У меня есть учетная запись в Debian с именем «usera». 'usera' имеет домашний каталог / home / что угодно
Когда я вхожу в WinSCP, используя «usera» и его учетные данные, я могу «подняться» на один каталог в / home, а затем, в конце концов, в «/». Я специально сделал эту учетную запись, чтобы ограничить доступ к этому домашнему каталогу, поскольку учетные данные являются общими.
Примечание. Этот каталог также используется в качестве корневого веб-узла для виртуального хоста apache2, но «usera» находится в группе «www-data», поэтому я не думаю, что apache имеет какое-либо отношение к этой проблеме.
Какие-либо предложения?
По умолчанию / home и / доступны для чтения всем, а подсистема scp sshd не ограничивает chdirs, поэтому нет причин ожидать, что это сработает. Вам нужно будет каким-то образом навязать пользователю ограниченную среду. Например тюрьма scp. С помощью scp jail вы не сможете писать напрямую в домашний каталог, но вы можете создать подкаталог с возможностью записи и указать другие объекты (например, корневой каталог сети) на него, а не непосредственно на домашний каталог.