https://mobile.opennet.me/openforum/vsluhforumID13/813.html Здраствуйте форумчане!!!<br>Хочу сделать chroot окружение для юзера с sftp доступом.<br><br><br>Subsystem sftp internal-sftp<br>AllowGroups sftponly<br>UseDNS no<br><br># Example of overriding settings on a per-user basis<br>Match Group sftponly<br>ChrootDirectory /var/www/production<br> X11Forwarding no<br>AllowTcpForwarding no<br> ForceCommand internal-sftp<br>#ForceCommand cvs server<br><br>При подключении выдает Write failed: Broken pipe Couldn't read packet: Connection reset by peer<br><br>В /var/log/secure:<br>pam_unix(sshd:session): session opened for user builder by (uid=0)<br>fatal: safely_chroot: stat("/var/www/"): Permission denied<br>pam_unix(sshd:session): session closed for user<br>На папку /var/www/production смонтирован рейд на 22 Гб, и там же находится сайт<br>права -R apache:sftponly /var/www/production -R 755 /var/...<br> https://mobile.opennet.me/openforum/vsluhforumID13/813.html#14 Wed, 15 Aug 2012 15:38:02 GMT Вот как решил проблему:<br>http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Fixing_Problems-Allowing_Access_audit2allow.html<br><br><br>Спасибо еще раз за помощь!!!<br> https://mobile.opennet.me/openforum/vsluhforumID13/813.html#13 Wed, 15 Aug 2012 11:35:13 GMT &gt;&gt;&gt; я понял!!!Спасибо за помощь!!!!!<br>&gt;&gt; Возможно, хватит такой команды <br>&gt;&gt; /usr/sbin/setsebool ssh_chroot_rw_homedirs 1 <br>&gt;&gt; Если нет, то значит всё сложнее - ошибки смотреть в /var/log/audit/audit.log <br>&gt; Вернее - с флагом -P <br>&gt; /usr/sbin/setsebool -P ssh_chroot_rw_homedirs 1 <br>&gt; Но на самом деле может быть еще сложнее, т.к. вероятно надо будет <br>&gt; учитывать SELinux контекст файлов, которые будут сбрасываться по ssh...<br><br>/usr/sbin/setsebool -P ssh_chroot_rw_homedirs 1 именно так и делал.<br>Вот еще ссылка http://consolekit.com/howto/enable-selinux-permission-for-sftp-chroot-jail-on-redhat-6-centos-6.html<br><br><br><br> https://mobile.opennet.me/openforum/vsluhforumID13/813.html#12 Wed, 15 Aug 2012 11:27:08 GMT &gt;&gt; я понял!!!Спасибо за помощь!!!!!<br>&gt; Возможно, хватит такой команды <br>&gt; /usr/sbin/setsebool ssh_chroot_rw_homedirs 1 <br>&gt; Если нет, то значит всё сложнее - ошибки смотреть в /var/log/audit/audit.log <br><br> Вернее - с флагом -P<br>/usr/sbin/setsebool -P ssh_chroot_rw_homedirs 1 <br>Но на самом деле может быть еще сложнее, т.к. вероятно надо будет учитывать SELinux контекст файлов, которые будут сбрасываться по ssh...<br> https://mobile.opennet.me/openforum/vsluhforumID13/813.html#11 Wed, 15 Aug 2012 11:22:29 GMT &gt;&gt; я понял!!!Спасибо за помощь!!!!!<br>&gt; Возможно, хватит такой команды <br>&gt; /usr/sbin/setsebool ssh_chroot_rw_homedirs 1 <br>&gt; Если нет, то значит всё сложнее - ошибки смотреть в /var/log/audit/audit.log <br><br>/usr/sbin/setsebool ssh_chroot_rw_homedirs 1 уже было сделано<br><br><br><br>grep sshd_t /var/log/audit/audit.log &#124; audit2allow -m sftpchrootlocal &gt;<br>sftpchrootlocal.te в эту сторону буду копать<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID13/813.html#10 Wed, 15 Aug 2012 11:20:35 GMT &gt; я понял!!!Спасибо за помощь!!!!!<br><br>Возможно, хватит такой команды<br>/usr/sbin/setsebool ssh_chroot_rw_homedirs 1<br>Если нет, то значит всё сложнее - ошибки смотреть в /var/log/audit/audit.log <br> https://mobile.opennet.me/openforum/vsluhforumID13/813.html#9 Wed, 15 Aug 2012 11:15:15 GMT я понял!!!Спасибо за помощь!!!!!<br> https://mobile.opennet.me/openforum/vsluhforumID13/813.html#8 Wed, 15 Aug 2012 10:57:38 GMT &gt; получилось,но!!!!<br>&gt; отключил selinux <br>&gt; сделал права на chown -R root:apache /var/www/production <br>&gt; добавил builder в группу apache и получилось так как мне надо(и сайт <br>&gt; нормально работает и sftp chroot доступ) <br>&gt; ,но при echo 1 &gt; /selinux/enforce появилась та же самая ошибка <br>&gt; grep builder /etc/passwd builder:x:505:505::/var/www/production/printatet/data/projects/test_sftp:/bin/bash <br><br>Если selinux важен, но надо изучать.<br>Тут не готов подсказать, т.к. практики не имел. <br><br> https://mobile.opennet.me/openforum/vsluhforumID13/813.html#7 Wed, 15 Aug 2012 10:16:18 GMT получилось,но!!!!<br>отключил selinux<br>сделал права на chown -R root:apache /var/www/production<br>добавил builder в группу apache и получилось так как мне надо(и сайт нормально работает и sftp chroot доступ)<br>,но при echo 1 &gt; /selinux/enforce появилась та же самая ошибка<br>grep builder /etc/passwd builder:x:505:505::/var/www/production/printatet/data/projects/test_sftp:/bin/bash<br> https://mobile.opennet.me/openforum/vsluhforumID13/813.html#6 Wed, 15 Aug 2012 10:02:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt; через lshell,тоже не пускает <br>&gt; Какого пользователя не пускает? builder ? Тогда что показывает <br>&gt; grep builder /etc/passwd ?<br>&gt; SELinux включен/выключен? Для отладки лучше выключить.<br>&gt; И еще - кажется с такими каталогами не получится - возможно ошибаюсь, <br>&gt; но когда "копался" с chroot, вроде попадалось указание о принадлежности root:root <br>&gt; папки корневой папки (/var/www/production).<br>&gt; А нельзя сделать более проше - примонтировать в другой каталог, а из <br>&gt; /var/www/production ссылаться по ссылке или примонтировать получившуюся папку в /var/www/production/printatet/data/projects <br>&gt; (mount --bind olddir newdir) <br><br>сделал umount --bind та же самая фигня и та же ошибка<br><br>