У меня есть машина Amazon Linux AMI с версией 2016.09. Недавно я создал пользователя и могу подключиться, используя его учетные данные (закрытый ключ).
Этот пользователь предназначен для использования третьими лицами, и я хочу ограничить его доступ к его домашнему каталогу (или подкаталогу), чтобы он не мог получить доступ к любой другой папке (и не перечислить какие-либо другие папки / файлы).
Я предполагаю, что мне нужно настроить какой-то каталог chroot, используя мой файл sshd_config, расположенный в / etc / ssh / sshd_config. Мне удалось изменить его содержимое так, чтобы он выглядел как следующий фрагмент текста:
#override default of no subsystems
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
Match User myuser
PasswordAuthentication yes
ChrootDirectory /home/myuser/ftp_folder
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
Сразу после сохранения изменений я перезапускаю службу ssh, набрав sudo service sshd restart.
К сожалению, я не могу войти в систему с этими изменениями (ssh или ftp):
$ ssh -i 'G:\AWS\ec2_keys\myuser.pem' myuser@ec2-XXXXXX-XX.compute- 1.amazonaws.com -vvv
Authenticated to ec2-XXXXXX-XX.compute-1.amazonaws.com ([YYY.YYY.YYY.YYY]:22).
debug1: channel 0: new [client-session]
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug3: send packet: type 90
debug1: Requesting no-more-sessions@openssh.com
debug3: send packet: type 80
debug1: Entering interactive session.
debug1: pledge: network
debug3: send packet: type 1
debug1: channel 0: free: client-session, nchannels 1
debug3: channel 0: status: The following connections are open:
#0 client-session (t3 r-1 i0/0 o0/0 fd 4/5 cc -1)
Connection to ec2-XXXXXX-XX.compute-1.amazonaws.com closed by remote host.
Connection to ec2-XXXXXX-XX.compute-1.amazonaws.com closed.
Transferred: sent 2328, received 1996 bytes, in 0.0 seconds
Bytes per second: sent 60664.3, received 52012.8
debug1: Exit status -1
Что мне не хватает в конфигурации? Спасибо!!
Я решил аналогичную проблему здесь: Как chroot аккаунты для использования scp в Amazon Linux?
Некоторые идеи: - Вам может потребоваться определенная структура каталогов в домашнем каталоге пользователя, включая /etc/passwd файл и некоторые библиотеки - файлы журнала могут содержать более подробную информацию