OS Xでリモートのみのユーザーを作成しますか?


15

特定のフォルダー/ path / to / the / goods /にアクセスし、Macの残りの部分で手動またはrsyncを介してファイルを追加/変更/削除できるリモートsshログイン特権を持つユーザーをOS Xで作成したい立ち入り禁止(ホームディレクトリ外)です。

理想的には、ユーザーはrsync以外の他のプログラムを実行するためのアクセス権を持ってはいけません。

このユーザーは、ビルドサーバーがファイルをログインして展開するために使用するだけです。ビルドスクリプトでパスワードの入力が不要になるように、公開キーと秘密キーのペアを使用します。

どうすればこれを達成できますか?

回答:


8

これを行う最良の方法は、ユーザーのchroot刑務所を作成することです。帰宅したらここで回答を整理しますが、解決策をブログに投稿しました。

https://thefragens.com/chrootd-sftp-on-mac-os-x-server/

以下は、上記の投稿からのほとんどの指示です。

まず、Workgroup Adminで新しいユーザーを作成し、Server Adminを介してSSHのアクセス権限を割り当てるか、SSHアクセス権限を持つグループに割り当てます。さらなる議論は以下にあります。

ターミナルから、右から始めます。

sudo cp /etc/sshd_config /etc/sshd_config.bkup

sudo chown root /
sudo chmod 755 /
sudo mkdir -p /chroot/user/scratchpad
sudo chown -R root /chroot
sudo chown user /chroot/user/scratchpad
sudo chmod -R 755 /chroot

追加されるすべての新しいユーザーは、次の行に沿ったものになります。

sudo mkdir -p /chroot/user2/scratchpad
sudo chown root /chroot/user2
sudo chown user2 /chroot/user2/scratchpad
sudo chmod -R 755 /chroot/user2

chroot jailへのパスであるすべてのフォルダーは、によって所有されてrootいる必要があります。フォルダがどのグループに属しているかは問題ではないと思います。上記でしたことは

  1. バックアップ /etc/sshd_config
  2. ルートディレクトリの所有権を変更します root
  3. ルートディレクトリのアクセス許可を755に変更します
  4. chrootフォルダーを作成します
  5. chrootフォルダー内にユーザーフォルダーを作成する
  6. ユーザーが変更できるユーザーフォルダー内にフォルダーを作成します
  7. 所有権と許可を設定する

次に/etc/sshd_config、以下を編集します。

#Subsystem  sftp    /usr/libexec/sftp-server
Subsystem   sftp    internal-sftp

Match User user
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp
    ChrootDirectory /chroot/user

これは、ユーザがログインがフォルダにドロップする時期というchroot監獄作成し/chroot/user、そのフォルダに、彼らはに物事を追加できるフォルダです/chroot/user/scratchpad

「Chrootユーザー」のワークグループ管理でグループを作成する場合は、ワークグループ管理で作成した新しいユーザーを、/etc/sshd_configファイルの編集を続ける必要のないグループに追加します。上記の代わりに、以下を追加します。Server Adminで「Chroot Users」グループをSSHアクセスACLに追加してください。

Match Group chrootusers
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp
    ChrootDirectory /chroot/%u

上記が機能しているかどうかをテストするには、ターミナルから次を発行します。

$ sftp user@domain.com
Password:
sftp>

自分の問題を解決し、再度必要に応じて文書化するだけです。;-)
afragen
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.