Per SFTP k\u00f6nnen sicher Daten auf einen Server geschoben werden. Jedoch m\u00f6chte man in der Regel nicht, dass der SFTP-Benutzer sich an der Konsole einloggen kann, oder auf andere Verzeichnisse als sein eigenes zugreifen darf. Seit OpenSSH 5 ist in den SSH-Daemon direkt SFTP-Funktionalit\u00e4t eingebaut, man ben\u00f6tigt also keine externe Serversoftware mehr. Ein beschr\u00e4nkter Benutzer f\u00fcr SFTP kann so eingerichtet werden:<\/p>\n
User f\u00fcr SFTP anlegen:<\/p>\n
\r\n# User anlegen\r\nadduser sftp\r\n\r\n# Kein Shell-Zugriff\r\nusermod -s \/bin\/false sftp\r\n\r\n# F\u00fcr chroot muss das Userverzeichnis root geh\u00f6ren und darf nicht world\/group writeable sein\r\nchown root:root \/home\/sftp\r\nchmod 755 \/home\/sftp\r\n\r\n# Der User darf nicht direkt ins chroot \/home\/sftp schreiben. Uploadverzeichnis anlegen\r\nmkdir \/home\/sftp\/upload\r\nchown sftp:sftp \/home\/sftp\/upload\r\n<\/pre>\nsshd Config anpassen:<\/p>\n
\r\n#\/etc\/ssh\/sshd_config\r\n\r\nSubsystem sftp internal-sftp\r\n\r\n# Auskommentieren:\r\n#Subsystem sftp \/usr\/lib\/openssh\/sftp-server\r\n\r\nMatch User sftp\r\n ChrootDirectory \/home\/%u\r\n ForceCommand internal-sftp\r\n X11Forwarding no\r\n AllowTcpForwarding no\r\n<\/pre>\nSSHD neu starten:<\/p>\n
\r\n\/etc\/init.d\/sshd restart\r\n<\/pre>\nDebuggen:<\/p>\n
\r\ntail -f \/var\/log\/auth.log\r\n<\/pre>\nFallstricke:
\nAuch \u00fcbergeordnete Verzeichnisse, also \/ und \/home m\u00fcssen root geh\u00f6ren und die Rechte m\u00fcssen auf 755 gesetzt sein.<\/p>\n","protected":false},"excerpt":{"rendered":"Per SFTP k\u00f6nnen sicher Daten auf einen Server geschoben werden. Jedoch m\u00f6chte man in der Regel nicht, dass der SFTP-Benutzer sich an der Konsole einloggen kann, oder auf andere Verzeichnisse als sein eigenes zugreifen darf. Seit OpenSSH 5 ist in den SSH-Daemon direkt SFTP-Funktionalit\u00e4t eingebaut, man ben\u00f6tigt also keine externe Serversoftware mehr. Ein beschr\u00e4nkter Benutzer […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[227],"tags":[],"class_list":["post-1430","post","type-post","status-publish","format-standard","hentry","category-linux"],"_links":{"self":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts\/1430","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/comments?post=1430"}],"version-history":[{"count":9,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts\/1430\/revisions"}],"predecessor-version":[{"id":1914,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts\/1430\/revisions\/1914"}],"wp:attachment":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/media?parent=1430"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/categories?post=1430"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/tags?post=1430"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}