Как настроить SFTP к сайту /var/www/mydomain.ru?

Question

[voffkared]

Дано:
VDS-ка с 5 сайтами.

Задача:
дать доступ rwX по SFTP для пользователя myuser к /var/www/mydomain.ru и не дать вылезти за пределы этой папки.

Делалось:
1. создан пользователь

useradd myuser -g www-data -d /var/www/mydomain.ru -s /bin/false

2. создан каталог
mkdir /var/www/mydomain.ru

3. права на папку

chown root:root /var/www
chmod 770 /var/www

4. права на подпапку

chown mouser:www-data /var/www/mydomain.ru
chmod 775 /var/www/mydomain.ru

5. в конфиге сервера ssh модифицированно:
nano /etc/ssh/sshd_config

Subsystem sftp internal-sftp
Match Group sftp    
    ChrootDirectory %h
    ForceCommand internal-sftp
    AllowTcpForwarding no

6. вэб сервер поднят mydomain.ru и каталог /var/www/mydomain.ru через webmin

7. перезапущены соответствующие службы
service ssh restart && service apache2 graceful

При попытке подключения пользователя по SFTP через Filezilla выдает ошибку о невозможности подключения.
Дабы проверить, что все делалось правильно, SFTP настраивался описанным выше методом на папку /home/username все работало как по часам - и запись и чтение.

Кто встречался с таким и как это можно побороть?

Answer 1

[Сергей Петриков]

Не мучайтесь, тот же proftpd поддерживает работу в режиме sftp, запереть внутри хомяка можно одной строкой в конфиге. Вот пример настройки https://www.digitalocean.com/community/tutorials/h...

Comments

[voffkared]

Спасибо, попробую. Не знал что proftpd также запирать умеет. А по поводу digital Ocean vds/vps что то сказать можете? Vds от firstvds последний месяц не стабильно работает, особенно по вечерам - по 30-120 мин офф-лайн сервера уходят.

[Сергей Петриков]

@voffkared Я как сотрудник другого хостинга не буду рекламировать конкурентов ;) А вообще не пользовался ими по вышеобозначенной причине, мне серваков на свои проекты на рабочих мощностях хватает. Попробуйте, где-то на хабре была сводная табличка облаков, можно поискать, своего мнения по данному вопросу не имею.

[voffkared]

@RicoX действительно, поробовал proftpd, запустилось без лишних вопросов и chroot нативный.
Остался вопрос с правами на загружаемые файлы, настрока sftp и как безболезненно открутить /bin/bash пользователю.
Спасибо за помощь.

[Сергей Петриков]

@voffkared С правами никаких проблем нет, для каждого пользователя можно сделать как отдельного пользователя в системе с наследованием всех прав так и сделать виртуальных пользователей средствами proftpd и всем дать одинаковые права.
Ну если вам нужен только sftp то делайте виртуальных пользователей и не придется откручивать /bin/bash либо по стандарту заменять на nologin либо вести список пользователей кому разрешен коннект по ssh, вариантов решения много.

Answer 2

[Валентин]

Все настроили, кроме самого сервера ftp)

Comments

[voffkared]

Уточните пожалуйста, о каких настройка ftp идет речь, если расшифровывать sftp как ssh ftp? Перекопал кучу мануалов, кроме Subsystem sftp internal-sftp никаких доп вещей не требуется.
Дальнейший костыли идут для запирания пользователя в его дирректории.