127
128

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

chrootされたsftp専用ユーザを作るメモ

Last updated at Posted at 2014-06-10

必要になったので実は初めて設定してみた。その際に、やりかたをぐぐりながら参考にしたサイト情報が結構余分な設定があったりなんだりしたので、自分用にまとめ直し。

sftp専用ユーザはユーザ名のprefixを決めておくと楽

  • 設定が以下のように設定一つにまとめられるのと、
  • 後で/homeを見たときに一目で こいつらはsftp専用ユーザだな と分かるので。
/etc/ssh/sshd_config
Match User sftp-*
  ChrootDirectory ~
  ForceCommand internal-sftp

まぁ、個別指定やGroupによるMatchとかにしときゃいいんだけどね。今回の僕の案件ではこれが楽だったってだけの話です。

Subsystem sftpについて

ぐぐってるとよく、以下のように設定を書き換えましょう、て説明してるとこがあるけど、どうせMatchの中のForceCommandでinternal-sftpって指定してるので、全体設定側の書き換えは不要。

/etc/ssh/sshd_config
#Subsystem       sftp    /usr/libexec/openssh/sftp-server
Subsystem       sftp    internal-sftp
# ↑この書き換えはsshd_configのMatch内で上書き設定してる限りにおいて不要

chrootしたいときにsftp-serverじゃなくinternal-sftpを使う理由は簡単で、chrootした環境ではsftp-serverコマンドが存在しないから。sshdのinternal-sftpはその回避策の為のもの、だと思う。

ChrootDirectory先のディレクトリ自体はroot所有にしておく

ユーザ所有のディレクトリにChrootさせようとすると以下のようなエラーをみることになるので気をつける。

/var/log/secure
sshd[24348]: fatal: bad ownership or modes for chroot directory "/home/sftp-test"

最終的に以下のようなパーミッションとディレクトリ構成が出来ることになる。

drwxr-xr-x 4 root       root       4096 Jun 10 13:49 /home/sftp-user1/
drwxr-xr-x 2 sftp-user1 sftp-user1 4096 Jun 10 13:06 /home/sftp-user1/upload_here
drwx------ 2 sftp-user1 sftp-user1 4096 Jun 10 12:55 /home/sftp-user1/.ssh
-rw------- 1 sftp-user1 sftp-user1  749 Jun 10 12:50 /home/sftp-user1/.ssh/authorized_keys

Chrootが不要な場合sftp専用ユーザを作りたいときは

単に公開鍵に対して command="" を書いておけばよい。

~/.ssh/authorized_keys
command="internal-sftp" ssh-rsa AAAAXXXXX user@example.jp

または、

~/.ssh/authorized_keys
command="/usr/libexec/openssh/sftp-server" ssh-rsa AAAAXXXXX user@example.jp

これらはどっちでも動くけど個人的には internal-sftp を使う方が好み。
なぜなら internal-sftp は間違えてsshでつないでしまった際に This service allows sftp connections only. て教えてくれて接続を切ってくれる親切設計だから。これが sftp-server だと何も言わずに無言でsshコネクションが維持されて感じ悪いので。

ただしコマンド版の方がプロセス分離されてる分セキュリティ的にはより堅牢なのかもしれない。

127
128
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
127
128

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?