OpenSSHを制限して特定のディレクトリにのみアップロードを許可する

Question

複数のサーバーから別のサーバー上の単一のアカウントにバックアップを実行する必要があります。パブリックサーバーの1つが侵害された場合、バックアップアカウントの他のサーバーのファイルが侵害されることはありません。

私がする必要があるのは、着信接続のsshキーに基づいて、特定のディレクトリにのみSCPを許可することです。

私は、シェルと、キーごとにいくつかのオプションをauthorized_keysファイルに設定できることを知っています。 http://www.manpagez.com/man/8/sshd/（「AuthorizedKeysFile」までスクロールダウン）

internal-sftpコマンドを設定して特定のディレクトリのみを使用する方法がわかりません。私はマシンにrootを持っていないので、通常のinternal-sftp + chrootを実行することはできません。

Answer 1

このようには機能しません。

あなたがする必要があるのは、バックアップホストごとにミニchroot jailを設定することです。 shとscp（/ devは/ dev/nullエントリのみ必要）を実行できるようにする必要があります。

各アカウントのログインシェルとしてjailshを使用します。

Jailshは、2つの連続したスラッシュ、root権限を持つディレクトリ、およびexecs/bin/shでマークされたディレクトリにchroot jailを設定するsuid-rootログインシェルです。