/var/www/htmlでユーザーを刑務所に閉じ込める方法は?

/var/www/htmlでユーザーを刑務所に閉じ込める方法は?

ユーザー(ユーザーsftp-user、グループWebグループ)のsftpアクセスをCentOS 8の/var/www/htmlディレクトリに制限したいと思います。 Web サイトのファイルを変更するには、読み取りおよび書き込み権限が必要です。

ユーザーをホームディレクトリに正常に刑務所に入れることができましたが、/etc/ssh/sshd_configに変更したときにChrootDirectory %h正しく機能しませんでした。ChrootDirectory /var/www/htmlSFTPを試みると、ユーザーに次のエラーが表示されます。

fatal: bad ownership or modes for chroot directory "/var/www/html"

私がしたことは、setfaclグループWebグループに/ var / www / htmlのrw-permissionsを付与しようとしました(再帰的ではありませんが、そのフォルダ内のすべてが所有者ですsftp-user:group)。

どのように動作させることができますか?提案されたいくつかの解決策を見ましたが、mountこれがより良い解決策であるかどうかはわかりません。

また、htmlフォルダの所有者は私が言及したフォルダの所有であり、その中のすべてのコンテンツも同じですroot:rootsftp-user:webgroupこれは正しい所有権ですか?

完全性のために、出力は次のとおりですgetfactl /var/www/html

# file: html/
# owner: root
# group: root
user::rwx
group::r-x
group:webgroup:rw-
mask::rwx
other::r-x

ありがとうございます。

答え1

私はこれを理解しています。様々な要因を混同しているようです。sftp作業を試みるACLと同時に問題を誤って診断するようになりました。みんなのおかげでウリヒ・シュワルツ問題を根本的に解決するためです。

これがうまくいくには、パス内のすべてのディレクトリが/var/www/html明らかにそれを要求する刑務所が所有していることを確認する必要がありました。rootchroot

もう一つの問題は、この問題を解決しようとしたので、権限がhtml775に変更したところ755何の問題もなく入ることができましたsftpChrootDirectory

ACL前面には、ファイルがグループ/var/www/htmlに属し、apache:apacheユーザーがsftp-userグループに属しますwebgroup。ユーザーに権限を付与しますrwX

setfacl -Rm u:sftp-user:rwX html

-m修正で-R再帰です。

関連情報