SFTP-Chroot Einrichtung

  Allgemein, Debian, Linux

Als Beispiel-Basisordner für die chroot-Umgebung verwenden wir “/srv/sftp“. Jeder User soll darin seinen eigenen Unterordner erhalten.

Erstellen einer neuen Benutzergruppe “sftponly”:

Erstellen zweier Benutzerkonten “user1″ und “user2″:

Setzen der Passwörter für die neuen User:

Hinzufügen der User zur neuen Gruppe:

Erstellen des Ordners “/srv/sftp” und der exemplarischen Unterordner “/srv/sftp/user1″ und “/srv/sftp/user2″:

Anpassen der Datei “/etc/ssh/sshd_config”:

Neustart des SSH-Servers:

Verbinden sich die eingerichteten User nun via SFTP (z.B. “sftp”-Kommando bei Linux oder WinSCP bei Windows) mit dem Server, sollten sie automatisch im Ordner “/srv/sftp” landen. Im eigenen Unterordner des User ist dann die Schreibberechtigung für abzulegende Inhalte vorhanden.

Wichtig ist bei dieser Einrichtung vor allem die korrekte Vergabe der Verzeichnis-Berechtigungen:

  • Der Eigentümer des chroot-Ordners MUSS “root” (UID 0) sein.
  • Die Gruppe des chroot-Ordners MUSS die in der “sshd_config” angegebene Gruppe (hier “sftponly”) sein.
  • Die Berechtigung des chroot-Ordners MUSS 750 (User: Vollzugriff, Gruppe, lesen+ausführen, Andere: kein Zugriff) sein.

Wird eine dieser Bedingungen nicht erfüllt, verweigert der SSH-Server den Zugriff mit einer entsprechenden Fehlermeldung im Syslog:

Quelle: http://www.mynakedgirlfriend.de/sichere-chroot-umgebung-fur-ssh-dateiubertragungen-sftp/

LEAVE A COMMENT