与色度有关的SFTP取决于连接用户的公钥
我希望构建一个服务器(运行Debian或FreeBSD),通过sshfs接收来自不同客户端的备份。每个客户端都应该能够读取和写入自己的备份数据,而不是任何其他客户端的数据。
我有以下想法:每个客户端通过公钥连接到backup@backupserver.local。用户备份有一个特殊的authorized_keys文件,如下所示:
command="internal-sftp" chroot="/backup/client-1/data" ssh-rsa (key1)
command="internal-sftp" chroot="/backup/client-2/data" ssh-rsa (key2)
command="internal-sftp" chroot="/backup/client-3/data" ssh-rsa (key3)
etc...这样做的好处是,我不需要为每个客户端使用单独的用户,而且我可以轻松地使用脚本自动生成authorized_keys文件。
只有一个问题:chroot=...不能工作。OpenSSH的authorized_keys文件似乎与ChrootDirectory (在/etc/ssh/sshd_config中工作,无论是全局的还是在匹配的用户块中)没有等效之处。
是否有一个合理的简单的方法来完成我想要的使用OpenSSH?也许以一种聪明的方式使用command=...指令?或者,是否还有其他SFTP服务器可以做我想做的事情?
编辑:为了更清楚地说明我想要实现什么:我希望几个客户端能够在我的服务器上存储文件。每个客户端不应该能够看到任何其他客户端的文件。而且我不想让服务器上有几十个用户帐户,所以我想要一个易于管理的解决方案,让客户端共享一个用户帐户,但仍然无法访问对方的文件。
回答 2
Server Fault用户
发布于 2016-02-21 22:20:28
或者,是否还有其他SFTP服务器可以做我想做的事情?
是的,你可以使用proftpd
准备用户环境。对于ProFTPD,不需要给用户提供一个有效的shell。
# useradd -m -d /vhosts/backup/user1/ -s /sbin/nologin user1
# passwd --lock user1
Locking password for user user1.
passwd: Success
# mkdir /vhosts/backup/user1/.sftp/
# touch /vhosts/backup/user1/.sftp/authorized_keys
# chown -R user1:user1 /vhosts/backup/user1/
# chmod -R 700 /vhosts/backup/user1/为了在OpenSSH中使用SFTPAuthorizedUserKeys公钥,必须将它们转换为RFC4716格式。您可以使用ssh-keygen工具来完成这一任务:
# ssh-keygen -e -f user1.public.key > /vhosts/backup/user1/.sftp/authorized_keys设置ProFTPD
ServerName "ProFTPD Default Installation"
ServerType standalone
DefaultServer off
LoadModule mod_tls.c
LoadModule mod_sftp.c
LoadModule mod_rewrite.c
TLSProtocol TLSv1 TLSv1.1 TLSv1.2
# Disable default ftp server
Port 0
UseReverseDNS off
IdentLookups off
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask 022
# PersistentPasswd causes problems with NIS/LDAP.
PersistentPasswd off
MaxInstances 30
# Set the user and group under which the server will run.
User nobody
Group nobody
# Normally, we want files to be overwriteable.
AllowOverwrite on
TimesGMT off
SetEnv TZ :/etc/localtime
<VirtualHost sftp.example.net>
ServerName "SFTP: Backup server."
DefaultRoot ~
Umask 002
Port 2121
RootRevoke on
SFTPEngine on
SFTPLog /var/log/proftpd/sftp.log
SFTPHostKey /etc/ssh/ssh_host_rsa_key
SFTPHostKey /etc/ssh/ssh_host_dsa_key
SFTPDHParamFile /etc/pki/proftpd/dhparam_2048.pem
SFTPAuthorizedUserKeys file:~/.sftp/authorized_keys
SFTPCompression delayed
SFTPAuthMethods publickey
</VirtualHost>
<Global>
RequireValidShell off
AllowOverwrite yes
DenyFilter \*.*/
<Limit SITE_CHMOD>
DenyAll
</Limit>
</Global>
LogFormat default "%h %l %u %t \"%r\" %s %b"
LogFormat auth "%v [%P] %h %t \"%r\" %s"
ExtendedLog /var/log/proftpd/access.log read,write创建DH (Diffie-Hellman )组参数。
# openssl dhparam -out /etc/pki/proftpd/dhparam_2048.pem 2048配置任何SFTP客户端。我用过FileZilla
如果您在调试模式下运行ProFPTD
# proftpd -n -d 3 在控制台中,您将看到如下内容
2016-02-21 22:12:48,275 sftp.example.net proftpd[50511]: using PCRE 7.8 2008-09-05
2016-02-21 22:12:48,279 sftp.example.net proftpd[50511]: mod_sftp/0.9.9: using OpenSSL 1.0.1e-fips 11 Feb 2013
2016-02-21 22:12:48,462 sftp.example.net proftpd[50511] sftp.example.net: set core resource limits for daemon
2016-02-21 22:12:48,462 sftp.example.net proftpd[50511] sftp.example.net: ProFTPD 1.3.5a (maint) (built Sun Feb 21 2016 21:22:00 UTC) standalone mode STARTUP
2016-02-21 22:12:59,780 sftp.example.net proftpd[50512] sftp.example.net (192.168.1.2[192.168.1.2]): mod_cap/1.1: adding CAP_SETUID and CAP_SETGID capabilities
2016-02-21 22:12:59,780 sftp.example.net proftpd[50512] sftp.example.net (192.168.1.2[192.168.1.2]): SSH2 session opened.
