Настройка только SFTP-пользователей разрывает соединения SSH
У меня есть кластер машин (LAN), настроенный для входа по SSH без пароля для параллельного выполнения кода. Никаких проблем с SSH или функциональностью, однако ...
Я пытаюсь настроить на шлюзе пользователя только для sftp (без оболочки) для передачи внешних (вне кластера) файлов на шлюз. Я создал новую группу и пользователя, следуя инструкциям здесь ( http://blog.swiftbyte.com/linux/allowing-sftp-access- while-chrooting-the-user-and-denying-shell-access/ ) и соответствующим образом отредактировал файл /etc/ssh/sshd_config. Однако, когда я перезагружаю сервер ssh, компьютер шлюза больше не доступен через SSH или SFTP. Любая попытка встречается с сообщением «отказано в соединении». Если я вернусь к исходному файлу sshd_config, я смогу подключиться снова.
Есть ли известная проблема с настройкой Subsystem sftp internal-sftp, которая приводит к исчезновению функциональности SSH? Или какие-то предложения по поводу чего-то, что я мог бы упустить?
Мой файл с расширением sshd_config выглядит следующим образом:
Subsystem sftp internal-sftp
Match Group sftponly
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Мой sftp-пользователь имеет свой домашний каталог, указанный на внешнем диске, который автоматически монтируется при загрузке. Их домашний каталог имеет права root и разрешение 755.
2 ответа
Оказывается, что Match Group блок кода должен быть вставлен в конце sshd_config файл. Многие руководства явно не заявляют это и таким образом, я пропустил его и думал, что код принадлежал вместе со строкой Подсистемы. SSH хорошо работает снова; SFTP, однако, все еще не соединяется (предоставление "поврежденного канала" ошибка).
решение проблем SFTP: внешний диск смонтирован к /mnt/DATA/ с 777 полномочия так, чтобы все могли чтение-запись к нему. Я создал подкаталог /mnt/DATA/sftp/ для sftp пользователя с 750 полномочия и root - владение, которое я думал, будет достаточно. К сожалению, sftp требует, чтобы вся структура каталогов имела корень/750, включая /mnt/DATA/ каталог. Так sftp работы, но я не могу позволить физическим пользователям создать новые папки в основе/mnt/DATA/каталог теперь. Не 100%, что я хочу, но по крайней мере это - шаг в правильном направлении.
<глоток> Ответ, отправленный OP в комментариях
Извините, я не могу прокомментировать к Вашему сообщению таким образом тот путь. Вы устанавливаете стандартную группу SFTP, которая может соединиться через SFTP. Я заметил, что после помещения пользователя SSH в человечность группы пользователей SFTP автоматически изменяет chroot поиск, и запретите далее доступа SSH. Просто чистый доступ SFTP возможен затем и заключенный в тюрьму к usermod-d папка. Удаление пользователя от того, что группа SFTP позволила вход в систему SSH снова.