Chroot-Konfiguration

Question

Entsprechenddieser LinkIch glaube, Sie erfüllen eines der drei Kriterien für eine detaillierte Protokollierung von Chroot-SFTP-Benutzern:

detaillierte Protokollierung muss in der sftpd-Konfiguration konfiguriert werden. Sie scheinen dies mithilfe der„ForceCommand internal-sftp -l INFO“Richtlinie.
Innerhalb des Chroot-Verzeichnisses muss eine Protokolldatei angegeben werden, da ein Chroot-Benutzer keine Schreibberechtigung für das Verzeichnis /var/log hat.
Um die Protokollierung in die neue Protokolldatei zu erleichtern, muss rsyslogd ein Protokollierungssocket hinzugefügt werden.

Vergleichen Sie andere Links wiediese allgemeine AnweisungUnddiese CentOS-Anweisunges scheint, dass die genaue Konfiguration hinsichtlich der bevorzugten benutzerdefinierten Verzeichnisnamen für den Protokollierungspfad, der genauen Datei, in der die Protokollierungs-Socket-Konfiguration abgelegt werden soll, und des Ausdrucks der Protokollierungs-Socket-Konfiguration zwischen den Distributionen leicht variiert.

[BEARBEITEN] Mon Dec 30 21:50:00 GMT 2013

Ich habe im Moment keinen Zugriff auf ein CentOS, habe aber in einem Link auf der CentOS-Seite oben eine anscheinend hervorragende Anleitung gefunden. Der Link ist defekt, aber ich konnte die Seite über denWaybackmachine. Da die Anleitung aber Gefahr läuft, zu verschwinden, kopiere ich jetzt einfach die für Ihre Fragen relevanten Teile in einem großartigen Zitat unten. Hoffentlich hilft es Ihnen, aber wie gesagt, im Moment habe ich keine Möglichkeit, es auf der von Ihnen verwendeten Distribution zu testen.

Es scheint, als hätten Sie einige Dinge anders gemacht, also drücken wir die Daumen, dass Sie unten fündig werden.

--Zitat beginnen vonbigmite.com in der Waybackmachine--

Chroot-Konfiguration

In diesem Beispiel werde ich eine Gruppe von Benutzern einrichten, die nur SFTP-Zugriff benötigen (kein SSH) und Dateien in ein Dateisystem auf einem SFTP-Server kopieren. Der Speicherort des Dateisystems wird sein /sftpund die Benutzer werden in separaten Ordnern darunter untergebracht.

Zunächst sollte eine neue Gruppe erstellt werden, hier genannt “sftpuser”. Jeder Benutzer, der SFTP-Zugriff benötigt, wird dieser Gruppe zugeordnet.

Das sshd_config(unter Debian in /etc/ssh) sollte bearbeitet und am Ende Folgendes hinzugefügt werden: -

Match group sftpuser
 ChrootDirectory /sftp/%u
 X11Forwarding no
 AllowTcpForwarding no
 ForceCommand internal-sftp -l VERBOSE -f LOCAL6

Dies bewirkt Folgendes: -

Erzwingt, dass alle Benutzer, die sich über SSH auf Port 22 verbinden, nur SFTP verwenden.
Führt ihre SFTP-Sitzung in einem Chroot-Jail im Verzeichnis aus/sftp/$USER
Verhindert die TCP- oder X11-Weiterleitung von Verbindungen
Führt den internen SFTP-Server aus und veranlasst die ausführliche Protokollierung und den Syslog-KanalnamenLOCAL6

Jetzt sollte ein Benutzer erstellt werden, ohne ein Home-Verzeichnis zu erstellen und in der Standardgruppe sftpuser. Unter Ubuntu können Sie Folgendes eingeben: -

(Zeilenumbruch von mir zur besseren Lesbarkeit hinzugefügt! /E)

adduser --home / --gecos "First Test SFTP User" --group sftpuser --no-create-home
--shell /bin/false testuser1

Der Grund, warum das Home-Verzeichnis auf eingestellt ist, /ist, dass das SFTP auf chrootet /sftp/testuser1. Als nächstes muss das Home-Verzeichnis des Benutzers erstellt werden: -

mkdir /sftp/testuser1
chmod 755 /sftp/testuser1
mkdir /sftp/tstuser1/in
mkdir /sftp/testuser1/out
chown testuser1 /sftp/testuse1/in

Beachten Sie, dass die Verzeichnisstruktur und die Berechtigungen, die Sie festlegen, je nach Ihren Anforderungen unterschiedlich sein können. Das Benutzerkennwort sollte festgelegt und SSHD neu gestartet werden (unter Debian service ssh restart).

Jetzt sollte es möglich sein, Dateien mithilfe des SFTP-Befehlszeilentools per SFTP auf den Host zu übertragen, es sollte jedoch nicht möglich sein, als Benutzer per SSH auf den Server zuzugreifen testuser1.

Protokollierung

Sie werden sehen, dass für jeden chroot-Benutzer eine ausführliche SFTP-Protokollierung erstellt wird /var/logmessages, die standardmäßig an gehen sollte daemon.log. Der Grund dafür ist, dass der chroot-SFTP-Prozess nicht geöffnet werden kann, /dev/logda er sich nicht innerhalb des chroot-Dateisystems befindet.

