SFTP账号连接出现错误fatal: bad ownership or modes for chroot directory component “/“ [postauth]

已于 2022-10-31 13:08:53 修改
阅读量6.7k 收藏 8
点赞数 5
分类专栏: Linux 文章标签: sftp sshd
于 2022-10-26 21:30:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gmaaa123/article/details/127540253
版权

目录

一、当前环境

二、问题背景

三、报错分析

四、解决问题

一、当前环境

CentOS 7.3

OpenSSH_7.4p1 (如果低于4.8p1,需要自行升级安装)

sftp group组 sftpusers

sftpadmin用户隶属于sftpusers组

sftp账号 testuser

二、问题背景

出于安全考虑sftp服务器上root账号需要禁用SSH远程连接,想使用sftpadmin账号通过脚本自动下载所有sftp账号home目录upload文件夹下的文件到本地保存并从服务器上删除。

因为当前sftpadmin账号没有删除其他账号home目录下upload文件夹内文件的权限,所以将所有sftp账号home目录下的upload文件夹权限改成了775,希望实现下载文件保存后并删除。批量更改后,发现所有账号都无法通过winscp软件连接到sftp服务器。

三、报错分析

连接不上,登录服务器直接查看/var/log/secure 里面的日志

tail /var/log/secure -n 20  # 可以只查看最近20条记录
Oct 26 18:37:11 centos-machine sshd[24928]: pam_unix(sshd:session): session opened for user TEST2022 by (uid=0)
Oct 26 18:37:12 centos-machine sshd[24928]: fatal: bad ownership or modes for chroot directory component "/" [postauth]
Oct 26 18:37:12 centos-machine sshd[24928]: pam_unix(sshd:session): session closed for user TEST2022

可能导致的原因:错误的目录权限设定会导致在log中出现”fatal: bad ownership or modes for chroot directory XXXXXX” 的内容。

目录的权限设定有两个要点:
1、由ChrootDirectory指定的目录开始一直往上到系统根目录为止的目录拥有者都只能是root
2、由ChrootDirectory指定的目录开始一直往上到系统根目录为止都不可以具有群组写入权限

