сам домашний, должны быть с владельцем root. Записывать sftp пользователь сможет толкьо в каталоги "ниже", в которые у него должно быть право записи.

k-unker, 2009-06-23 в 17:50:59

Работает только если Subsystem sftp internal-sftp Права на каталоги должны быть root (домашний каталог пользователя и каталоги выше по иерархии перед ним)

prOFForg, 2010-06-07 в 21:10:11

необходимость выставлять на пути к chroot директории владельца root может подпортить нормально выставленные права на веб папки(чтобы php скрипты работали в правами пользователя в его директории и не могли лазить в соседнии и т.д.) симлинки sftp в chroot не обрабатывет, поэтому можно сделать так: mount_nullfs /hosting/web/localhost/www/ /hosting/sftp/localhost/www/ В итоге юзер localhost chrootится в /hosting/sftp/localhost и видит там папку www, при заходе в которую попадает в каталог веб-сервера /hosting/web/localhost/www

ara, 2011-12-01 в 14:47:31

как сделать общую папку для всех пользователей. через линк не получается.

ara, 2011-12-02 в 9:03:27

второй вопрос.. как быть с логированием пользователей..

im, 2011-12-02 в 16:03:33

Для логирования можно перепилить вот так: Subsystem sftp /usr/libexec/sftp-server -l INFO Лог будет писаться в /var/log/auth.log. Но есть один момент: для юзеров попадающих в "ForceCommand internal-sftp" лог не работает, ибо это internal-sftp, и он логировать не способен.

ara, 2012-02-01 в 13:25:31

в rc.conf syslogd_flags=\" -s -l /Exchange/user1/dev/log\" то логирование для user1 попадающих в \"ForceCommand internal-sftp\" работает, но у меня несколько useroв; у каждого своя директория. Как запустить несколько копии syslogd c разными флагами если это возможно или есть какой нибудь другой метод. спасибо.

MVS, 2020-09-11 в 17:28:03

Возможно ли все параметры созданных пользователей вынести в отдельный файл, а в sshd_config оставить лишь ссылку?

`Оставьте свой комментарий:`
`Ваше имя: *`
`e-mail:`
`жирный` `наклонный` `подчёркнутый` `ссылка` `цвет`	Товарищщи! Это поля для ввода комментариев к статье, а не для вопросов. Сюда пишите найденные баги, или какие-то фичи :) Для вопросов есть форум!
`Нынешний год: *`

Использование sftp+chroot из openssh в качестве альтернативы ftp-серверу.

`Использование sftp+chroot из openssh в качестве альтернативы ftp-серверу.`