如何将ProFTPD配置为具有系统用户,PK身份验证和自定义umasks的仅SFTP服务器?

时间:2016-04-13 15:59:22

标签: sftp public-key proftpd

因此,我设法配置ProFTPD以允许系统用户登录密码。我有两个问题: umask pk auth 

Include /etc/proftpd/modules.conf

UseIPv6             on
ServerName          "Debian"
ServerType          standalone
MultilineRFC2228    on
DefaultServer       on
Port                21
PassivePorts        49152 49407
MaxInstances        30
SystemLog           /var/log/proftpd/proftpd.log

<IfModule mod_ctrls.c>
    ControlsEngine      off
    ControlsMaxClients  2
    ControlsLog         /var/log/proftpd/controls.log
    ControlsInterval    5
    ControlsSocket      /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
    AdminControlsEngine off
</IfModule>

<Global>
    UseFtpUsers         on
    IdentLookups        off
    DeferWelcome        off
    ShowSymlinks        on
    TimeoutNoTransfer   600
    TimeoutStalled      600
    TimeoutIdle         1200
    DisplayLogin        welcome.msg
    DisplayChdir        .message true
    ListOptions         "-l"
    DenyFilter          \*.*/
    DefaultRoot         ~
    RequireValidShell   off
    User                proftpd
    Group               nogroup
    Umask               007 007
    AllowOverwrite      on
    # AuthOrder           mod_sql.c
    CreateHome          on
    TransferLog         /var/log/proftpd/xferlog

    <IfModule mod_quotatab.c>
        QuotaEngine off
    </IfModule>

    <IfModule mod_ratio.c>
        Ratios off
    </IfModule>

    <IfModule mod_delay.c>
        DelayEngine on
    </IfModule>

    <IfModule mod_xfer.c>
        MaxStoreFileSize    70 Mb
        HiddenStores        on
        DeleteAbortedStores on
    </IfModule mod_xfer.c>

    <Directory /htdocs/*/>
        Umask 0007
        <Limit MKD XMKD RMD XRMD SITE_CHMOD>
            DenyUser !ftpadmin
        </Limit>
    </Directory>
</Global>

Include /etc/proftpd/sftp.conf

sftp.conf如下

<IfModule mod_sftp.c>
    <VirtualHost $(hostname)>
        Port 23
        SFTPEngine on
        SFTPAuthorizedUserKeys file:/home/%u/.ssh/authorized_keys
        SFTPHostKey /etc/ssh/ssh_host_dsa_key
        SFTPHostKey /etc/ssh/ssh_host_rsa_key
        SFTPHostKey /etc/ssh/ssh_host_ecdsa_key
        SFTPCompression delayed
        SFTPLog /var/log/proftpd/sftp.log
    </VirtualHost>
</IfModule mod_sftp.c>

[umask] 但是,当用户登录并put sa文件时,上传的文件将获得其最初的权限(我使用OS X进行测试和Linux作为客户端,这样才有意义)。我没有测试纯FTP解决方案,但我宁愿提供SFTP。

[pk auth] 当我尝试PK身份验证时,客户端正确提供了正确的密钥,并说

debug2: we sent a publickey packet, wait for reply
debug1: Server accepts key: pkalg ssh-rsa blen 535
debug2: input_userauth_pk_ok: fp SHA256:Eft1LIOozSylL20lfMc9gUdl3gKtd0zEdeyNtCb1p8Q

但随后以

结束 
debug1: Authentications that can continue: password

让我感到困惑。在服务器端,我有

no account for user 'sftpuser' found
sending userauth failure; remaining userauth methods: password

这很有趣,因为用户确实存在(并且可以成功执行密码登录)。我甚至将我的OpenSSH密钥转换为ProFTPD似乎更喜欢的RFC4716格式。

我承认我总共有大约4个小时的ProFTPD经验,但我一直在阅读,而配置文件对我来说很有意义。这一切都在Docker容器中运行。我错过了什么?

1 个答案:

答案 0 :(得分:2)

与FTP不同,SFTP上传通常包含自己的权限,作为SFTP OPEN请求的一部分。要使SFTP上传的行为更像FTP上传,关于ProFTPD配置(例如 Umask),您要将mod_sftp配置为忽略使用IgnoreSFTPUploadPerms SFTPOptions

上传权限 
<IfModule mod_sftp.c>
  ...
  SFTPOptions IgnoreSFTPUploadPerms
  ...
</IfModule>

对于publickey身份验证问题,您配置的SFTPLog应该有更多可能是问题的线索。也许配置的文件不存在,或者没有必要的权限?请记住,OpenSSH,经常使用~/.ssh/authorized_keys,该文件的格式与ProFTPD所需的格式不同。出于这个原因,我经常使用:

SFTPAuthorizedUserKeys file:~/.sftp/authorized_keys

来自OpenSSH想要的不同的文件,采用不同的格式(RFC 4716),以避免任何可能的混淆/冲突。

希望这有帮助!

相关问题
最新问题