Як встановити дозволи за замовчуванням для SFTP для сервера Ubuntu?

16

У нас є сервер Ubuntu 10.04. Як я можу встановити так, щоб нові файли, створені (або скопійовані) через SFTP або SSH, мали дозволи g + rw та g + rwx (де це доцільно)?

Я також використовую setgid (chmod g + s), щоб вони успадкували належного власника групи.

ubuntu  ssh  permissions  sftp  umask 
wag2639
джерело

Відповіді:

12

У / etc / ssh / sshd_config ви можете передати прапор та значення у (-u 0002), як описано нижче, щоб встановити значення umask:

Subsystem sftp /usr/lib/openssh/sftp-server -u 0002

Додайте -u 0002 до існуючої рядку sftp підсистеми файлу конфігурації.

Після цього вам потрібно буде перезапустити ssh, щоб зміни набрали чинності:

service ssh restart
Доміно
джерело
Це стосується лише новіших версій OpenSSH, але повинно бути кращим рішенням, де це можливо.
Андрій Б
2
Це працює лише в тому випадку, якщо вам потрібні більш обмежені дозволи, ніж ті, які встановлені клієнтом, не більш вільні.
Joost
За словами Джоуста, це не допомагає змушувати групувати права на запис. Я б допоміг заборонити писати групу.
рейс
Згідно з недавньою документацією, ті самі варіанти можна використовувати і з Subsystem sftp internal-sftp.
підкреслюй_d
10

У / etc / ssh / sshd_config змініть наступне:

Subsystem sftp /usr/lib/openssh/sftp-server

до:

Subsystem sftp /bin/sh -c 'umask 0002; exec /usr/libexec/openssh/sftp-server'

Soure: http://jeff.robbins.ws/articles/setting-the-umask-for-sftp-transaction

wag2639
джерело
1
Краще поставити execфінал перед фіналом /usr/.../sftp-server, щоб у вас не було марних shпроцесів.
користувач1686
Також umask - це просто число; 0002можна записати коротше як 02.
користувач1686
Я думав, що умаск - восьмеричний, але дякую за виконану частину.
wag2639
2
Так, umasks є вісімковими. Це не означає, що вам потрібно три провідні нулі - одного достатньо. (Насправді, umaskкоманда не потребує ніяких провідних нулів, вона завжди читає аргумент у вигляді восьмеричного числа.) ... Але з другої думки, можливо 0002, зрозуміліше зрозуміти.
користувач1686
2
Це не працює для мене. Він не буде використовувати дозвіл g + w.
рейс
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.