CentOS SFTP chroot

Question

У меня есть некоторые проблемы с привязкой SFTP-доступа к клиенту.

Я могу получить доступ к каталогу, но проблема в том, что я не могу читать / писать, я могу просто получить доступ к каталогу.

Ниже то, что я сделал:

# cat /etc/passwd | grep comege
comege:x:1001:1001::/home/sftp/comege/home/:/sbin/nologin

# cat /etc/group | grep sftp
sftp-only:x:1001:

# sshd_config
Subsystem sftp internal-sftp
Match Group sftp-only
ChrootDirectory /home/sftp/%u
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand internal-sftp

SELinux настроен как разрешающий для тестирования.

Когда я подключаюсь к серверу с использованием SFTP, я получаю следующую ошибку:

Error listing directory '/'. Permission denied

Разрешения:

/home/sftp/comege and parent directories belongs to root:root.

/home/sftp/comege/home belongs to comege:sftp-only

Я думаю, что проблема состоит в том, что comege не перенаправляется в /home /sftp /comege /home при соединении, поэтому он попадает в /home /sftp /comege, который принадлежит root, поэтому у него нет разрешений (?)

Answer 1

Похоже, что разрешения для каталога chroot, /home/sftp/comege , не настроены для разрешения доступа для чтения пользователем comege .

Разрешения для /home/sftp/comege должны выглядеть следующим образом:

# ls -la /home/sftp/comege
total 0
drwxr-xr-x 1 root   root       8 Jul 19 12:00 .
drwxr-xr-x 1 root   root      12 Jul 19 11:59 ..
drwx------ 1 comege sftp-only 76 Jul 19 12:00 home

Измените разрешения с помощью:

# chmod 755 /home/sftp/comege

Обратите внимание, что это не учитывает разрешения SELinux.

По замыслу сеанс SFTP в среде chroot начнется с пользователя в изолированной среде chroot, которая должна принадлежать пользователю root. Предполагается, что пользователь будет записывать только файлы в подкаталогах корневого каталога верхнего уровня. Одно соглашение состоит в том, чтобы создать подкаталог, называемый "входящий" для пользовательских загрузок, вместо "домашнего" каталога, показанного в исходном примере.