LINUX.ORG.RU
ФорумAdmin

как правильно организовать доступ через sftp chroot к общей папке?


0

1

Сейчас создаются пользователи sftp (ssh), chrootятся в домашний каталог /home/user1, /home/user2

Есть каталог /data, овнер root группа sftpusers, и /data/users12 овнер root, группа users12 Юзеры user1 и user2 состоят в группах sftpusers и users12

Цель - доступ окромя домашнего каталога к /data/users12 и возможно (по тому же принципу) к другим каталогам в /data/

Создать группу users135, одноименную папку, дать группу папке и загнать нужных пользователей в эту группу - было бы хорошо.

Надо примонтировать каталог /data каждому пользователю в домашнюю директорию. Но при монтировании в /home/user2/data пропадает связь в /home/user1/data с каталогом /data, то есть мультимонтирование одного каталога не получается.

mkdir /home/userX/data chown root:sftpusers /home/userX/data mount --bind /home/userX/data /data

Как правильно решить такую задачу?


Но при монтировании в /home/user2/data пропадает связь в /home/user1/data с каталогом /data, то есть мультимонтирование одного каталога не получается.

А как именно ты пытаешься его примонтировать?

Deleted ()

Надо примонтировать каталог /data каждому пользователю в домашнюю директорию
mount --bind /home/userX/data /data

Эммм... Ты делаешь абсолютно не то. Надо: mount --bind что куда

В твоём случае надо:

mount --bind /data /home/userX/data

Pinkbyte ★★★★★ ()

ну тут у тебя две задачи:

1. сначала надо смонтировать:

mount --bind /data /home/user1/data
mount --bind /data /home/user2/data

2. а потом уже регулировать доступ правами.

Если хочется что-бы user1 имел доступ к файлам user2 (и наоборот), но только внутри /data, то нужно поставить на /data SETGID, а также создать группу user12, для /data. Тогда все файлы и каталоги в /data будут иметь группу user12 (не зависимо от того, кто их создал). Если вдобавок хочется, что-бы был доступ по записи для других пользователей, то вдобавок надо сменить umask с 0022 на 0002. Тогда запись(точнее модификация) файлов будет доступна группе, а т.к. группа у нас user12, то user1 сможет модифицировать файлы user2 и наоборот, но только в /data. В других каталогах группа будет не user12, а например user1, и user2 не сможет получить доступ к файлам user1.

emulek ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.