Ограниченный пользователь держится в клетке в каталоге
У нас есть потребность создать пользователя, который может только остаться в его каталоге... не очень трудном... мы assined пользователь оболочка/bin/rbash. Любая попытка переместиться в другой каталог, но его дом, бессмысленный. Хороший!пока все хорошо. Затем мы получили требование, чтобы смонтировать, что каталог как сетевой диск в окнах..., мы нашли программное обеспечение под названием Сетевой диск SFTP (монтируются через SSH) это программное обеспечение делает свое задание безупречно, но когда пользователь присвоил оболочку входа в систему/bin/rbash (/etc/passwd), никакое соединение не возможно... "сбои соединения из-за ошибки, 103" Нормальных SSh Через шпаклевку работают отлично. Я даже попробовал инструмент SCP Windows Graphical (Безопасная Копия), и снова никакое соединение не возможно также. Провальными протоколами в обоих случаях является SFTP. Какая-либо идея?
1 ответ
То, когда мы ищем "rbash sftp, не работает", мы получаем большой список сообщений к различным платам форума, что rbash и SFTP не работают. Я нашел страницу Server Fault, которая могла бы помочь, хотя, таким образом, я заимствую то содержание из того сообщения на Отказе сервера пользователем Отказа сервера mr.spuratic. Это могло бы помочь объяснить несколько вещей о том, почему стандартный SFTP перестал работать:
rbashне позволит Вам команды выполнения с продвижением/, если это будет предпринято затем, то это просто выйдет.Если Вы не используете внутренний sftp-сервер, попытку должностному лицу
/usr/libexec/sftp-serverперестанет работать.Используя
Subsystem sftp internal-sftpвsshd_configзафиксирует это.Однако использование
rbashне будет мешать sftp блуждать вокруг Вашей файловой системы, Вы, вероятно, хотите к chroot пользователей вместо этого.
Таким образом, в действительности я верю тому, что происходит под капотом, пытается получить список каталогов начала пути /. Это перестанет работать в rbash.
С учетом вышесказанного, необходимо знать, что, поскольку я заявил в комментариях и этом ответе, что одолжил у Отказа сервера, rbash работы лучше всего, когда Вы также реализуете chrooted пользовательские каталоги, потому что SFTP обойдет ограничения это rbash помещает в игру и может все еще технически блуждать вокруг Вашей файловой системы.
Действительно необходимо реализовать, в дополнение к rbash, пользовательские каталоги chrooted. Это также защитит компонент SFTP от дрейфа вокруг системы.