Мене плутає ця настройка, яку я намагаюся розгорнути. Я сподіваюся, що хтось із вас може допомогти мені: дуже вдячний.
Довідкова інформація
Сервер - Debian 6.0, ext3, з Apache2 / SSL та Nginx спереду як зворотний проксі. Мені потрібно надати sftp доступ до кореневої директорії Apache (/ var / www), переконуючись, що користувач sftp записаний на цей шлях з дозволами RWX.
Все це без зміни дозволу за замовчуванням у / var / www.
drwxr-xr-x 9 root root 4096 Nov 4 22:46 www
Всередині / var / www
-rw-r----- 1 www-data www-data 177 Mar 11 2012 file1
drwxr-x--- 6 www-data www-data 4096 Sep 10 2012 dir1
drwxr-xr-x 7 www-data www-data 4096 Sep 28 2012 dir2
-rw------- 1 root root 19 Apr 6 2012 file2
-rw------- 1 root root 3548528 Sep 28 2012 file3
drwxr-x--- 6 www-data www-data 4096 Aug 22 00:11 dir3
drwxr-x--- 5 www-data www-data 4096 Jul 15 2012 dir4
drwxr-x--- 2 www-data www-data 536576 Nov 24 2012 dir5
drwxr-x--- 2 www-data www-data 4096 Nov 5 00:00 dir6
drwxr-x--- 2 www-data www-data 4096 Nov 4 13:24 dir7
Що я спробував
- створили новий груповий захист
- створив нового користувача sftp, приєднався до secureftp та www-даних груп також із оболонкою nologin . Гомедір /
- редагував sshd_config с
Subsystem sftp internal-sftp AllowTcpForwarding no Match Group <secureftp> ChrootDirectory /var/www ForceCommand internal-sftp
Я можу ввійти в систему з користувачем sftp, перераховувати файли, але ніяких дій на запис не дозволено. Користувач Sftp знаходиться у групі даних www, але дозволи в / var / www читаються / читаються + x для бітової групи, так що ... Це не працює.
Я також пробував з ACL, але оскільки я застосовую дозволи ACL RWX для користувача sftp до / var / www (dirs та файли рекурсивно), він також змінить дозволи Unix, а це те, чого я не хочу.
Що я можу зробити тут?
Я думав, що можу дозволити користувачеві www-data ввійти як sftp, так що він зможе змінювати файли / dirs, якими є www-data в / var / www. Але я чомусь думаю, що це було б дурним кроком на безпеці.