SFTP ölümcül hatalı sahiplik veya chroot dizini için modlar ubuntu 12.04

12

SFTP sunucumu yeni kurdum ve ilk kullanıcı hesabımdan kullandığımda iyi çalışıyor. 'Magnarp' diyeceğimiz bir kullanıcı eklemek istedim. İlk başta sshd_config bunu beğendim:

Subsystem sftp internal-sftp


Match group sftponly
    ChrootDirectory /home/%u
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp

Bu yeterince iyi çalıştı, kullanıcı magnarp ana dizinine gitti. Sonra ona sembolik bir bağ eklemeye çalıştım.

home$ sudo ln -s /home/DUMP/High\ Defenition/ /home/magnarp/"High Defenition"

Symlink SSH üzerinden iyi çalıştı ancak SFTP üzerinden çalışmadı.

Şimdi ne yapmak istiyorum Chroot grubuna sftponly için / home / DUMP ve ben böyle yaptım:

Match group sftponly
    ChrootDirectory /home/DUMP
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp

DUMP klasörü aşağıdaki izinlere sahiptir.

drwxrwxrwx  5 root     root      4096 aug 18 02:25 DUMP

Ve bu hata kodu:

Aug 18 16:40:29 nixon-01 sshd[7346]: Connection from 192.168.1.198 port 51354
Aug 18 16:40:30 nixon-01 sshd[7346]: Accepted password for magnarp from 192.168.1.198 port 51354 ssh2
Aug 18 16:40:30 nixon-01 sshd[7346]: pam_unix(sshd:session): session opened for user    magnarp by (uid=0)
Aug 18 16:40:30 nixon-01 sshd[7346]: User child is on pid 7467
Aug 18 16:40:30 nixon-01 sshd[7467]: fatal: bad ownership or modes for chroot directory "/home/DUMP"
Aug 18 16:40:30 nixon-01 sshd[7346]: pam_unix(sshd:session): session closed for user magnarp
ubuntu  ssh  sftp  chroot 
Jonathan
kaynak

Yanıtlar:

21

sshdkroin dizinleri söz konusu olduğunda belli bir paranoya seviyesine sahiptir. Bunun devre dışı bırakılabileceğini sanmıyorum StrictModes no. Chroot dizini ve tüm üst dizinler doğru şekilde ayarlanmalıdır :

  1. Chroot dizini ve tüm ebeveynleri grup veya dünya yazma yeteneklerine sahip olmamalıdır (ör. chmod 755)
  2. Chroot dizini ve tüm ebeveynleri kök dizinine sahip olmalıdır.

Sizin durumunuzda oturum açma hatası, chmod 755 /home/DUMP sftpuser'ın oturum açabileceği ve herkesin dosya koyabileceği dünya tarafından yazılabilir bir dizine sahip olma amacınızla düzeltilebilir./home/DUMP/

DerfK
kaynak
1
Bir cazibe gibi çalıştı! Teşekkür ederim. Şimdi tüm alt dizinleri ve NFS sistemimi de düzeltmeliyim :)
Jonathan
0

C) Eğer simlink yapmak krootu atlatmaya yardımcı olacaksa, root yapmanın anlamı ne olurdu? (Herhangi bir kullanıcı bir simlink yükleyebilir ve ardından tüm dosya sistemine erişebilir)

B) Bir tane daha chmod 777 ve teo ile alevleneceksiniz ( http://rlv.zcache.com/i_got_flamed_by_theo_de_raadt_t_shirt_tshirt-p235453348828729121en7rf_210.jpg ). OpenSsh'ın neden kök dizin izinleri konusunda bu kadar seçici olduğunu anlamak için http://lists.mindrot.org/pipermail/openssh-unix-dev/2010-Ocak/028151.html adresine bakın .

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.