Почему в sftp не я не могу получить разрешение на запись и как мне сделать, чтобы записывалось?

Question

[Анастасия]

Здравствуйте.
Чего я хочу добиться:
Иметь пользователя, который при подключении через sftp он сразу попадал в разрешённую ему директорию и мог делать всё что угодно, однако за пределы той директории не выходил (даже не видел содержимое тех директорий). Нужно чтобы это всё работало без mount и без ln
Вот какие команды я делаю:

addgroup –-system sftpusers
nano /etc/ssh/sshd_config
#там я пишу
Subsystem sftp internal-sftp
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp -u 0007
AllowTcpForwarding no
X11Forwarding no

#далее продолжаем
useradd -d /var/www/mysite.com -s /bin/false -g sftpusers user4 
passwd user4

mkdir /var/www
mkdir /var/www/mysite.com

find /var/www/mysite.com -type f -exec chmod 660 {} \;
find /var/www/mysite.com -type d -exec chmod 770 {} \;
chown -R user4:sftpusers /var/www/mysite.com;
chmod 755 /var/www/mysite.com;
chown root:root /var/www/mysite.com;

systemctl restart sshd

После всех этих команд пользователь при подключении попадает в папку /var/www/mysite.com , но он не может ничего там делать. Частично я догадываюсь, что причина в команде chown root:root /var/www/mysite.com; , однако без неё пользователь вообще не может подключиться к файловой системе.

Подскажите, что нужно сделать, чтобы всё заработало и я могла из пользователя user4 править папку mysite.com?

p.s. за основу моих команд бралась вот эта статья: https://wiki.dieg.info/sftp

Comments

[3vi1_0n3]

chmod 755 /var/www/mysite.com;
Может быть причиной. 5 = r-x.
А chown root:sftpusers тоже не работало?

[Анастасия]

3vi1_0n3, chown root:sftpusers /var/www/mysite.com; - НЕ помогло. А по 1 части сообщения я не поняла. Что нужно сделать?

[3vi1_0n3]

Анастасия, проверить, если смена группы не поможет, будет ли работать 775

[Анастасия]

3vi1_0n3, у меня там опечатка. Я сделала root:fstpusers и оно НЕ помогло. Что значит "будет ли работать 775"? Я совсем далека от linux. Что нужно сделать?

[Дмитрий]

Анастасия, хостинг для друзей? Vestacp глядели?

[3vi1_0n3]

Анастасия, выполнить
chmod 775 /var/www/mysite.com
после
chown root:sftpusers /var/www/mysite.com
и посмотреть, поможет ли

[3vi1_0n3]

Анастасия, кстати, похожий вопрос: Как запретить доступ к другим директориям?
Может поможет чем.

[Анастасия]

3vi1_0n3,
Ошибка: FATAL ERROR: Network error: Software caused connection abort

[Дмитрий]

Анастасия, так про Весту не ответили, думаю все проблемы решит разом

[Анастасия]

Дмитрий, всё плохо:

spoiler

_| _| _|_|_|_| _|_|_| _|_|_|_|_| _|_|
_| _| _| _| _| _| _|
_| _| _|_|_| _|_| _| _|_|_|_|
_| _| _| _| _| _| _|
_| _|_|_|_| _|_|_| _| _| _|

Vesta Control Panel

The following software will be installed on your system:
- Apache Web Server
- Bind DNS Server
- MySQL Database Server
- Vsftpd FTP Server
- Softaculous Plugin
- Iptables Firewall + Fail2Ban

Would you like to continue [y/n]: y
Please enter admin email address: nastya97core@ya.ru
hostname: Name or service not known
Please enter FQDN hostname []:
hostname: Name or service not known
Installation backup directory: /root/vst_install_backups/1628822636

Installation will take about 15 minutes ...

Setting up swapspace version 1, size = 1024 MiB (1073737728 bytes)
no label, UUID=5519a618-d035-46dc-b84e-13ec06cb24e3
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
--2021-08-13 05:44:02-- nginx.org/keys/nginx_signing.key
Resolving nginx.org (nginx.org)... 52.58.199.22, 3.125.197.172, 2a05:d014:edb:5702::6, ...
Connecting to nginx.org (nginx.org)|52.58.199.22|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1561 (1.5K) [application/octet-stream]
Saving to: ‘/tmp/nginx_signing.key’

/tmp/nginx_signing.key 100%[========================================>] 1.52K --.-KB/s in 0s

2021-08-13 05:44:02 (392 MB/s) - ‘/tmp/nginx_signing.key’ saved [1561/1561]

E: gnupg, gnupg2 and gnupg1 do not seem to be installed, but one of them is required for this operation
--2021-08-13 05:44:02-- c.vestacp.com/deb_signing.key
Resolving c.vestacp.com (c.vestacp.com)... 104.236.66.100
Connecting to c.vestacp.com (c.vestacp.com)|104.236.66.100|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1719 (1.7K) [text/plain]
Saving to: ‘deb_signing.key’

deb_signing.key 100%[========================================>] 1.68K --.-KB/s in 0s

2021-08-13 05:44:03 (431 MB/s) - ‘deb_signing.key’ saved [1719/1719]

