Настроить многоуровневый доступ к sftp
Я настраиваю сервер sftp, на котором клиенты будут иметь доступ только для чтения. Они войдут в свои каталоги chroot, и это нормально, но мне нужна учетная запись администратора, которая может получать доступ к этим каталогам и писать в них.
/var/www/hosts <- admin chroot (root:root, 700)
-- /domain1 <- client1 chroot (root:root, 700)
-- /domain2 <- client2 chroot (root:root, 700)
-- /domain3 <- client3 chroot (root:root, 700)
все пользователи sftp переходят в нужные места после входа в систему, но учетная запись администратора может видеть под- каталоги, но не может войти в них и, очевидно, не может писать в них.
Я попытался установить разрешения ACL для подкаталогов, которые дают учетной записи администратора доступ на запись; это работает, но нарушает доступ клиента к sftp, поскольку sshd сообщает о фатальной ошибке о неправильном владении / разрешениях chroot и прерывает вход.
Что я могу сделать, чтобы решить эту проблему?
хорошо, поэтому я изменил разрешения на 755 для всех каталогов, создал каталог «data» в каждом домене и установил права root:admsftp 775 и изменил мой sshd_config, чтобы включить
ForceCommand internal-sftp -d /data
поэтому теперь, когда клиент подключается, он принудительно попадает в каталог данных, по-прежнему доступный только для чтения. Конечно, они могут подняться в каталог, но все, что они могут сделать оттуда, это вернуться в каталог «данные».
Не идеально, но делает то, что мне нужно.