如果不能遵循以上 2 点,即使是该目录仅属于某个用户,也可能会影响到所有的 SFTP 用户。

四、解决问题


所以遵循以上两个原则

ChrootDirectory 这里是 /data/sftp/testuser


1、我们将 /data/sftp/testuser的所有者设置为root,所有组设置为sftpusers

chown root:sftpusers /data/sftp/testuser 


2、我们讲/opt/sftp/testuser的权限设置为755,所有者root有写入权限,而所有组sftp无写入权限

chmod 755 /data/sftp/testuser

设置sftp用户登入后可写入的目录  在upload文件夹里上传文件

这里目录是 /data/sftp/testuser/upload

1、我们将 /data/sftp/testuser/upload的所有者设置为testuser,所有组设置为sftpusers

chown testuser:sftpusers /data/sftp/testuser/upload

2、我们将/opt/sftp/testuser的权限设置为755,所有者testuser有写入权限,而所有组sftpusers无写入权限

chmod 755 /data/sftp/testuser/upload

完成后重启sshd服务

systemctl restart sshd

到这里问题解决,testuser(包含其他账号)已经可以通过sftp客户端登录并可以上传文件到upload目录。

解压zabbix导致使用ssh免密登陆时出现:Authentication refused: bad ownership or modes for directory /root
david3ddafsd的博客
06-30 537
使用ssh免密登陆时出现:Authentication refused: bad ownership or modes for directory /root.ssh目录权限不对/root目录权限问题 前提条件(请仔细阅读!) 需要登陆到问题机器操作,请仔细阅读 如果机器没有其他用户,当前有终端连着该机器,请不要断开!请不要断开!请不要断开!否则就再也连不上了。 如果当前机器有其他用户(可以正常登陆并切换到root),那就通过该用户登陆机器,修改root目录权限 .ssh目录权限不对 /root/.
【linux】非root用户ssh免密登录失败,Authentication refused: bad ownership or modes for directory /home/XXX
Dawson的博客
09-02 2377
在使用非root用户,配置集群免密登录时,发现配置完了免密登录仍然需要输入密码。 查看了系统安全日志后,发现报错。 # 查看系统安全日志命令 sudo cat /var/log/secure | grep sshd # 看时间范围内的错误的日志信息 Sep 1 17:25:53 node001 sshd[47211]: Authentication refused: bad ownership or modes for directory /home/dawson 0 首先先要配置好免密登录,即最少满
Fixing Authentication refused: bad ownership or modes for directory
zhouzhouruirui的博客
03-22 239
整了一上午,感觉自己有点傻😅。
sftp连接 报错: packet_write_wait: Connection to ...,fatal:bad ownership or modes for chroot directory
qq_33930506的博客
10-15 2916
版权声明:本文为CSDN博主「半路出家的码农小王」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。注释掉ChrootDirectory /cib/sftp/%u这一项,这样解决带来的问题是,用户登陆sftp后会直接来到系统根目录。原文链接:https://blog.csdn.net/f746262041/article/details/129307636。2、由ChrootDirectory指定的目录到根目录为止都不可以具有群组写入权限。解决方式二:逐层授权。
SSH 连接fatal: bad ownership or modes for chroot directory “/home/data/sftp
weixin_45932924的博客
07-02 905
SSHD 的配置中,使用了基于 ChrootDirectory 指令的环境,当用户连接时,他们的活动被限制在指定的目录(即“chroot jail”)中。为了确保安全和隔离,SSH 服务要求该目录仅由 root 用户拥有,且其他用户(特别是将被锁定在该目录中的用户)不能拥有对此目录的写权限。日志指出,通过 SSH 连接(特别是 SFTP)成功认证后,出现了关于 chroot 环境设置的错误。的所有者(ownership)或权限(modes)设置不符合 SSHD 的要求。替换为相应的用户和组名称。
fatal: bad ownership or modes for chroot directory
weixin_34356310的博客
02-12 5490
过年放假前在修改用户权限,添加了一个账户,年后回来发现几个SFTP账户无法登陆SFTP,提示WinSCP提示Authentication failure,以为账户密码错了,用passwd重置后问题依旧。然后用别的管理员帐户登陆SFTP却没有问题,于是用sudo journalctl -xe命令查看到日志信息: fatal: bad ownership or modes for chroot dir...
连接sftp报错:packet_write_wait: Connection to ...,fatal:bad ownership or modes for chroot directory...
半路出家的码农小王
03-02 2300
packet_write_wait: Connection to 127.0.0.1port 21: Broken pipe Could not read packet: connection reset by peer fatal:bad ownership or modes for chroot directory component "/path/"
sftp:ssh linux broken pipe,Connection Reset by Peer, bad ownership or modes for chroot directory "*"
Myriad Dreamin 愿逐将属于我的奇迹
10-15 3303
修改一通令人绝望… 虽然不知道怎么回事,冰河姐姐我和搞的时候没改/etc/ssh/sshd_config里的东西好像那天也登陆了… 搜索了半天,发现一个很好的命令 tail -f /var/log/auth.log 发现bad ownership or modes for chroot directory “/var/www” 于是先 ChrootDirectory /home/sftplinke...
bad ownership or mods for directory问题
分享技术相关博文
11-16 1557
看日志,命令:tail /var/log/secure -n 20 1.问题一 bad ownership or mods for directory /root 解决: chmod 700 /root 2.问题二 bad ownership or mods for directory /root/.ssh 解决: chmod 600 /root/.ssh ...
ssh 之 bad ownership or modes for directory
weixin_33845881的博客
05-25 765
使用key登录远程服务器时,一直登录不进去,查看secure日志出现下面的日志信息: May 25 13:57:23 zhao-file sshd[881]: [ID 800047 auth.info] Authentication refused: bad ownership or modes for directory /home/ckl 这里主要是...
SSH Authentication Refused: Bad Ownership or Modes for Directory
