○ OpenSSH (chroot+sftponly) の設定

・chroot環境でsftp(openssh)接続を行います
・openssh-5.8p1の"ChrootDirectory"を使います
・専用の秘密鍵・公開鍵を使用します
・間違ってもrootの秘密鍵を渡さないこと

・公開サーバで使う場合は、ローカル環境で十分実証して下さい

・ソースの取得、削除は省略します
・エディタ、ファイラーの操作は省略します
・Enterキーを省略します

・ログイン端末で "#" はroot、"$" は一般ユーザのプロンプトの記号です
・設定ファイルで "#" で始まる行はコメントとして解釈されます

○参照ファイル

パッケージの追加
最初の設定 (Xen)
OpenSSHのインストール
OpenSSH (chroot+sshlogin) の設定

○仮設定

:サーバ jupiter.528p.com
:OS CentOS 5.6
:openssh 5.8p1
:selinx disabled or permissive
:作業 /root 一部 /home/umi
:言語 LANG=en_US.UTF-8
:ユーザー rootで実行 一部 umiで実行


:クライアント  mars.528p.com
:OS CentOS 5.6
:作業 /home/umi
:言語 LANG=en_US.UTF-8
:ユーザー umiで実行

・メンテナンスの場合は一般ユーザから行います



○chrootの設定

○sftp専用ユーザ・グループの設定

・仮定 一般ユーザ (umi) とします
・useraddに -M オプションをつけるとホームディレクトリを作成しません
・パスワードを設定しないと公開鍵認証でもエラーになります
・groupIDは/etc/groupファイルを参照して未使用の番号を使用します

[root@jupiter:~]
# useradd -M -s /sbin/nologin umi
# passwd umi
New UNIX password:← パスワードを入力
Retype new UNIX password:← 再入力
# groupadd -g 103 sftponly
# gpasswd -a umi sftponly

○書き込み可能なディレクトリの作成

・chrootディレクトリの所有者はrootでなければなりません
・root権限でユーザのホームディレクトリ (chrootディレクトリ) を作ります
・同時にユーザの書き込み可能なディレクトリ (例 data) をつくります
・パーミッションに注意、chrootされないwheelグループのアクセスが可能

[root@jupiter:~]
# mkdir -p /home/umi/{data,public_html}
# chown umi:umi /home/umi/{data,public_html}
# chmod 711 /home/umi/{data,public_html}

○configファイルの修正

・デフォルトから変更した部分を記述しています
・Matchは最終行に追加します、sftp接続のみの設定です
・sftp接続には、Subsystemとしてinternal-sftpを使います
紫色部分 パスワード認証を許可する場合 (rootは公開鍵認証)

:/etc/ssh/sshd_config

Port 22
AddressFamily inet
ListenAddress 0.0.0.0
AllowGroups wheel sftponly

SyslogFacility AUTHPRIV
LogLevel VERBOSE
PermitRootLogin without-password
RSAAuthentication no
PubkeyAuthentication yes
IgnoreUserKnownHosts yes
PasswordAuthentication no
ChallengeResponseAuthentication no
X11UseLocalhost no
PrintMotd no
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour

Subsystem    sftp    internal-sftp

Match Group sftponly
    PasswordAuthentication yes
    AllowAgentForwarding no
    AllowTcpForwarding no
    ChrootDirectory /home/%u

○sshdの再起動

[root@jupiter:~]
# service sshd restart



○公開鍵の作成とサーバへのコピー

○ローカルホスト上でDSA認証鍵を作ります

・ユーザのディレクトリに.sshディレクトリが作られます
・id_dsa (DSA秘密鍵) id_dsa.pub (DSA公開鍵) が収納されます

[umi@mars ~]
$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/umi/.ssh/id_dsa):← Enterキー
Created directory '/home/umi/.ssh'.
Enter passphrase (empty for no passphrase):← パスフレーズを入力
Enter same passphrase again: ← 再入力
Your identification has been saved in /home/umi/.ssh/id_dsa.
Your public key has been saved in /home/umi/.ssh/id_dsa.pub.
The key fingerprint is:
32:d5:15:a2:7e:9a:ee:0d:3d:80:3f:38:83:5a:f7:a0 umi@mars.528p.com
$

○サーバ上でid_dsa.pub (DSA公開鍵) を登録します

・ローカルホストからサーバにid_dsa.pub (DSA公開鍵)を転送しておきます
・専用ディレクトリをつくり、公開鍵を専用ファイルに書き加えます
・ディレクトリとファイルのパーミッション・オーナーを変更します

# cd /home/umi
[root@jupiter:/home/umi]
# mkdir .ssh
# cat id_dsa.pub >> .ssh/authorized_keys
# chmod 700 .ssh
# chmod 600 .ssh/authorized_keys
# chown -R umi:umi .ssh

○selinuxヘの対応 (selinuxが有効の場合)

:新規ファイルのselinuxラベルを修正

# cd ~
[root@jupiter:~]
# restorecon -Rv /etc
# restorecon -RFv /home/umi

○sshによる接続

[umi@mars:~]
$ ssh umi@jupiter.528p.com
/sbin/nologin: No such file or directory
Connection to jupiter.528p.com closed.

○sftpによる接続

[umi@mars:~]
$ sftp umi@jupiter.528p.com
Connecting to jupiter.528p.com...
sftp> pwd
Remote working directory: /
sftp> cd ..
sftp> pwd
Remote working directory: /
sftp> cd /home/sola
Couldn't canonicalise: No such file or directory
sftp> cd data
sftp> pwd
Remote working directory: /data
sftp> put openssh-5.8p1.tar.gz
Uploading openssh-5.8p1.tar.gz to /data/openssh-5.8p1.tar.gz
openssh-5.8p1.tar.gz           100% 1087KB   1.1MB/s   00:01
sftp> ls
openssh-5.8p1.tar.gz
sftp> exit
$

・wheelグループのユーザでsftp接続

[sola@mars:~]
$ sftp sola@jupiter.528p.com
Connecting to jupiter.528p.com...
sftp> cd /home/umi/data
sftp> pwd
Remote working directory: /home/umi/data
sftp> ls
remote readdir("/home/umi/data/"): Permission denied
sftp> exit
$

○ Copyright(c) 528p.com All Rights Reserved.