SFTPとSSHでユーザーと接続します
Root以外のユーザーが、/ home/testフォルダ内のファイルZilla(ファイルの変更)、およびSSHでの接続(その他の操作の場合)を使用してSFTPにログインできます。
私はDebian 10.7に取り組んでいます。 rootは、権利755のフォルダの所有者です.SFTPグループのユーザーでテストをしています。
私のsshd_config:
Subsystem sftp internal-sftp
Match Group sftp
ChrootDirectory /home/test/
ForceCommand internal-sftp
AllowTCPForwarding no
X11Forwarding no
_だから私は彼をfilezillaで/ home/testに接続することができますが、私は彼をSSHと接続することはできません。テストは次のとおりです。
This service allows sftp connections only.
_両方を実行することは可能ですか?私はテストするのかわかりません。
Subsystem sftp internal-sftp
Match Group sftp
ChrootDirectory /home/test/
ForceCommand internal-sftp
AllowTCPForwarding no
X11Forwarding no
この設定は、ユーザーをのみを制限するのに一般的ですSFTPアクセス。 SFTPと普通のSSHセッションの両方を許可したいことを示します(通常は「シェル」セッションと呼ばれるコマンドラインアクセス)。ユーザーをSFTPのみに制限する構成は、あなたのために正しくありません。
即時問題はForceCommand internal-sftp行です。これにより、サーバーはどのクライアントセッションのSFTPを起動します。シェルセッションなどのSFTP以外のセッションを許可したい場合は、この行は存在しないはずです。
それを超えて、他の行を考えてみましょう。
Subsystem sftp internal-sftp
SFTPを許可するために、「サブシステムSFTP」行がある必要があります。この行は大丈夫です。それを残しなさい。
ChrootDirectory /home/test/
この行は、ユーザーを/home/testディレクトリとそのサブディレクトリに制限されます。 SFTPセッションには問題ありません。しかし、シェルセッションをサポートするには、/home/testディレクトリは、デバイスファイル、共有ライブラリ、およびユーザーが実行が許可されているプログラムのセットを含む完全な ディレクトリである必要があります。これは設定および維持するための重要な努力になり、コマンドラインユーザーをこのようなChroot環境に制限するのは珍しいです。あなたはこれを望んでいて、それを取り除くべきではありません。
Match Group sftp
AllowTCPForwarding no
X11Forwarding no
それがあなたが望むものならこれらの線は大丈夫です。 Match Group行は、 "SFTP"グループ内のユーザーに影響を与えるために次の行を制限します。 AllowTCPForwarding線は、これらのユーザーがTCPポートを転送するのを防ぎます。 X11Forwarding行は、これらのユーザーがXセッションを転送するのを防ぎます。これらを制限する理由がある場合は、これらの行を離れることが大丈夫です。