La mejor manera de hacer esto es crear una cárcel chroot para el usuario. Limpiaré la respuesta aquí cuando llegue a casa, pero publiqué la solución en mi blog.
https://thefragens.com/chrootd-sftp-on-mac-os-x-server/
A continuación se encuentran la mayoría de las instrucciones de la publicación anterior.
Primero, debe crear el nuevo usuario en Workgroup Admin y asignarles privilegios de acceso para SSH a través de Server Admin o asignarlos a un grupo que tenga privilegios de acceso SSH. Más discusión está abajo.
Desde la terminal, comience a la derecha.
sudo cp /etc/sshd_config /etc/sshd_config.bkup
sudo chown root /
sudo chmod 755 /
sudo mkdir -p /chroot/user/scratchpad
sudo chown -R root /chroot
sudo chown user /chroot/user/scratchpad
sudo chmod -R 755 /chroot
Cada nuevo usuario adicional agregado será algo similar a lo siguiente.
sudo mkdir -p /chroot/user2/scratchpad
sudo chown root /chroot/user2
sudo chown user2 /chroot/user2/scratchpad
sudo chmod -R 755 /chroot/user2
Cada carpeta de la ruta a la cárcel chroot debe ser propiedad de root
. No creo que importe en qué grupo está la carpeta. Lo que hice arriba fue
- apoyo
/etc/sshd_config
- cambiar la propiedad del directorio raíz a
root
- cambiar los permisos del directorio raíz a 755
- crear una carpeta chroot
- crear una carpeta de usuario dentro de la carpeta chroot
- crear una carpeta dentro de la carpeta del usuario que el usuario pueda modificar
- establecer propiedad y permisos
Ahora para editar /etc/sshd_config
a lo siguiente.
#Subsystem sftp /usr/libexec/sftp-server
Subsystem sftp internal-sftp
Match User user
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
ChrootDirectory /chroot/user
Esto crea una cárcel chroot que cuando el usuario inicia sesión los colocará en la carpeta /chroot/user
, en esa carpeta hay una carpeta a la que pueden agregar cosas /chroot/user/scratchpad
.
Si desea crear un Grupo en Administrador de grupo de trabajo para 'Usuarios de Chroot', agregue los nuevos usuarios que creó en Administrador de grupo de trabajo al Grupo, no tendrá que seguir editando el /etc/sshd_config
archivo. En lugar de lo anterior, agregue lo siguiente. Asegúrese de agregar el grupo 'Usuarios de Chroot' a la ACL de acceso SSH en Server Admin.
Match Group chrootusers
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
ChrootDirectory /chroot/%u
Para probar si lo anterior está funcionando, emita lo siguiente desde el terminal.
$ sftp [email protected]
Password:
sftp>