E: gnupg, gnupg2 and gnupg1 do not seem to be installed, but one of them is required for this operation
Hit:1 ru.archive.ubuntu.com/ubuntu focal InRelease
Hit:2 ru.archive.ubuntu.com/ubuntu focal-updates InRelease
Hit:3 ru.archive.ubuntu.com/ubuntu focal-backports InRelease
Get:4 nginx.org/packages/mainline/ubuntu focal InRelease [2861 B]
Hit:5 security.ubuntu.com/ubuntu focal-security InRelease
Err:4 nginx.org/packages/mainline/ubuntu focal InRelease
The following signatures couldn't be verified because the public key is not available: NO_PUBKEY ABF5BD827BD9BF62
Ign:6 apt.vestacp.com/focal focal InRelease
Err:7 apt.vestacp.com/focal focal Release
404 Not Found [IP: 104.236.66.100 80]
Reading package lists... Done
W: GPG error: nginx.org/packages/mainline/ubuntu focal InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY ABF5BD827BD9BF62
E: The repository 'nginx.org/packages/mainline/ubuntu focal InRelease' is not signed.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.
E: The repository 'apt.vestacp.com/focal focal Release' does not have a Release file.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Unable to locate package rssh
E: Unable to locate package vesta
E: Unable to locate package vesta-ioncube
E: Unable to locate package vesta-nginx
E: Unable to locate package vesta-php
E: Unable to locate package vesta-softaculous
Error: apt-get install failed

[Дмитрий]

Анастасия, https://losst.ru/ustanovka-vestacp-na-ubuntu-16-04

[Дмитрий]

Анастасия, на 20 не завезли ещё(

[3vi1_0n3]

Анастасия, кажется понял, в чем проблема.
ChrootDirectory - это директория, которой должен владеть root, при этом домашняя директория у вас совпадает с ChrootDirectory (%h). После выполнения chroot пользователь перенаправляется в домашнюю директорию.

Если выставить ChrootDirectory /var/www, то должно сработать по идее. И права владения на директорию вернуть пользователю user4.

Даже не совсем так.
Можно выставить ChrootDirectory %h, но тогда надо

chown root:sftpusers /var/www/mysite.com
chmod 775 /var/www/mysite.com

[Анастасия]

3vi1_0n3,

на 20 не завезли ещё(

поставила 18. Завершилось с какими-то ошибками...

spoiler

Module ruid2 already enabled
2021-08-14 00:35:53 [WARNING] mysql_install_db is deprecated. Please consider switching to mysqld --initialize
2021-08-14 00:35:53 [ERROR]   The data directory needs to be specified.
mkdir: cannot create directory ‘/var/lib/mysql’: File exists
2021-08-13T21:35:53.649106Z 0 [Warning] TIMESTAMP with implicit DEFAULT value is deprecated. Please use --explicit_defaults_for_timestamp server option (see documentation for more details).
2021-08-13T21:35:53.650308Z 0 [ERROR] --initialize specified but the data directory has files in it. Aborting.
2021-08-13T21:35:53.650421Z 0 [ERROR] Aborting

mysqladmin: [Warning] Using a password on the command line interface can be insecure.
Warning: Since password will be sent to server in plain text, use ssl connection to ensure password safety.
ERROR 1054 (42S22) at line 1: Unknown column 'password' in 'where clause'
/usr/local/vesta/bin/v-update-sys-ip: line 102: /sbin/ifconfig: No such file or directory
Usage: v-change-sys-ip-nat IP NAT_IP [RESTART]
grep: /usr/local/vesta/data/ips/*: No such file or directory
grep: /usr/local/vesta/data/ips/*: No such file or directory
Error: no IP is available

не поняла, короче, я прикола. К панели подключилась, а файлового менеджера в нём не было. Хотя на DEMO сайте файловый менеджер был и я когда собирала себе установочную строку выбирала ftp. Хрень, короче говоря, как минимум для Ubuntu 18. Возможно из под другой системы нужно устанавливаться...

Answer 1

[ValdikSS]

Необходимо, чтобы ChrootDirectory принадлежала root:root, и чтобы пользователь ничего не мог в ней создать.

useradd -d /var/www -s /bin/false -g sftpusers user4

Вложенная директория, которая нужна пользователю, должна иметь его права.

chown -R user4:sftpusers /var/www/mysite.com

Comments

[Анастасия]

не совсем верное решение, потому что при подключении к /www пользователь будет видеть другие сайты (возможно ему не стоит их видеть). Я остановилась на варианте, где внутри mysite.com есть папки public_html, tmp и log. Как раз в public_html будут храниться файлы сайта

[ValdikSS]

Анастасия, Я не знаю, как у вас всё настроено, но вы потенциально можете нарушить работоспособность либо динамического сайта, если ему нужно записывать файлы в свою директорию, либо самой системы, которая у вас управляет этой структурой каталогов.

Я указал вам на конкретную ошибку в вашей настройке, но не нужно применять мои команды не глядя.

На профессиональных хостингах под каждый сайт заводят отдельного пользователя, этому пользователю принадлежат файлы сайта, этот же пользователь может входить по sftp, а chroot не используется. Альтернативный вариант: специальная директория для пользователя + mount --bind необходимых директорий + chroot + posix acl.