SFTP avec chroot dans un dossier qui ne peut pas avoir les privilèges root

3

J'ai des problèmes avec la configuration d'un SFTP avec chroot dans le dossier "public". Chaque client sur mon serveur a 3 à X comptes.

Ces trois comptes sont:

  • USER - compte système uniquement à usage interne, nécessite un accès complet au répertoire personnel du client
  • USER-www - compte également pour usage interne uniquement, chaque application client fonctionne avec cet uid et requiert un accès complet aux sous-dossiers serval du répertoire principal USER.
  • USER-ftp - compte uniquement pour l'accès sftp, avec chroot id ~ / apps

Le problème est que ~ / apps n'a pas les privilèges root: il ne peut pas en avoir. Aussi, je veux avoir la possibilité de créer des sous-comptes pour USER-ftp, qui ont un chroot dans ~ / apps / APP_NAME / app et un accès complet dans ce répertoire (donc, le dossier ~ / apps / APP_NAME / app ne doit pas avoir les privilèges root: root). .

Donc, voici mes questions:

  1. Est-ce que SSH permet d’une manière quelconque de chrooter un utilisateur dans un répertoire sans privilèges root: root?
  2. Comment configurer USER-ftp chroot dir dans ~ / apps et tous les sous-comptes ftp dans ~ / apps / APP_NAME / app? Mentionnez qu'une partie de votre nom d'utilisateur sera également le nom du dossier auquel vous aurez accès (par exemple, l'utilisateur USER.my_first_app-ftp aura chrooté dans ~ / apps / my_first_app / app).
  3. De plus, comment laisser l’utilisateur USER-ftp se connecter en tant qu’UTILISATEUR, sans '-ftp' et, par exemple. USER.my_fist_app-ftp en tant que USER.my_fist_app?
Galmi
la source

Réponses:

0

Je ne suis pas sûr de comprendre vos questions, mais je vais essayer d'y répondre.

1) Vous pouvez changer l'emplacement du répertoire d'accueil des utilisateurs dans / etc / passwd. Créez ensuite des groupes pour les utilisateurs devant pouvoir lire / écrire dans ces dossiers et

chown -R user:group /the/new/homefolder

1a) Le problème avec sftp est que les utilisateurs pourront toujours lire d'autres répertoires et fichiers sur le système, mais pas écrire ou créer.

2) Encore une fois, vous pouvez faire comme mentionné dans 1,

3) Je ne comprends pas cette partie - voulez-vous dire changer d’utilisateur lorsque vous êtes connecté? Vous pouvez normalement le faire en:

su username

Et tapez le mot de passe des utilisateurs.

Bolli
la source