Q&A
tarou さんでログインして kusanagi さんのホームディレクトリにアクセスしたいってことでしょうか? それはできなくて当然のような…。
実現したいこと
linuxを新規構築しています。
[tarou@xxxxxxx ~]$ cat /etc/redhat-release
CentOS Linux release 7.9.2009 (Core)
rootユーザーでssh接続でコンソールとFileZillaに問題なく接続できることを確認しました。
rootユーザーのアクセスを禁止したほうがいいということで追加ユーザーを作成しssh接続確認できました。
こちらを参考にしました。
https://www.braveryk7.com/vps-ssh-root/
しかしFileZillaで追加ユーザーで接続すると特定のフォルダやファイルが開けずエラーがでました。
エラー: Directory /home/kusanagi: permission denied
エラー: ディレクトリ リスト表示の取り出しに失敗しました
権限がたりないと思い追加ユーザーにrootグループを追加しgroupsコマンドで確認
[tarou@xxxxxxx ~]$ groups
tarou root
しかし同様のエラーでフォルダやファイルが開けませんでした。
追加ユーザーでrootユーザーと同じようにフォルダやファイルにアクセスするにはどうすればいいでしょうか?
そうです。kusanagiに限らず/etcにあるディレクトリなどrootではできることをやりたいです。
windowsの考えで管理者の権限あればできると思っているのですが違うのですか?
追加ユーザーは一般ユーザーではなく管理者ユーザーと考えています。
(1) 一般ユーザーは全てアクセス権を同じにしたい
(2) とある一般ユーザーに常にroot権限を持たせたい
のどちら、あるいは、それ以外でしょうか?
最初(1)かと思ったら、
> /etcにあるディレクトリなどrootではできることをやりたいです。
ということは、(2)??
(2)は「rootでのログインを許可」とほぼ同意なので、お書きの「rootユーザーのアクセスを禁止したほうがいいということで」と矛盾しますね。
インターネット上のサーバーであれば、
> /etcにあるディレクトリなどrootではできることをやりたいです。
は、お書きのようにより危険で、
普通は、root権限での操作は、rootの直接ログインを禁止した上で、一般ユーザーでログインしてsudoコマンドでroot権限で操作します。
なので、FileZillaとかだとsudoに対応できないだろうから、おそらく不可ですね。
FileZillaを使って転送する場合は、一度一般ユーザーのホームにputした後で、ログインしてsudoで目的ファイルにコピーします。
インターネット上でない閉じたネットワーク内の話で、作業を簡略化したいのであれば、rootでログインできるままでいいのでは?
回答ありがとうございます。やりたいことは(2)の内容になります。
たしかにrootを禁止している理由と矛盾していますが別の名前でrootと同じ権限を持たせたいです。
rootグループに入れればできると思っていたのにできないことへの知的欲求でもあります。
~tarou/.ssh/authorized_keys で、以下の様に command を指定すると root 権限でアクセスできる様になります。
command="sudo /usr/lib/sftp-server" ssh-rsa AAAAB3...
/usr/lib/sftp-server の部分は、CentOS 7 での sftp-server プログラムの絶対パスに置き換えてください。それと、tarou ユーザが sudo コマンドを実行する際に root のパスワードを尋ねられない様に visudo コマンドで設定する必要があります。
melianさん、そんな方法があるんですね。サーバー起動コマンドを書くとそれと繋がると言うことか。
追加ユーザーのauthorized_keys に以下のように追記してみましたが
Server refused our key と出て接続できませんでした。
command="sudo /usr/libexec/openssh/sftp-server" ssh-rsa AAAAB3・・・
sftp-server プログラムの絶対パスは/etc/ssh/sshd_configの以下のところを書きました
Subsystem sftp /usr/libexec/openssh/sftp-server
確認ですが、元々の authorized_keys は、以下の様になっていると思います。
ssh-rsa AAAAB3...
ssh-rsa で始まる行の先頭に、command="sudo /usr/libexec/openssh/sftp-server" を追加するのですが、その様にしていますでしょうか?
はい、先頭に追加しています。
コンソール接続も試してみましたら[sudo] tarouのパスワードと表示されてパスワードを入力しても止まったままでエラーも何も表示されず接続できませんでした。あえてパスワードを間違うと「残念、また試してください。」とでます。
> パスワードを入力しても止まったままでエラーも何も表示されず接続できませんでした。
その状態が sftp-server に接続した状態になります。なので、
> tarou ユーザが sudo コマンドを実行する際にパスワードを尋ねられない様に visudo コマンドで設定する必要があります。
の設定を行う必要があります。具体的な設定の方法は分かりますでしょうか?
> コンソール接続も試してみましたら[
念のための補足ですが、tarou という同じユーザーで、
・sftpでroot権限でアクセスしたい
・sshログインしてコマンドラインも使いたい
の両方をやりたいのなら、鍵ペアを2つ作って、
・sftpでroot権限でアクセスしたい => command= を付加した公開鍵に対応する秘密鍵でアクセス
・sshログインしてコマンドラインも使いたい => command= を書いてない方の公開鍵に対応する秘密鍵でアクセス
です。こういうのはやったことないですが。
ありがとうございます。
visudoでの追記を間違っていて訂正したら追加ユーザーでFileZilla接続できフォルダ、ファイルに接続できました。
sftp専用ユーザーということにすれば問題ないのですが、tarouユーザーではsshでコンソール接続できないことになるのでしょうか?
> tarouユーザーではsshでコンソール接続できないことになるのでしょうか?
はい、このままではそうなりますが、otn さんのコメントにある様に鍵ペアを2つ作って使い分けるとよいかと思います。
鍵2つ目を追加すると同一アカウントでコンソール接続、FileZilla接続、両方できました。
ありがとうございます!
自己解決
