Kusanaginoturugi: Category:セキュアシェル

2024-08-16T09:37:54Z

← 古い版		2024年8月16日 (金) 18:37時点における版
1行目:		1行目:
	[[Category:File Transfer Protocol]]		[[Category:File Transfer Protocol]]
	[[Category:~~Secure Shell~~]]		[[Category:セキュアシェル]]
	[[en:SFTP chroot]]		[[en:SFTP chroot]]
	[[OpenSSH]] 4.9 以上には sftp 用の chroot が含まれていますが、通常のインストールに多少の調整が必要です。		[[OpenSSH]] 4.9 以上には sftp 用の chroot が含まれていますが、通常のインストールに多少の調整が必要です。

Kusakata.bot: 文字列「Tips and tricks」を「ヒントとテクニック」に置換

2017-10-12T14:16:08Z

文字列「Tips and tricks」を「ヒントとテクニック」に置換

← 古い版		2017年10月12日 (木) 23:16時点における版
108行目:		108行目:
	設定できたら {{ic\|sshd.service}} を[[再起動]]してください。		設定できたら {{ic\|sshd.service}} を[[再起動]]してください。

			==ヒントとテクニック==
	==Tips and tricks==
	=== 書き込み権限 ===		=== 書き込み権限 ===
	chroot ユーザーのバインドパスは完全に {{ic\|root}} によって所有される必要がありますが、中のファイルやディレクトリはその限りではありません。以下の例では ''backup'' ユーザーでホームディレクトリとして (''root'' によって所有される) {{ic\|/root/backups}} を使用します:		chroot ユーザーのバインドパスは完全に {{ic\|root}} によって所有される必要がありますが、中のファイルやディレクトリはその限りではありません。以下の例では ''backup'' ユーザーでホームディレクトリとして (''root'' によって所有される) {{ic\|/root/backups}} を使用します:

Kusakata: 翻訳

2017-08-07T13:51:40Z

翻訳

新規ページ

[[Category:File Transfer Protocol]]
[[Category:Secure Shell]]
[[en:SFTP chroot]]
[[OpenSSH]] 4.9 以上には sftp 用の chroot が含まれていますが、通常のインストールに多少の調整が必要です。

== インストール ==

[[OpenSSH]] を[[インストール]]して設定してください。起動したら、デフォルトで SFTP が使えるようになります。

''sftp'' や [[SSHFS]] でファイルにアクセスしてください。大抵の [[アプリケーション一覧#FTP|FTP クライアント]]が使えます。

=== 代替 ===

==== Secure copy protocol (SCP) ====
{{Pkg|openssh}} をインストールするとファイルを転送するための ''scp'' コマンドが使えるようになります。SCP は SFTP よりも高速に動作します [https://superuser.com/questions/134901/whats-the-difference-between-scp-and-sftp]。

代替シェルとして {{Aur|rssh}} あるいは {{Pkg|scponly}} をインストールしてください。

===== Scponly =====

{{Pkg|scponly}} を[[インストール]]してください。

既存のユーザーのシェルを scponly に設定:

# usermod -s /usr/bin/scponly ''username''

詳しくは [https://github.com/scponly/scponly/wiki Scponly Wiki] を参照。

===== chroot 監獄の追加 =====

パッケージには chroot を作成するためのスクリプトが付属しています。使用するには:

# /usr/share/doc/scponly/setup_chroot.sh
* 質問に答えてください。
* {{ic|/path/to/chroot}} の所有者が {{ic|root:root}} で他者のパーミッションが {{ic|r-x}} であることを確認してください。
* ユーザーのシェルを {{ic|/usr/bin/scponlyc}} に変更してください。
* sftp-server は libnss_files などの libnss モジュールを必要とします。chroot の {{ic|/lib}} パスにコピーしてください。

==設定==

===ファイルシステムの設定===

共有したい[[ファイルシステム]]をディレクトリにバインドマウントします。以下の例では {{ic|root}} [[ユーザー]]によって所有されている[[パーミッション]]が {{ic|755}} の {{ic|/mnt/data/share}} を使います:

# chown root:root /mnt/data/share
# chmod 755 /mnt/data/share
# mkdir -p /srv/ssh/jail
# mount -o bind /mnt/data/share /srv/ssh/jail

エントリを [[fstab]] に追加して再起動してもバインドマウントされるようにしてください:
/mnt/data/share /srv/ssh/jail none bind 0 0

{{Note|Readers may select a file access scheme on their own. For example, optionally create a subdirectory for an incoming (writable) space and/or a read-only space. This need not be done directly under {{ic|/srv/ssh/jail}} - it can be accomplished on the live partition which will be mounted via a bind mount as well.}}

=== 非特権ユーザーの作成 ===
{{Note|必ずしもグループを作成する必要はありません。{{ic|Match Group}} の代わりに {{ic|Match User}} を使うことができます。}}

まず {{ic|sftponly}} [[グループ]]を作成してください:

# groupadd sftponly

そして[[ユーザー]]を作成 (`sftponly` をメイングループにします):

# useradd -g sftponly -d ''/srv/ssh/jail'' ''username''

{{ic|account is locked}} エラーを防ぐために (複雑な) パスワードを設定:

# passwd ''username''

[[シェル]]からのログインアクセスを拒否:

