Come posso impostare le autorizzazioni predefinite per SFTP per un server Ubuntu?

16

Abbiamo un server Ubuntu 10.04. Come posso impostarlo in modo che i nuovi file creati (o copiati) su SFTP o SSH dispongano delle autorizzazioni g + rw e g + rwx (dove appropriato)?

Sto anche usando setgid (chmod g + s) in modo che ereditino il proprietario del gruppo corretto.

ubuntu  ssh  permissions  sftp  umask 
wag2639
fonte

Risposte:

12

In / etc / ssh / sshd_config, puoi passare un flag e un valore in (-u 0002) come il seguente per impostare il valore umask:

Subsystem sftp /usr/lib/openssh/sftp-server -u 0002

Aggiungere -u 0002 alla riga sftp del sottosistema esistente del file di configurazione.

Successivamente, sarà necessario riavviare ssh per rendere effettive le modifiche:

service ssh restart
Domino
fonte
Questo vale solo per le versioni più recenti di OpenSSH, ma dovrebbe essere la soluzione preferita ove possibile.
Andrew B,
2
Funziona solo se hai bisogno di autorizzazioni più restrittive rispetto a quanto impostato dal client, non più lento.
Joost,
Come ha detto Joost, questo non aiuta a forzare le autorizzazioni di scrittura di gruppo. Aiuterei a vietare la scrittura di gruppo.
volo
Secondo la recente documentazione, è possibile utilizzare le stesse opzioni con Subsystem sftp internal-sftp.
underscore_d
10

In / etc / ssh / sshd_config, modifica quanto segue:

Subsystem sftp /usr/lib/openssh/sftp-server

per:

Subsystem sftp /bin/sh -c 'umask 0002; exec /usr/libexec/openssh/sftp-server'

Soure: http://jeff.robbins.ws/articles/setting-the-umask-for-sftp-transactions

wag2639
fonte
1
È meglio mettere un execprima della finale /usr/.../sftp-server, in modo da non avere shprocessi inutili in giro.
user1686
Inoltre, un umask è solo un numero; 0002può essere scritto più breve come 02.
user1686
Pensavo che Umask fosse un ottale, ma grazie per la parte esecutiva.
wag2639,
2
Sì, gli umask sono ottali. Ciò non significa che hai bisogno di tre zeri iniziali: uno è sufficiente. (In realtà, il umaskcomando non ha bisogno di alcun zeri iniziali, si legge sempre l'argomento come un numero ottale.) ... Ma il secondo pensiero, forse 0002è più chiaro per capire.
user1686
2
Questo non funziona per me. Non imporrà l'autorizzazione g + w.
volo
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.