¿Crear un usuario remoto solo en OS X?

15

Me gustaría crear un usuario en OS X que tenga privilegios de inicio de sesión ssh remoto donde puedan acceder a una determinada carpeta / ruta / a / the / goods / y agregar / modificar / eliminar archivos manualmente o mediante rsync mientras el resto de la Mac está fuera de los límites (fuera de su directorio de inicio).

Idealmente, el usuario no debería tener acceso para ejecutar ningún otro programa que no sea rsync.

Este servidor será utilizado por un servidor de compilación para iniciar sesión y desplegar archivos. Quiero usar un par de claves pública / privada para que el script de compilación no requiera ingresar una contraseña.

¿Cómo puedo lograr esto?

Chrisan
fuente

Respuestas:

9

La mejor manera de hacer esto es crear una cárcel chroot para el usuario. Limpiaré la respuesta aquí cuando llegue a casa, pero publiqué la solución en mi blog.

https://thefragens.com/chrootd-sftp-on-mac-os-x-server/

A continuación se encuentran la mayoría de las instrucciones de la publicación anterior.

Primero, debe crear el nuevo usuario en Workgroup Admin y asignarles privilegios de acceso para SSH a través de Server Admin o asignarlos a un grupo que tenga privilegios de acceso SSH. Más discusión está abajo.

Desde la terminal, comience a la derecha.

sudo cp /etc/sshd_config /etc/sshd_config.bkup

sudo chown root /
sudo chmod 755 /
sudo mkdir -p /chroot/user/scratchpad
sudo chown -R root /chroot
sudo chown user /chroot/user/scratchpad
sudo chmod -R 755 /chroot

Cada nuevo usuario adicional agregado será algo similar a lo siguiente.

sudo mkdir -p /chroot/user2/scratchpad
sudo chown root /chroot/user2
sudo chown user2 /chroot/user2/scratchpad
sudo chmod -R 755 /chroot/user2

Cada carpeta de la ruta a la cárcel chroot debe ser propiedad de root. No creo que importe en qué grupo está la carpeta. Lo que hice arriba fue

  1. apoyo /etc/sshd_config
  2. cambiar la propiedad del directorio raíz a root
  3. cambiar los permisos del directorio raíz a 755
  4. crear una carpeta chroot
  5. crear una carpeta de usuario dentro de la carpeta chroot
  6. crear una carpeta dentro de la carpeta del usuario que el usuario pueda modificar
  7. establecer propiedad y permisos

Ahora para editar /etc/sshd_configa lo siguiente.

#Subsystem  sftp    /usr/libexec/sftp-server
Subsystem   sftp    internal-sftp

Match User user
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp
    ChrootDirectory /chroot/user

Esto crea una cárcel chroot que cuando el usuario inicia sesión los colocará en la carpeta /chroot/user, en esa carpeta hay una carpeta a la que pueden agregar cosas /chroot/user/scratchpad.

Si desea crear un Grupo en Administrador de grupo de trabajo para 'Usuarios de Chroot', agregue los nuevos usuarios que creó en Administrador de grupo de trabajo al Grupo, no tendrá que seguir editando el /etc/sshd_configarchivo. En lugar de lo anterior, agregue lo siguiente. Asegúrese de agregar el grupo 'Usuarios de Chroot' a la ACL de acceso SSH en Server Admin.

Match Group chrootusers
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp
    ChrootDirectory /chroot/%u

Para probar si lo anterior está funcionando, emita lo siguiente desde el terminal.

$ sftp [email protected]
Password:
sftp>
Afragen
fuente
Simplemente resolviendo mis propios problemas y documentando en caso de que necesite hacerlo nuevamente. ;-)
afragen