# usermod -s /sbin/nologin ''username''

=== OpenSSH の設定 ===
{{Note|グループを使用しない場合 {{ic|Match Group}} の代わりに {{ic|Match User}} を使ってください。}}

{{hc|/etc/ssh/sshd_config|<nowiki>
Match Group sftponly
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
PasswordAuthentication no
</nowiki>}}

{{ic|sshd.service}} を[[再起動]]すると変更が適用されます。

==== authorized_keys のパスの修正 ====
{{Tip|{{ic|(pre)auth}} エラーが発生する場合、クライアントとサーバーで OpenSSH の[[SSH_鍵#トラブルシューティング|デバッグモード]]を使ってください。}}
''AuthorizedKeysFile'' のパスがデフォルトのままだと [[SSH 鍵]]の認証は失敗します。修正するには、{{ic|/etc/openssh/sshd_config}} の ''AuthorizedKeysFile'' に root が所有しているディレクトリを追加してください (例: {{ic|/etc/ssh/authorized_keys}}):

{{hc|/etc/ssh/sshd_config|
AuthorizedKeysFile ''/etc/ssh/authorized_keys/%u'' .ssh/authorized_keys
PermitRootLogin no
PasswordAuthentication no
PermitEmptyPasswords no
Subsystem sftp /usr/lib/ssh/sftp-server
}}

''authorized_keys'' フォルダを作成し、クライアントで[[SSH_鍵#鍵の場所とパスフレーズを選択|SSH 鍵]]を生成して、鍵の中身をサーバーの {{ic|/etc/ssh/authorized_keys}} に[[SSH_鍵#伝統的な方法|コピー]]して[[SSH_鍵#トラブルシューティング|適切なパーミッションを設定]]してください:

# mkdir /etc/ssh/authorized_keys
# chown root:root /etc/ssh/authorized_keys
# chmod 755 /etc/ssh/authorized_keys
# echo 'ssh-rsa <key> <username@host>' >> ''/etc/ssh/authorized_keys/username''
# chmod 644 /etc/ssh/authorized_keys/''username''

設定できたら {{ic|sshd.service}} を[[再起動]]してください。

==Tips and tricks==
=== 書き込み権限 ===
chroot ユーザーのバインドパスは完全に {{ic|root}} によって所有される必要がありますが、中のファイルやディレクトリはその限りではありません。以下の例では ''backup'' ユーザーでホームディレクトリとして (''root'' によって所有される) {{ic|/root/backups}} を使用します:
# mkdir /root/backups/share
# chown backup:sftponly /root/backups/share
# chmod 775 /root/backups/share
# touch /root/backups/share/file
# chmod 664 /root/backups/share/file

=== ログ出力 ===
ユーザーは {{ic|/dev/log}} にアクセスできなくなります。ユーザーで接続してファイルのダウンロードを開始してプロセスに対して {{ic|strace}} を実行することで確認できます。

==== サブディレクトリの作成 ====
{{ic|ChrootDirectory}} に {{ic|dev}} サブディレクトリを作成してください。例:
# mkdir /usr/local/chroot/user/dev
# chmod 755 /usr/local/chroot/user/dev

{{ic|syslog-ng}} は {{ic|/usr/local/chroot/theuser/dev/log}} デバイスを作成します。

==== Syslog-ng の設定 ====
{{ic|/etc/syslog-ng/syslog-ng.conf}} に新しいソースを追加して設定を記述してください。例えば、以下を:
{{bc|<nowiki>source src {
unix-dgram("/dev/log");
internal();
file("/proc/kmsg");
};</nowiki>
}}

以下のように変更:
{{bc|<nowiki>source src {
unix-dgram("/dev/log");
internal();
file("/proc/kmsg");
unix-dgram("/usr/local/chroot/theuser/dev/log");
};</nowiki>
}}

そして以下を追加:
{{bc|<nowiki>#sftp configuration
destination sftp { file("/var/log/sftp.log"); };
filter f_sftp { program("internal-sftp"); };
log { source(src); filter(f_sftp); destination(sftp); };</nowiki>
}}

SSH のメッセージも同じようにログに残したい場合 ([[syslog-ng#ログを別のファイルに移動]]を参照):

{{bc|<nowiki>#sshd configuration
destination ssh { file("/var/log/ssh.log"); };
filter f_ssh { program("sshd"); };
log { source(src); filter(f_ssh); destination(ssh); };</nowiki>
}}

==== OpenSSH の設定 ====

{{ic|/etc/ssh/sshd_config}} を編集して {{ic|internal-sftp}} を全て {{ic|internal-sftp -f AUTH -l VERBOSE}} に置き換えてください。

==== サービスの再起動 ====

{{ic|syslog-ng}} と {{ic|sshd}} サービスを[[再起動]]してください。

{{ic|/usr/local/chroot/theuser/dev/log}} should now exist.

== 参照 ==
*[http://www.minstrel.org.uk/papers/sftp/ http://www.minstrel.org.uk/papers/sftp/builtin/]
*[http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config]

SFTP chroot - 版の履歴

Kusanaginoturugi: Category:セキュアシェル

Kusakata.bot: 文字列「Tips and tricks」を「ヒントとテクニック」に置換

Kusakata: 翻訳