改完sshd_config之後,root無法mkdir-permission denied

**joeyangx** · 2010-06-10, 10:28 AM

請教各位專家: 小弟用Fedora內建的sftp建了一個download站,為了鎖住user登入後不讓他亂到其它路徑,所以改了這些設定: /etc/ssh/sshd_config:
Subsystem sftp internal-sftp
Match Group download
ChrootDirectory /home
AllowTcpForwarding no
X11Forwarding no
ForceCommand internal-sftp

問題是解決了,但是我用sftp以root user連進之後卻無法在任何目錄下mkdir, 請救救我吧...

Thanks
jOe

**tvirus** · 2010-06-10, 12:43 PM

個人偏好標準FTP...
用sftp
跟ssh開給所有人一樣的道理...

**joeyangx** · 2010-06-10, 01:37 PM

作者：tvirus

個人偏好標準FTP...
用sftp
跟ssh開給所有人一樣的道理...

不了解耶,有沒有具體一點的方式?

Thanks

**bx2aa** · 2010-06-11, 12:33 AM

chown root /??????/??????
chgrp download /??????/??????
chmod 750 /??????/??????

我的
# override default of no subsystems
#Subsystem sftp /usr/local/libexec/sftp-server
Subsystem sftp internal-sftp
AllowUsers *
AllowGroups download
# Example of overriding settings on a per-user basis
Match Group download
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
ChrootDirectory /home/chroot/%h

/home/chroot
drwxr-x--- 4 root download 4096 6月 11 05:53 home
drwxr-x--- 4 root root 4096 6月 11 06:23 root

/home/chroot/home
drwxr-x--- 2 root download 4096 6月 11 05:39 bx2aa

/etc/passwd root 帳號的 home路徑 (ps:/root) 改為 /

user 對 /home/chroot/home/user-id 目錄沒有寫權限
所以要在 /home/chroot/home/user-id 下建目錄或檔案後修改權限或擁有者

**pcboy** · 2010-06-11, 06:31 AM

Fedora 版本 ?
SELinux 設定是甚麼 ?

**joeyangx** · 2010-06-11, 08:05 AM

作者：pcboy

Fedora 版本 ?
SELinux 設定是甚麼 ?

Ferora: 13
SELINUX=enforcing

Thanks

**joeyangx** · 2010-06-11, 09:21 AM

怪怪的,有些可以有些不行...

psftp> cd /etc
Remote directory is now /etc
psftp> mkdir test
mkdir /etc/test: permission denied
psftp> cd /var
Directory /var: permission denied
psftp> cd /home
Directory /home: permission denied
psftp> cd /var
Directory /var: permission denied

**joeyangx** · 2010-06-11, 09:38 AM

應該說有些路徑可以cd directory, 大部份都不行:

dr-xr-xr-x. 25 root root 4096 6月 10 08:35 .
dr-xr-xr-x. 25 root root 4096 6月 10 08:35 ..
-rw-r--r--. 1 root root 0 6月 7 11:50 .autofsck
dr-xr-xr-x. 2 root root 4096 6月 11 03:30 bin
dr-xr-xr-x. 5 root root 1024 6月 5 19:58 boot
drwx------. 3 root root 4096 6月 5 20:05 .dbus
drwxr-xr-x. 19 root root 3920 6月 7 15:10 dev
drwxr-xr-x. 116 root root 12288 6月 11 08:21 etc
drwxr-xr-x. 10 root root 4096 6月 10 16:15 home
drwx------. 4 503 ftpgroup 4096 6月 6 09:11 joe
dr-xr-xr-x. 12 root root 4096 6月 6 03:35 lib
dr-xr-xr-x. 9 root root 12288 6月 11 03:30 lib64
drwx------. 2 root root 16384 6月 5 19:31 lost+found
drwxr-xr-x. 2 root root 4096 6月 5 08:38 media
drwxr-xr-x. 2 root root 4096 10月 1 2009 mnt
drwxr-xr-x. 2 root root 4096 10月 1 2009 opt
drwxrwxrwx. 3 liugr topliu 4096 6月 8 19:05 owl
dr-xr-xr-x. 211 root root 0 6月 7 11:50 proc
dr-xr-x---. 9 root root 4096 6月 10 10:48 root
dr-xr-xr-x. 2 root root 12288 6月 11 03:30 sbin
drwxr-xr-x. 7 root root 0 6月 7 11:50 selinux
drwxr-xr-x. 2 root root 4096 10月 1 2009 srv
drwxr-xr-x. 13 root root 0 6月 7 11:50 sys
drwxrwxrwx. 18 root root 4096 6月 11 07:32 tmp
drwxr-xr-x. 15 root root 4096 6月 5 10:22 usr
drwxr-xr-x. 20 root root 4096 6月 8 14:35 var

**bx2aa** · 2010-06-11, 11:13 AM

如果 chrootdirectory 有設對是看不到其他目錄.

**joeyangx** · 2010-06-11, 11:22 AM

作者：bx2aa

如果 chrootdirectory 有設對是看不到其他目錄.

Thanks bx2aa:
但我有另外裝一套知識管理系統,它必須在/var/www/html/xxx下建立目錄,現在都建不了,即使chmod -R 777還是建不了, 有什麼好方法解決嗎?

ps.
1. 用root以ssh連進去都可以mkdir,但是psftp連進去時cd /var都會permission denied...
2. Match Group download;不是針對download這個群的user嗎?為何連root都會被影响到?

再次感謝
.jOe