展開しようとしているこのセットアップについて混乱しています。皆さんの誰かが私に手を貸してくれることを願っています。
背景情報
サーバーはDebian 6.0、ext3で、Apache2 / SSLとNginxがリバースプロキシとして前面にあります。Apacheのルートディレクトリ(/ var / www)へのsftpアクセスを提供する必要があります。これは、sftpユーザーがRWX権限でそのパスにchrootされていることを確認します。
/ var / wwwのデフォルトのパーミッションを変更せずに、これらすべて。
drwxr-xr-x 9 root root 4096 Nov 4 22:46 www
/ var / wwwの中
-rw-r----- 1 www-data www-data 177 Mar 11 2012 file1
drwxr-x--- 6 www-data www-data 4096 Sep 10 2012 dir1
drwxr-xr-x 7 www-data www-data 4096 Sep 28 2012 dir2
-rw------- 1 root root 19 Apr 6 2012 file2
-rw------- 1 root root 3548528 Sep 28 2012 file3
drwxr-x--- 6 www-data www-data 4096 Aug 22 00:11 dir3
drwxr-x--- 5 www-data www-data 4096 Jul 15 2012 dir4
drwxr-x--- 2 www-data www-data 536576 Nov 24 2012 dir5
drwxr-x--- 2 www-data www-data 4096 Nov 5 00:00 dir6
drwxr-x--- 2 www-data www-data 4096 Nov 4 13:24 dir7
私が試したこと
- 新しいグループsecureftpを作成しました
- 新しいsftpユーザーを作成し、nologinシェルを使用して、secureftpおよびwww-dataグループに参加しました。ホームディレクトリは/
- sshd_configを編集
Subsystem sftp internal-sftp AllowTcpForwarding no Match Group <secureftp> ChrootDirectory /var/www ForceCommand internal-sftp
私はsftpユーザーでログインでき、ファイルをリストできますが、書き込みアクションは許可されません。Sftpユーザーはwww-dataグループに属していますが、/ var / wwwの権限はグループビットに対してread / read + xなので、機能しません。
ACLも試してみましたが、sftpユーザーのACL RWXアクセス許可を/ var / www(ディレクトリとファイルを再帰的に)に適用すると、Unixアクセス許可も変更されるため、望ましくありません。
ここで何ができますか?
ユーザーwww-dataがsftpとしてログインできるようにして、www-dataが/ var / wwwで所有するファイル/ディレクトリを変更できるようにすることを考えていました。しかし、何らかの理由で、これはセキュリティ面での愚かな動きになると思います。