2016-02-21 22:12:59,863 sftp.example.net proftpd[50512] sftp.example.net (192.168.1.2[192.168.1.2]): Preparing to chroot to directory '/vhosts/backup/user1'
2016-02-21 22:12:59,863 sftp.example.net proftpd[50512] sftp.example.net (192.168.1.2[192.168.1.2]): Environment successfully chroot()ed
2016-02-21 22:12:59,863 sftp.example.net proftpd[50512] sftp.example.net (192.168.1.2[192.168.1.2]): USER user1: Login successful和/var/log/sftp.log中的折叠行。
2016-02-21 22:12:48,735 mod_sftp/0.9.9[50309]: sending acceptable userauth methods: publickey
2016-02-21 22:12:48,735 mod_sftp/0.9.9[50309]: public key MD5 fingerprint: c2:2f:a3:93:59:5d:e4:38:99:4b:fd:b1:6e:fc:54:6c
2016-02-21 22:12:48,735 mod_sftp/0.9.9[50309]: sending publickey OK
2016-02-21 22:12:59,789 mod_sftp/0.9.9[50309]: public key MD5 fingerprint: c2:2f:a3:93:59:5d:e4:38:99:4b:fd:b1:6e:fc:54:6c
2016-02-21 22:12:59,790 mod_sftp/0.9.9[50309]: sending userauth success
2016-02-21 22:12:59,790 mod_sftp/0.9.9[50309]: user 'user1' authenticated via 'publickey' method附注:
包含授权密钥(SFTPAuthorizedUserKeys)的文件的配置路径可以使用%u变量,该变量将与经过身份验证的用户的名称进行内插。此功能支持拥有驻留在中心位置的授权密钥的每个用户文件,而不是要求(或允许)用户管理自己的授权密钥。例如:
SFTPAuthorizedUserKeys file:/etc/sftp/authorized_keys/%u我希望多个客户端能够在我的服务器上存储文件。每个客户端不应该能够看到任何其他客户端的文件。而且我不想让服务器上有几十个用户帐户,所以我想要一个易于管理的解决方案,让客户端共享一个用户帐户,但仍然无法访问对方的文件。
使用ProFTPD也是可能的。你只需要稍微修改一下我的初始配置
<VirtualHost sftp.example.net>
...
SFTPAuthorizedUserKeys file:/etc/proftpd/sftp_authorized_keys
AuthUserFile /etc/proftpd/sftp_users.passwd
CreateHome on 0700 dirmode 0700 uid 99 gid 99
RewriteHome on
RewriteEngine on
RewriteLog /var/log/proftpd/rewrite.log
RewriteCondition %m REWRITE_HOME
RewriteRule (.*) /vhosts/backup/%u
</VirtualHost>并创建一个虚拟帐户
# ftpasswd --passwd --file /etc/proftpd/sftp_users.passwd --sha512 --gid 99 --uid 99 --shell /sbin/nologin --name user1 --home /vhosts/backup就这样。对于每一个额外的帐户,您所需要的只是将他的公钥添加到/etc/proftpd/sftp_authorized_ key中。
注意:文件最后必须包含新行!这很重要。
Server Fault用户
发布于 2016-03-11 23:12:43
与此同时,我想出了另一个很好的解决方案,至少在用例中是这样的:
每个客户端都用相同的用户帐户连接到服务器,甚至可能有相同的密钥(无关紧要)。OpenSSH色度位于具有以下结构的目录中:
d--x--x--- dark-folder
drwxr-x--- |- verylongrandomfoldername1
drwxr-x--- |- verylongrandomfoldername2
drwxr-x--- `- ...与backup命令一起,服务器告诉客户端它应该将其文件放入的文件夹名。文件夹名是几乎无法猜测的64字节随机字符串,因此每个客户端只能真正访问自己的文件夹,即使其他文件夹“在黑暗中的某个地方”。
暗文件夹上的d-x-x模式确保每个客户端都可以输入文件夹(以及下面的文件夹),但不能列出其内容或创建任何新条目。
子文件夹由备份服务器进程创建,客户端和文件夹之间的连接存储在sqlite中(除其他外)。
https://serverfault.com/questions/758754
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号