Für dieses Problem gibt es, abhängig von der Dateisystemkonfiguration, zwei Lösungen.

Wenn sich das SFTP-Verzeichnis des Benutzers /sftp/user im Stammdateisystem befindet

Sie können einen Hardlink erstellen, um das Gerät zu imitieren: -

mkdir /sftp/testuser1/dev
chmod 755 /sftp/testuser1/dev
ln /dev/log /sftp/testuser1/dev/log

Wenn sich das SFTP-Verzeichnis des Benutzers NICHT im Stammdateisystem befindet

Zunächst muss syslog oder rsyslog einen zusätzlichen Logging-Socket im Dateisystem des Benutzers verwenden. In meinem Beispiel /sftphandelt es sich um ein separates SFTP-Dateisystem.

Für Redhat

Unter Redhat wird Syslog verwendet, daher habe ich /etc/sysconfif/syslogdie folgende Zeile geändert: -

SYSLOGD_OPTIONS="-m 0"

lautet:-

SYSLOGD_OPTIONS="-m 0 -a /sftp/sftp.log.socket

Schließlich muss dem Syslog-Daemon mitgeteilt werden, dass er Nachrichten in LOCAL6die /var/log/sftp.logDatei protokollieren soll. Daher wurde Folgendes hinzugefügt /etc/syslog.conf: -

# For SFTP logging
local6.*                        /var/log/sftp.log

und Syslog wurde neu gestartet.

Für Ubuntu Lucid

Auf Ubuntu Lucid habe ich /etc/rsyslog.d/sshd.confFolgendes erstellt:

# Create an additional socket for some of the sshd chrooted users.
$AddUnixListenSocket /sftp/sftp.log.socket
# Log internal-sftp in a separate file
:programname, isequal, "internal-sftp" -/var/log/sftp.log
:programname, isequal, "internal-sftp" ~

… und rsyslogd neu gestartet.

Erstellen von Protokollgeräten für Benutzer

Jetzt muss für jeden Benutzer Folgendes /dev/log deviceerstellt werden:

mkdir /sftp/testuser1/dev
chmod 755 /sftp/testuser1/dev
ln /sftp/sftp.log.socket /sftp/testuser1/dev/log

--Zitat Ende--

Answer 1

Entsprechenddieser LinkIch glaube, Sie erfüllen eines der drei Kriterien für eine detaillierte Protokollierung von Chroot-SFTP-Benutzern:

detaillierte Protokollierung muss in der sftpd-Konfiguration konfiguriert werden. Sie scheinen dies mithilfe der„ForceCommand internal-sftp -l INFO“Richtlinie.
Innerhalb des Chroot-Verzeichnisses muss eine Protokolldatei angegeben werden, da ein Chroot-Benutzer keine Schreibberechtigung für das Verzeichnis /var/log hat.
Um die Protokollierung in die neue Protokolldatei zu erleichtern, muss rsyslogd ein Protokollierungssocket hinzugefügt werden.

Vergleichen Sie andere Links wiediese allgemeine AnweisungUnddiese CentOS-Anweisunges scheint, dass die genaue Konfiguration hinsichtlich der bevorzugten benutzerdefinierten Verzeichnisnamen für den Protokollierungspfad, der genauen Datei, in der die Protokollierungs-Socket-Konfiguration abgelegt werden soll, und des Ausdrucks der Protokollierungs-Socket-Konfiguration zwischen den Distributionen leicht variiert.

[BEARBEITEN] Mon Dec 30 21:50:00 GMT 2013

Ich habe im Moment keinen Zugriff auf ein CentOS, habe aber in einem Link auf der CentOS-Seite oben eine anscheinend hervorragende Anleitung gefunden. Der Link ist defekt, aber ich konnte die Seite über denWaybackmachine. Da die Anleitung aber Gefahr läuft, zu verschwinden, kopiere ich jetzt einfach die für Ihre Fragen relevanten Teile in einem großartigen Zitat unten. Hoffentlich hilft es Ihnen, aber wie gesagt, im Moment habe ich keine Möglichkeit, es auf der von Ihnen verwendeten Distribution zu testen.

Es scheint, als hätten Sie einige Dinge anders gemacht, also drücken wir die Daumen, dass Sie unten fündig werden.

--Zitat beginnen vonbigmite.com in der Waybackmachine--

Chroot-Konfiguration

In diesem Beispiel werde ich eine Gruppe von Benutzern einrichten, die nur SFTP-Zugriff benötigen (kein SSH) und Dateien in ein Dateisystem auf einem SFTP-Server kopieren. Der Speicherort des Dateisystems wird sein /sftpund die Benutzer werden in separaten Ordnern darunter untergebracht.

Zunächst sollte eine neue Gruppe erstellt werden, hier genannt “sftpuser”. Jeder Benutzer, der SFTP-Zugriff benötigt, wird dieser Gruppe zugeordnet.

