Я успешно настроил SFTP для chroot пользователя в его домашний каталог.
Однако у меня есть случай, по которому я не смог найти никаких примеров, и странные разрешения, необходимые для chroot, заставляют меня задуматься, могу ли я это сделать.
Мне нужен пользователь, скажем, «fileadmin», который может создавать новые папки в своей домашней папке (через SFTP - они не будут входить в систему с помощью оболочки, если что-то не отлаживается и т. Д.), Которые затем станут chrooted папкой нового пользователя . Таким образом, fileadmin может загружать файлы для этих других пользователей, которые они затем могут загрузить (доступ только для чтения разрешен).
Итак, пример настройки файловой системы: / home / fileadmin / (домашняя папка fileadmin) / home / fileadmin / rouser1 / home / fileadmin / rouser2 и т. Д.
Пользовательский fileadmin не обязательно должен быть chrooted-аккаунтом - это тот, который мы контролируем, и я ему доверяю.
Я поместил fileadmin и rouserX в одну группу и установил владение вложенными папками в качестве этой группы.
Когда я пытаюсь выполнить эту настройку, я получаю: fatal: плохое владение или режимы для компонента каталога chroot, когда я вхожу в систему с любой из учетных записей "rouserX".
Кто-нибудь знает, как настроить разрешение на эту работу? Является ли это возможным?
Учетные записи rouserX хранятся в openldap, поэтому идея состоит в том, что они будут добавлены после создания папки с помощью fileadmin (через backend ldap webapi, в котором я не участвую).
Спасибо. Я нашел один способ сделать это - установить chroot для всех пользователей одинаково, а затем установить домашний каталог оттуда (например: / chroot и пользовательский "test" был / home / test, который фактически был / chroot / home / test) . Это работает так, как я хочу. Проблема в том, что, поскольку мне пришлось использовать групповые завивки, чтобы заставить его работать, user2 мог попасть в папку user1, если бы знал правильный путь.
В итоге я скомпилировал ProFTPD с поддержкой SSH / SFTP, и он работает именно так, как я хочу.
Требуется, чтобы все каталоги от домашнего пользователя chrooted до корня принадлежали root:root и не должны быть доступны для групповой или мировой записи. Вероятно, это не так для fileadmin домашний каталог.
Это очень похоже на этот вопрос.