Я выполнил эти инструкции на ArchWiki и GeekStuff для настройки пользователя, который может получить доступ к серверу только через SFTP (SSH), но без Shell (/bin/false) в chrooted окружении его домашнего dir.
Ничего особенного, но это просто не работает, я продолжаю получать access denied сообщения, когда я пытаюсь войти в систему. Вот что я пробовал до сих пор:
Пользователь, здесь: user, является членом группы sftp. Домашний каталог /srv/sftp/user. Оболочка отключена через /bin/false
Запись пользователя:
0 ✓ root@host ~ $ grep -i user /etc/passwd
user:x:1002:1000::/srv/sftp/user:/bin/false
Запись в группе:
0 ✓ root@host ~ $ grep -i sftp /etc/group
sftp:x:1000:user
Группы пользователей:
0 ✓ root@host ~ $ groups user
users sftp
Домашний каталог и все вышеперечисленные каталоги принадлежат root:
0 ✓ root@host ~ $ ls -lsha /srv
total 20K
4,0K drwxr-xr-x 6 root root 4,0K 4. Apr 17:00 ./
4,0K drwxr-xr-x 17 root root 4,0K 4. Apr 15:08 ../
4,0K dr-xr-xr-x 2 root ftp 4,0K 30. Sep 2015 ftp/
4,0K drwxr-xr-x 4 root root 4,0K 4. Apr 19:30 http/
4,0K drwxr-xr-x 5 root root 4,0K 4. Apr 17:00 sftp/
0 ✓ root@host ~ $ ls -lsha /srv/sftp
total 12K
4,0K drwxr-xr-x 5 root root 4,0K 4. Apr 17:00 ./
4,0K drwxr-xr-x 6 root root 4,0K 4. Apr 17:00 ../
4,0K drwxr-xr-x 5 root root 4,0K 4. Apr 19:34 user/
0 ✓ root@host ~ $ ls -lsha /srv/sftp/user
total 16K
4,0K drwxr-xr-x 5 root root 4,0K 4. Apr 19:34 ./
4,0K drwxr-xr-x 5 root root 4,0K 4. Apr 17:00 ../
4,0K drwxrwxr-x 6 user sftp 4,0K 4. Apr 20:28 files/
4,0K drwxrwxr-x 2 user sftp 4,0K 4. Apr 19:33 log/
Конец конфига SSHD:
0 ✓ root@host ~ $ tail -n16 /etc/ssh/sshd_config
# override default of no subsystems
### Subsystem sftp /usr/lib/ssh/sftp-server
Subsystem sftp internal-sftp
### This section must be placed at the very end of sshd_config
# This means that all users in the ‘sftp’ group will be chroot’d
# to their home directory, where they only will be able to run
# internal SFTP processes.
Match Group sftp
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
PasswordAuthentication yes
Статус SSHD:
0 ✓ root@host ~ $ systemctl status sshd
● sshd.service - OpenSSH Daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: disabled)
Active: active (running) since Mo 2016-04-04 23:48:58 CEST; 1 day 15h ago
Main PID: 9272 (sshd)
Tasks: 3 (limit: 512)
CGroup: /system.slice/sshd.service
├─ 9272 /usr/bin/sshd -D
├─17597 sshd: user [priv]
└─17598 sshd: user [net]
[...]
Apr 06 15:05:24 host sshd[17597]: Failed password for user from 93.***.***.136 port 45516 ssh2
Версия OpenSSH:
0 ✓ root@host ~ $ pacman -Q openssh
openssh 7.2p2-1
Версия ядра:
0 ✓ root@host ~ $ uname -a
Linux host 4.4.5-1-ARCH #1 SMP PREEMPT Thu Mar 10 07:38:19 CET 2016 x86_64 GNU/Linux
Чтобы убедиться, что пароль действительно правильный, я меняю его на 1234:
0 ✓ root@host ~ $ passwd user
Enter new UNIX password: 1234
Retype new UNIX password: 1234
passwd: password updated successfully
Теперь протестируйте с sftp:
1 ✗ me@client ~ $ sftp -P12345 user@host
user@host's password: 1234
Permission denied, please try again.
user@host's password: 1234
Permission denied, please try again.
user@host's password: 1234
Permission denied (publickey,password).
Couldn't read packet: Connection reset by peer
Это в журналах, совсем не полезно:
0 ✓ root@host ~ $ journalctl -n5
Apr 06 15:34:38 host passwd[25269]: pam_unix(passwd:chauthtok): password changed for user
Apr 06 15:35:26 host sshd[25853]: Failed password for user from 93.***.***.136 port 45834 ssh2
Apr 06 15:35:30 host sshd[25853]: Failed password for user from 93.***.***.136 port 45834 ssh2
Apr 06 15:35:33 host sshd[25853]: Failed password for user from 93.***.***.136 port 45834 ssh2
Apr 06 15:35:34 host sshd[25853]: Connection closed by 93.***.***.136 port 45834 [preauth]
Что я делаю не так? Что я пропустил? Как создать chroot-доступ по SFTP на сервере Archlinux без доступа к оболочке?
Хорошо, то, что я пропустил, как-то связано с оболочкой. Я пытался войти с помощью /bin/false как описано во многих руководствах. Но это не сработало.
Как отметил @Jakuje, изменив это на /bin/sh в целях тестирования позволил мне войти через sftp. Ура! И интересный факт, которого я тоже не знал: internal-sftp уже предотвращает ssh авторизоваться.
Однако кто еще хочет /bin/false или /bin/nologin как оболочка, вот что я наконец понял. Проверьте, доступны ли снаряды в /etc/shells:
0 ✓ root@host ~ $ cat /etc/shells
#
# /etc/shells
#
/bin/sh
/bin/bash
# End of file
Неудивительно, что это не сработало! false и nologin не определены! Добавление их вручную для меня сработало:
0 ✓ root@host ~ $ cat /etc/shells
#
# /etc/shells
#
/bin/sh
/bin/bash
/bin/false
/bin/nologin
# End of file
Теперь просто измените оболочку с помощью chsh:
0 ✓ root@host ~ $ chsh -s /bin/false user
Changing shell for user.
Shell changed.
Сейчас, sftp работает в среде с измененным корнем и без доступа к оболочке.