SFTP Userrechte im Hauptverzeichnis

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
dudochnicht
Beiträge: 3
Registriert: 31.07.2014 12:17:30

SFTP Userrechte im Hauptverzeichnis

Beitrag von dudochnicht » 02.03.2015 23:08:06

Guten Abend,

es ist wahrscheinlich ein altbekanntes Problem und wurde wahrscheinlich auch schon gelöst, nur habe ich es noch nicht gefunden.
Ich habe ein FTP-User Namens "public" angelegt und die dazugehörige Gruppe "sftponly".

Den User und die Gruppe habe ich mittels "usermod -g sftponly public".

In der sshd_config habe ich noch folgendes geändert:
/etc/ssh/sshd_config

Code: Alles auswählen

Subsystem sftp internal-sftp
Match Group sftponly
	ChrootDirectory /var/www/%u
	ForceCommand internal-sftp

Terminal

Code: Alles auswählen

/etc/init.d/ssh restart
chown root:root /var/www
chown public:sftponly /var/www/public
chmod 755 /var/www/public
Es soll ein Ordner, gleichnamig wie User, existieren in dem der FTP-User alles machen kann. Bei FileZilla kann ich mich nicht einmal anmelden.

Es kommt die ganze Zeit eine Fehlermeldung:

Code: Alles auswählen

Antwort:	fzSftp started
Befehl:	open "public@192.168.229.128" 22
Befehl:	Pass: ***************
Fehler:	Network error: Software caused connection abort
Fehler:	Herstellen der Verbindung zum Server fehlgeschlagen
Warum komm ich nicht direkt in den "public" Ordner?
Was muss noch eingestellt werden?

Mfg

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: SFTP Userrechte im Hauptverzeichnis

Beitrag von Cae » 02.03.2015 23:25:36

Hilft dir dein alter Thread [1] weiter? Falls nein, stell' das Debugging vom SSHd hoch (LogLevel) und schau' in dessen Logs.

Gruss Cae

[1] viewtopic.php?f=8&t=150611
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

dudochnicht
Beiträge: 3
Registriert: 31.07.2014 12:17:30

Re: SFTP Userrechte im Hauptverzeichnis

Beitrag von dudochnicht » 03.03.2015 00:19:02

An den Thread habe ich nicht mehr gedacht und ist schon ein weilchen her.
Leider hat mir das nicht geholfen.

auth.log:

Code: Alles auswählen

Mar  3 00:13:37 debian sshd[3119]: debug3: safely_chroot: checking '/'
Mar  3 00:13:37 debian sshd[3119]: debug3: safely_chroot: checking '/var/'
Mar  3 00:13:37 debian sshd[3119]: debug3: safely_chroot: checking '/var/www/'
Mar  3 00:13:37 debian sshd[3119]: debug3: safely_chroot: checking '/var/www/public'
Mar  3 00:13:37 debian sshd[3119]: fatal: bad ownership or modes for chroot directory "/var/www/public"
Mar  3 00:13:37 debian sshd[3119]: debug1: do_cleanup
Mar  3 00:13:37 debian sshd[3119]: debug3: PAM: sshpam_thread_cleanup entering
Mar  3 00:13:37 debian sshd[3117]: debug3: mm_request_receive entering
Mar  3 00:13:37 debian sshd[3117]: debug1: do_cleanup
Mar  3 00:13:37 debian sshd[3117]: debug1: PAM: cleanup
Mar  3 00:13:37 debian sshd[3117]: debug1: PAM: closing session
Mar  3 00:13:37 debian sshd[3117]: pam_unix(sshd:session): session closed for user public
Mar  3 00:13:37 debian sshd[3117]: debug1: PAM: deleting credentials
Mar  3 00:13:37 debian sshd[3117]: debug3: PAM: sshpam_thread_cleanup entering
Wie kann der Eigentümer des Ordners falsch sein, wenn ich mit "chown public:sftponly /var/www/public" die Zugehörigkeit festgelegt habe?

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: SFTP Userrechte im Hauptverzeichnis

Beitrag von Cae » 05.03.2015 03:34:17

Das Internet ist der Meinung, dass das ChrootDirectory sowie dessen uebergeordnete Verzeichnisse root gehoeren muessen.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Benutzeravatar
Meillo
Moderator
Beiträge: 9312
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: SFTP Userrechte im Hauptverzeichnis

Beitrag von Meillo » 19.03.2015 21:04:10

Das Thema scheint sich inzwischen geloest zu haben, da ich aber mit dem gleichen Problem zu tun hatte und es geloest habe, will ich das (auch fuer mich selber in Zukunft) hier dokumentieren.

Cae hat recht: Das chroot-Verzeichnis und alle uebergeordneten Verzeichnisse muessen root gehoeren.

Zudem duerfen weder die Gruppe noch Andere Schreibrechte im chroot-Verzeichnis haben. Damit der User doch etwas rein schreiben kann, muss man ihm einen fuer ihn schreibbaren Ordner darin anlegen.

Gelernt habe ich das dort: http://askubuntu.com/questions/134425/h ... heir-homes

Der beste Hinweis zur Fehlersuche war, in /var/log/auth.log zu schauen. Dort steht naemlich ganz genau drin weshalb's nicht funktioniert.
Use ed once in a while!

Antworten