====== Настройка SFTP сhroot ======

Как предоставить пользователю доступ к серверу по [[https://ru.wikipedia.org/wiki/SFTP|SFTP]] протоколу.

Добавляем в файл ''/etc/ssh/sshd_config''

<code>
Subsystem sftp internal-sftp

Match group sftponly
    ChrootDirectory /home/%u 
    X11Forwarding no  
    AllowTcpForwarding no  
    ForceCommand internal-sftp 
</code>

В нём же комментируем строку

<code>Subsystem sftp /usr/lib/openssh/sftp-server</code>

Создаём новую группу для доступа по sftp

<code>addgroup --system sftponly</code>

Создаём нового пользователя и добавляем его в группу sftponly

<code>
adduser john
usermod -a -G sftponly john
</code>

Справка по usermod - [[https://linux.die.net/man/8/usermod|usermod(8) - Linux man page]]

<code>
-a, --append

Add the user to the supplementary group(s). Use only with the -G option.
</code>

Ставим правильные права на каталог /home/john

<code>
chmod 750 /home/john
chown root:john /home/john
</code>

Если этого не сделать, то в ''/var/log/auth.log'' будет ошибка **bad ownership**.

<code>
Sep 25 05:23:38 vm1337 sshd[17331]: Accepted password for john from a.b.c.d port 54512 ssh2
Sep 25 05:23:38 vm1337 sshd[17331]: pam_unix(sshd:session): session opened for user john by (uid=0)
Sep 25 05:23:38 vm1337 sshd[17340]: fatal: bad ownership or modes for chroot directory "/home/john"
Sep 25 05:23:38 vm1337 sshd[17331]: pam_unix(sshd:session): session closed for user john
</code>

В WinSCP это выглядит так

{{:linux:sftp_chroot_failed.png?nolink|}}

В Ubuntu также была ошибка **Directive 'UsePAM' is not allowed within a Match block**.

<code>
# systemctl restart ssh
Job for ssh.service failed because the control process exited with error code. See "systemctl status ssh.service" and "journalctl -xe" for details.
</code>

Смотрим ''systemctl status ssh.service''

<code>
systemd[1]: Stopped OpenBSD Secure Shell server.
systemd[1]: Starting OpenBSD Secure Shell server...
sshd[17397]: /etc/ssh/sshd_config line 98: Directive 'UsePAM' is not allowed within a Match block
systemd[1]: ssh.service: Main process exited, code=exited, status=255/n/a
systemd[1]: Failed to start OpenBSD Secure Shell server.
systemd[1]: ssh.service: Unit entered failed state.
systemd[1]: ssh.service: Failed with result 'exit-code'.
</code>

<WRAP alert round center 55%>Опция ''UsePAM yes'' должна быть перед секцией ''Match''.</WRAP>

Правильно

<code>
UsePAM yes
Match group sftponly
    ChrootDirectory /home/%u
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp
</code>

Неправильно

<code>
Match group sftponly
    ChrootDirectory /home/%u
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp
UsePAM yes
</code>

Пробуем подключиться (например через [[https://winscp.net/|WinSCP]]).

{{:linux:sftp_chroot.png?nolink|}}

Итог: пользователь john может подключаться к хосту по протоколу sftp и не может выйти за пределы каталога /home/john. Внутри каталога /home/john у пользователя полные права на чтение/запись.