Q&A
ありがとうございます。Match group sftpは誤記になります。
実際のファイルはMatch group Agrpです。質問修正しました。
Linux(EC2)で専用ユーザーを作成して
SFTP接続時にアクセス制限をかけて他のディレクトリを見られないようにしたいのですがうまくいきません。
こちらのサイトを参考に同じ手順で進めました。(公開鍵の作成は後からやるつもりで、まずは上記サイトの手順を上から試しました。)
私が行った手順としまして
groupadd Agrp
でグループ追加。
vi /etc/ssh/sshd_config で以下を追記 Match group Agrp ChrootDirectory /var/www/html/AAA/public/hoge #ユーザーにはこれより上へのアクセスを制限したい ForceCommand internal-sftp
※Subsystem sftpの設定は今はとばしてます。
ユーザーのアクセス制限ができるかどうか?だけを先に試したいので。
設定更新
sshd -t service sshd reload
ユーザー作成
useradd -g Agrp A_user
/var/www/html/AAA/public/hogeの
AAAとpublicがec2-userだったのでchown,chgrpコマンドでrootに変更
chgrp root /var/www/html/AAA chown root /var/www/html/AAA chgrp root /var/www/html/AAA/public chown root /var/www/html/AAA/public
hogeはA_user:rootに変更
chgrp root /var/www/html/AAA/public/hoge chown A_user /var/www/html/AAA/public/hoge
設定は以上です。
ここでルートディレクトリが制限されているかだけを試したいので
su A_userでec2-userからA_userにユーザー変更してみましたが
普通にどこへでもアクセスできて自分の想像と異なってました。
私の想定では上記の設定をして、
A_userで接続してcd ..を入力しても/var/www/html/AAA/publicに移動できなくなると思っていました。
なにか足りない手順などありますでしょうか?
それとも、ec2-userからA_userにユーザー変更する確認方法が意味をなしてないのでしょうか?
お時間のある方がいらっしゃいましたら
ご教授いただけると幸いです。
回答2件
0
ChrootDirectoryがsshd_configへの設定である以上、それが適用されるのは当該ユーザーへ直接SSHログインした場合に限られます。
他のユーザーからsuした場合には無関係な制約です。
投稿2020/01/23 04:16
総合スコア146550
0
ベストアンサー
groupadd Agrp
と
Match group sftp
でグループ名が違ていますので、条件にマッチしてません。
参考にしたサイトでは、groupadd sftpしていますよ。
Agrpグループを制御したいなら、Match group Agrpです
投稿2020/01/23 04:16
総合スコア2751
承知しました。
制限したいのは、SFTP接続の時のみでよいですよね。
suやらcdやら、シェルでのコマンドを記載してますが、そちらは何のことですか?
はい、ユーザー使用者はSFTPクライアントでSFTP接続のみさせるよう試みてます。
suやらcdやら、シェルでのコマンドの記載に関しては
上記の設定が終わったのでアクセス制限がされてるかSSH接続したままA_userに変更して動作確認をしようとしました。(上記設定はSSH接続でec2-userユーザーで行いました)
suやらcdは独自の動作確認の手順として書きました。
アクセス制限はSSH接続(正確にはSFTP接続)したときに適用されます。
suでのユーザスイッチにはsshdは関係ないので確認方法がNGです。
A_userでSFTP接続して、そのときの動作を確認しましょう。
遅い返事になってしまい申し訳ございません。
この数日間アクセス制限を確認するべくSSH接続の秘密鍵作成、公開鍵配置を環境をつくってました。
https://teratail.com/questions/237811?modal=q-compの質問に続きを
作成しましたのでお時間があればよろしくお願いいたいします。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/01/23 05:28