Das sshd_config(unter Debian in /etc/ssh) sollte bearbeitet und am Ende Folgendes hinzugefügt werden: -

Match group sftpuser
 ChrootDirectory /sftp/%u
 X11Forwarding no
 AllowTcpForwarding no
 ForceCommand internal-sftp -l VERBOSE -f LOCAL6

Dies bewirkt Folgendes: -

Erzwingt, dass alle Benutzer, die sich über SSH auf Port 22 verbinden, nur SFTP verwenden.
Führt ihre SFTP-Sitzung in einem Chroot-Jail im Verzeichnis aus/sftp/$USER
Verhindert die TCP- oder X11-Weiterleitung von Verbindungen
Führt den internen SFTP-Server aus und veranlasst die ausführliche Protokollierung und den Syslog-KanalnamenLOCAL6

Jetzt sollte ein Benutzer erstellt werden, ohne ein Home-Verzeichnis zu erstellen und in der Standardgruppe sftpuser. Unter Ubuntu können Sie Folgendes eingeben: -

(Zeilenumbruch von mir zur besseren Lesbarkeit hinzugefügt! /E)

adduser --home / --gecos "First Test SFTP User" --group sftpuser --no-create-home
--shell /bin/false testuser1

Der Grund, warum das Home-Verzeichnis auf eingestellt ist, /ist, dass das SFTP auf chrootet /sftp/testuser1. Als nächstes muss das Home-Verzeichnis des Benutzers erstellt werden: -

mkdir /sftp/testuser1
chmod 755 /sftp/testuser1
mkdir /sftp/tstuser1/in
mkdir /sftp/testuser1/out
chown testuser1 /sftp/testuse1/in

Beachten Sie, dass die Verzeichnisstruktur und die Berechtigungen, die Sie festlegen, je nach Ihren Anforderungen unterschiedlich sein können. Das Benutzerkennwort sollte festgelegt und SSHD neu gestartet werden (unter Debian service ssh restart).

Jetzt sollte es möglich sein, Dateien mithilfe des SFTP-Befehlszeilentools per SFTP auf den Host zu übertragen, es sollte jedoch nicht möglich sein, als Benutzer per SSH auf den Server zuzugreifen testuser1.

Protokollierung

Sie werden sehen, dass für jeden chroot-Benutzer eine ausführliche SFTP-Protokollierung erstellt wird /var/logmessages, die standardmäßig an gehen sollte daemon.log. Der Grund dafür ist, dass der chroot-SFTP-Prozess nicht geöffnet werden kann, /dev/logda er sich nicht innerhalb des chroot-Dateisystems befindet.

Für dieses Problem gibt es, abhängig von der Dateisystemkonfiguration, zwei Lösungen.

Wenn sich das SFTP-Verzeichnis des Benutzers /sftp/user im Stammdateisystem befindet

Sie können einen Hardlink erstellen, um das Gerät zu imitieren: -

mkdir /sftp/testuser1/dev
chmod 755 /sftp/testuser1/dev
ln /dev/log /sftp/testuser1/dev/log

Wenn sich das SFTP-Verzeichnis des Benutzers NICHT im Stammdateisystem befindet

Zunächst muss syslog oder rsyslog einen zusätzlichen Logging-Socket im Dateisystem des Benutzers verwenden. In meinem Beispiel /sftphandelt es sich um ein separates SFTP-Dateisystem.

Für Redhat

Unter Redhat wird Syslog verwendet, daher habe ich /etc/sysconfif/syslogdie folgende Zeile geändert: -

SYSLOGD_OPTIONS="-m 0"

lautet:-

SYSLOGD_OPTIONS="-m 0 -a /sftp/sftp.log.socket

Schließlich muss dem Syslog-Daemon mitgeteilt werden, dass er Nachrichten in LOCAL6die /var/log/sftp.logDatei protokollieren soll. Daher wurde Folgendes hinzugefügt /etc/syslog.conf: -

# For SFTP logging
local6.*                        /var/log/sftp.log

und Syslog wurde neu gestartet.

Für Ubuntu Lucid

Auf Ubuntu Lucid habe ich /etc/rsyslog.d/sshd.confFolgendes erstellt:

# Create an additional socket for some of the sshd chrooted users.
$AddUnixListenSocket /sftp/sftp.log.socket
# Log internal-sftp in a separate file
:programname, isequal, "internal-sftp" -/var/log/sftp.log
:programname, isequal, "internal-sftp" ~

… und rsyslogd neu gestartet.

Erstellen von Protokollgeräten für Benutzer

Jetzt muss für jeden Benutzer Folgendes /dev/log deviceerstellt werden:

mkdir /sftp/testuser1/dev
chmod 755 /sftp/testuser1/dev
ln /sftp/sftp.log.socket /sftp/testuser1/dev/log

--Zitat Ende--

Chroot-Konfiguration

Antwort1

Chroot-Konfiguration

Protokollierung

Wenn sich das SFTP-Verzeichnis des Benutzers /sftp/user im Stammdateisystem befindet

Wenn sich das SFTP-Verzeichnis des Benutzers NICHT im Stammdateisystem befindet

verwandte Informationen