作業ソリューション

Question 1

どのOSを使用しているのかわかりませんが、刑務所に閉じ込められたSFTPユーザーを設定する必要がある場合は、以下のリンクを使用してください。以下は、刑務所に閉じ込められたSFTPユーザーを設定する方法の非常に便利なチュートリアルです。

https://access.redhat.com/solutions/2399571

その後、友達がアクセスできるように、目的のchrootディレクトリに2つのディレクトリのいずれかをマウントします。

Answer

どのOSを使用しているのかわかりませんが、刑務所に閉じ込められたSFTPユーザーを設定する必要がある場合は、以下のリンクを使用してください。以下は、刑務所に閉じ込められたSFTPユーザーを設定する方法の非常に便利なチュートリアルです。

https://access.redhat.com/solutions/2399571

その後、友達がアクセスできるように、目的のchrootディレクトリに2つのディレクトリのいずれかをマウントします。

Question 2

作業ソリューション

これはチュートリアルからインスピレーションを得たSSHキーを使用して制限付きchrootユーザーとしてSFTPサーバーを構成する方法 @HeysusEscobarの答えで言及されました。

次の手順に従ってくださいroot。

useradd friend   # NB: this doesn't create a home dir, see https://askubuntu.com/q/374870
passwd friend    # set the password 
groupadd sftpusers
mkdir /sftp
mkdir /sftp/friend        # this is where he'll be chrooted
mkdir /sftp/friend/home   # his home directory
mkdir /sftp/friend/www    # for websites
usermod -aG sftpusers friend   # aG for append group
chown friend:sftpusers /sftp/friend/home/
chown friend:sftpusers /sftp/friend/www/
usermod -d /sftp/friend/home friend   # set as his home directory

次の項目に追加してください/etc/ssh/sshd_config。

# Subsystem sftp /usr/lib/openssh/sftp-server   # you'll probably need to comment this line
Subsystem sftp internal-sftp -d /home
Match Group sftpusers
ChrootDirectory /sftp/%u

そしてservice sshd restart。それだけです！

気づく:

他のユーザーはまだ可能なので、ssh他のユーザーのために何も変更しません。
ユーザーはfriend以下を実行できません。ssh
ユーザーはfriend以下を介して接続できます。sftp

friendPS：Webサイトからインターネットにアクセスできるようにするには、それをApache設定に追加します。

<VirtualHost *:80>
  ServerName friend.example.com
  DocumentRoot /sftp/friend/www
  php_admin_value "open_basedir" "/sftp/friend"
  <Directory />
    AllowOverride All
    Require all granted
  </Directory>
</VirtualHost>

サイト注：上記の操作を実行した後でも、PHPを使用してchroot環境を終了したり、ファイルシステム全体に影響を与えるマルウェアを実行したりすることはopen_basedirできませんか？friendリンク質問：ルートが変更または分離されたSFTPユーザーは、PHPを使用してファイルシステム全体にアクセスできます。

古い（半分だけ動作する）ソリューション

ドキュメントによると、ヘルプChrootDirectory /home/friendに置き換えてください。ChrootDirectory /home

ChrootDirectory：認証後のchroot（2）のディレクトリパス名を指定します。パス名のすべてのコンポーネントは、ルートが所有する必要があります。他のユーザーやグループが書き込めないディレクトリ。

これにより、ユーザーはfriendSFTPに再接続できますが、出ることはできませんが、/home/まだアクセスできます/home/anotheruser/...。

Answer

作業ソリューション

これはチュートリアルからインスピレーションを得たSSHキーを使用して制限付きchrootユーザーとしてSFTPサーバーを構成する方法 @HeysusEscobarの答えで言及されました。

次の手順に従ってくださいroot。

useradd friend   # NB: this doesn't create a home dir, see https://askubuntu.com/q/374870
passwd friend    # set the password 
groupadd sftpusers
mkdir /sftp
mkdir /sftp/friend        # this is where he'll be chrooted
mkdir /sftp/friend/home   # his home directory
mkdir /sftp/friend/www    # for websites
usermod -aG sftpusers friend   # aG for append group
chown friend:sftpusers /sftp/friend/home/
chown friend:sftpusers /sftp/friend/www/
usermod -d /sftp/friend/home friend   # set as his home directory

次の項目に追加してください/etc/ssh/sshd_config。

# Subsystem sftp /usr/lib/openssh/sftp-server   # you'll probably need to comment this line
Subsystem sftp internal-sftp -d /home
Match Group sftpusers
ChrootDirectory /sftp/%u

そしてservice sshd restart。それだけです！

気づく:

他のユーザーはまだ可能なので、ssh他のユーザーのために何も変更しません。
ユーザーはfriend以下を実行できません。ssh
ユーザーはfriend以下を介して接続できます。sftp

friendPS：Webサイトからインターネットにアクセスできるようにするには、それをApache設定に追加します。

<VirtualHost *:80>
  ServerName friend.example.com
  DocumentRoot /sftp/friend/www
  php_admin_value "open_basedir" "/sftp/friend"
  <Directory />
    AllowOverride All
    Require all granted
  </Directory>
</VirtualHost>

サイト注：上記の操作を実行した後でも、PHPを使用してchroot環境を終了したり、ファイルシステム全体に影響を与えるマルウェアを実行したりすることはopen_basedirできませんか？friendリンク質問：ルートが変更または分離されたSFTPユーザーは、PHPを使用してファイルシステム全体にアクセスできます。

古い（半分だけ動作する）ソリューション

ドキュメントによると、ヘルプChrootDirectory /home/friendに置き換えてください。ChrootDirectory /home

ChrootDirectory：認証後のchroot（2）のディレクトリパス名を指定します。パス名のすべてのコンポーネントは、ルートが所有する必要があります。他のユーザーやグループが書き込めないディレクトリ。

これにより、ユーザーはfriendSFTPに再接続できますが、出ることはできませんが、/home/まだアクセスできます/home/anotheruser/...。

Question 3

.sshd_configファイルに対する変更を保持し、それを使用してchmod -R 700 /home/anotheruser他の人（含む）を制限するfriendことができます。chmod値の変更これが厳しすぎると、これは私が個人的に私の質問で見つけることです。ここ。（この回答を他の回答として投稿して申し訳ありません。あなたの回答にコメントとして追加するのに十分な評判がありません。）

Answer

.sshd_configファイルに対する変更を保持し、それを使用してchmod -R 700 /home/anotheruser他の人（含む）を制限するfriendことができます。chmod値の変更これが厳しすぎると、これは私が個人的に私の質問で見つけることです。ここ。（この回答を他の回答として投稿して申し訳ありません。あなたの回答にコメントとして追加するのに十分な評判がありません。）

作業ソリューション

答え1

答え2

作業ソリューション

古い（半分だけ動作する）ソリューション

答え3

関連情報