https://www.opennet.ru/openforum/vsluhforumID3/51165.html Начиная с релиза 4.9 в OpenSSH появилась возможность помещать отдельных пользователей в изолированное окружение. <br>Помещение в chroot управляется через директиву ChrootDirectory, задаваемую в конфигурационном файле sshd_config.<br>При задействовании sftp-server интегрированного в sshd, при этом не требуется формирование специального chroot окружения.<br><br>Пример помещения в chroot:<br><br> AllowUsers user1, user2, user3@192.168.1.1, user3@192.168.2.*<br> Match user user2, user3<br> ChrootDirectory /home/%u<br> X11Forwarding no<br> AllowTcpForwarding no<br> ForceCommand internal-sftp<br><br> Subsystem sftp internal-sftp<br><br>Пользователь user1 имеет возможность входа в shell, в то время как user2 и user3 могут работать только по sftp, <br>без возможность выхода за пределы своей домашней директории.<br>При этом user3 может входить только с машины 192.168.1.1 и подсети 192.168.2.0/24.<br><br>Опция "ForceCommand internal-sftp" разрешает пользователю использовать только sftp, встроенный в sshd.<br><br>П https://www.opennet.ru/openforum/vsluhforumID3/51165.html#5 Mon, 03 Dec 2012 15:22:17 GMT вот рабочий, короче рута пускает, у кого не работает отключите SELinux:<br>http://guruadmin.ru/page/4-metoda-otkljuchenija-selinux<br><br># override default of no subsystems<br>#Subsystem sftp /usr/libexec/openssh/sftp-server<br>Subsystem sftp internal-sftp<br>AllowGroups sftponly root<br>AllowUsers root sftponly<br><br>Match group sftponly<br> ChrootDirectory /var/www/<br> X11Forwarding no<br> AllowTcpForwarding no<br> ForceCommand internal-sftp<br> https://www.opennet.ru/openforum/vsluhforumID3/51165.html#4 Mon, 03 Dec 2012 14:47:40 GMT Хоть бы один рабочий конфиг кто показал sshd_config, еще у меня работает только 1 пользователь, рута после внесения данных настроек вообще перестало пускать.<br> https://www.opennet.ru/openforum/vsluhforumID3/51165.html#3 Sat, 28 Jan 2012 04:51:44 GMT os freebsd openssh-portable-5.8<br><br>не работает детальное логирование.<br><br>как сделать?<br> спасибо... <br> https://www.opennet.ru/openforum/vsluhforumID3/51165.html#2 Thu, 12 Nov 2009 12:20:25 GMT Делал chroot заработал как по ssh так и по sftp, но вот одновременно для одного пользователя не работает. Если делаю так <br>Match group sftponly<br> ChrootDirectory %h<br> ForceCommand internal-sftp<br> AllowTcpForwarding no<br> X11Forwarding no<br>то работает sftp только, а если так <br>Match group sftponly<br> ChrootDirectory %h<br> AllowTcpForwarding no<br> X11Forwarding no<br>то ssh а по sftp не заходит.<br>Народ помогите разобраться как сделать чтоб то и то работало, а то два логина не хочится заводить.<br> https://www.opennet.ru/openforum/vsluhforumID3/51165.html#1 Thu, 26 Mar 2009 09:11:22 GMT Перечисление в AllowUsers производится без запятых, просто через пробел (в варианте как в статье будет пускать только пользователя user1, посылая куда подальше всех остальных).<br><br>В заметке не указано, но работать без этого не будет: директория, в которую происходит chroot пользователя (не имеет значения, ssh или sftp), должна принадлежать пользователю root и права на запись должны принадлежать только владельцу (750, например).<br><br>Ну и мелочи:<br>ChrootDirectory /home/%u проще писать как: ChrootDirectory %h<br><br>P.S. Большое спасибо за заметку, давно хотел посмотреть и разобраться, но все не доходили руки.<br>