Як додати ssh користувача, який має лише права доступу до певної папки?

Як додати ssh користувача, який має лише права доступу до певної папки?

useradd -d /var/www/xyz.com.tr/musteri  -s /bin/bash -g sshd musteri

Я створив користувача, який називається musteri. Я встановив його домашню папку та групу. Отже, я хочу інтегрувати musteriкористувачів у "/var/www/xyz.com.tr/musteri". Я не хочу, щоб він мав доступ до іншої папки.

Здається, ви хочете, щоб ваш müşteriler мав доступ до передачі файлів до папки, не надаючи їм оболонок. Це добре, тому що, як вказував binfalse , давати людям снаряди з обмеженим доступом є складним, оскільки снарядам для доступу до всіх речей, розкиданих по системі, просто потрібно працювати.

Щоб надати SFTP доступ до певної папки, ви можете зробити щось подібне.

1. Додайте до групи нову групу, скажімо, "sftponly".
2. Додайте будь-яких користувачів вашої системи, які мали б обмежити права на цю групу. Ви також можете надати їм обмежені оболонки типу / bin / true, але це не потрібно.
3. Змініть файл ssh config (зазвичай /etc/ssh/sshd_config) за допомогою цих рядків

    Підсистема sftp Internal-sftp

    Зіставити групу sftponly
        ChrootDirectory% h
        ДозволитиTCP для переадресації немає
        X11 Передача ні
        ForceCommand Internal-sftp

Це активізує підсистему sftp всередині SSH та змусить членів цієї системної групи використовувати лише цю систему під час входу в систему. Це також додасть їх до своїх домашніх каталогів. Ви можете змінити це в підпапку своїх домашніх директорій, а також на щось подібне, ChrootDirectory %h/musteri_sftpщоб вони не змогли побачити решту своїх системних файлів, але входитимуть безпосередньо у спеціальну підпапку своєї домашньої папки.

Колай гельсин.

На мою думку, це дуже важко, якщо не неможливо. Коли користувач підключається через SSH, йому, принаймні, потрібна оболонка, у вашому випадку - bash. Для виконання /bin/bashйому потрібні дозволи на доступ /bin. bashсамому потрібно прочитати деякі матеріали з /etc(наприклад /etc/bash.bashrc), тому користувачеві також потрібен доступ /etc. Якщо припустити, що користувач не хоче бачити лише в цьому каталозі, він може прочитати файл, але для виконання, наприклад, vimйому також потрібен доступ /usr/bin.
Це лише невелика демонстрація, є ще деякі залежності, наприклад, я не знаю, що буде, якщо користувач не матиме доступу до нього /tmp.

Вам варто подумати над своїм наміром. Ви просто хочете, щоб хтось мав доступ для читання / запису до частини вашого веб-сервісу? Тоді ви можете встановити щось на зразок FTP для експорту певного каталогу до цього користувача. Тож він може читати / записувати ці файли без доступу до SSH.
Ще одним приємним рішенням буде сховище. Наприклад, встановіть GIT-репо і дозвольте користувачу його клонувати. Він може зробити свої зміни локально і надіслати вам виправлення. Ви можете вирішити, застосовувати цей патч чи ні, відкат баггі-патчів також дуже простий.