m0_64206188的博客
10-10 549
这个是由于SSH不希望用户的.ssh目录的读写权限被其他人拥有,这个文件夹的读写权限只运行被本用户拥有,因此修改目录权限。问题:无法ssh登陆服务器。
ssh配置互信时错误解决方法
驰兔的博客
08-12 1417
之前项目中遇到有关配置ssh互信免密登录问题,为避免以后踩坑,现记录一下避坑指南。 1、提示如下错误: Permission denied (publickey,gssapi-keyex,gssapi-with-mic). 问题分析:可能是ssh配置问题。 查看日志/var/log/secure,分析问题在何处;也可以检查/var/log/messages tail -n 20 /var/log/secure 问题处理:修改ssh配置 这里简单总结几个必须要修改的配置: HostKey /etc/ssh/s
Authentication refused: bad ownership or modes for directory /root 解决
vah101的专栏
08-28 3414
使用ssh-copy-id命令后,仍然不能免密登录, cat /var/log/secure检查日志,发现报错“Authentication refused: bad ownership or modes for directory /root” 于是执行: chmod 0750 /root -R 再次执行ssh-copy-id,系统提示: @@@@@@@@@@@@@@@@@@@@@@...
ubuntu搭建sftp服务器
空山无人,水流花开
11-02 7528
在ubuntu中搭建sftp服务,并需要把登陆账户的目录限制到一个固定目录 1.安装sftp服务 sudo apt-get install openssh-server 这里我们把目录/data/sftp/mysftp用来做上传目录,下面建一个upload文件夹用来放上传文件 2.建立账户和组 sudo addgroup sftp sudo adduser tomf
ssh免密码登陆设置时Authentication refused: bad ownership or modes错误解决方法
weixin_45034355的博客
12-08 4852
问题: 设置ssh免密码登陆的时候,发现有一些机器设置不生效。有一些机器正常。 跟踪: tail /var/log/secure -n 20 错误日志如下: Dec 8 09:25:22 hdp-2 sshd[5678]: Authentication refused: bad ownership or modes for directory /root 翻译:拒绝认证:目录/根目...
Linux建立SFTP专用帐号,并设置Chroot环境教程
chopin的专栏
11-22 1059
要替换为自己的 SFTP 专用帐号名称。这些设置的作用就是让此帐号不能使用 SSH 的各种功能,只能以 SFTP 传输文件,并且以 chroot 的方式限制在自己的家目录,无法看到系统上的其他文件。介绍如何在 Linux 系统上建立 SFTP 传输文件专用的帐号,禁止该帐号以 SSH 登入,并以 chroot 将用户限制在自己的家目录中,加强系统安全性。若要让用户只能以 SFTP 传输文件,可以透过用户帐号的方式设置单一用户,或是以群组来设置多个用户帐号,选择其中一种方式即可(或是混用亦可)。
Troubleshoot:SSH身份验证被拒绝 Authentication refused: bad ownership or modes for ...
jelatine的博客
11-07 1632
SSH免密码登陆失败的处理
ssh免密登录无法生效:authentication refused:bad ownership or modes for directory /home/hadoop
lukabruce的博客
11-29 2116
原因是: /home/hadoop权限问题 解决办法: chmod 700 /home/hadoop      (权限千万不能赋予777,否则免密登录是无法生效的,因为authorized_keys默认是自己唯一写权限的)    ...
fatal: bad ownership or modes for chroot directory component "/mysql/" [postauth]
最新发布
03-11
<think>好的,我现在需要帮助用户解决SSH登录时出现的“fatal: bad ownership or modes for chroot directory component '/mysql/' [postauth]”错误。首先,我得回忆一下用户提供的引用内容,特别是关于chroot目录权限的问题。 根据引用[2],错误是因为chroot目录的所有权或权限设置不符合SSHD的要求。用户提到的路径是“/mysql/”,所以首先应该检查这个目录的所有者和权限。根据引用[5],ChrootDirectory需要特定的权限设置,比如目录的所有者必须是root,并且其他用户不能有写入权限。 接下来,我需要分步骤思考解决方法。首先,确认目录的所有权是否正确。用户可能将目录的所有者设置为了非root用户,比如mysql用户,这会导致问题。然后检查目录的权限,是否设置为755,即drwxr-xr-x。如果有其他权限,比如组用户有写权限,或者其他人有写权限,就会触发错误。 另外,根据引用[4],类似的问题出现在/root/.ssh目录时,权限问题也会导致认证失败。所以同样适用于这里的chroot目录。需要确保整个路径上的所有父目录(比如/mysql的上级目录)的权限也符合要求,即不能有组或其他用户的写权限。 可能的解决方案步骤包括: 1. 修改目录所有者为root。 2. 设置目录权限为755。 3. 检查父目录的权限是否也符合要求。 4. 确保目录下的文件或子目录的正确权限,但chroot目录本身必须严格限制。 5. 重启SSH服务应用更改。 用户可能需要执行的具体命令是: - sudo chown root:root /mysql/ - sudo chmod 755 /mysql/ - 检查父目录如/mysql的上层路径权限,确保每个目录都是root所有且权限为755或更严格。 此外,根据引用[3],错误的权限设定会导致此类错误,所以需要强调严格遵循权限要求。最后,建议用户应用更改后重启sshd服务,并测试连接是否成功。</think>要解决 SSH 登录时出现的错误 `fatal: bad ownership or modes for chroot directory component "/mysql/" [postauth]`,需按照以下步骤检查和修复目录权限: --- ### **1. 检查目录所有权** - **要求**:`/mysql/` 目录及其所有父目录(如 `/`)必须为 **root 用户和 root 组** 所有。 - **修复命令**: ```bash sudo chown root:root /mysql/ # 修改目录所有者 ``` --- ### **2. 设置目录权限** - **要求**:`/mysql/` 目录权限应为 `755`(即 `drwxr-xr-x`),且 **不允许其他用户或组写入**。 - **修复命令**: ```bash sudo chmod 755 /mysql/ # 设置目录权限为755 ``` --- ### **3. 检查父目录权限** - **要求**:从根目录 `/` 到 `/mysql/` 的每一级父目录(如 `/`、`/mysql`)均需满足以下条件: - 所有权为 `root:root` - 权限为 `755` 或更严格(如 `750`) - **检查命令**: ```bash namei -l /mysql/ # 查看路径中所有目录的权限和所有者 ``` --- ### **4. 验证目录结构** - **要求**:`/mysql/` 目录本身不能是软链接,且必须是**空目录**(若需挂载子目录,需通过 `mount --bind` 实现)。 - **验证方法**: ```bash ls -ld /mysql/ # 确认目录类型和内容 ``` --- ### **5. 重启 SSH 服务** 完成修改后,重启 SSH 服务以应用配置: ```bash sudo systemctl restart sshd # 适用于systemd系统 ``` --- ### **错误原因解析** SSH 对 chroot 目录的权限要求严格,以防止权限滥用。若目录被非 root 用户拥有,或权限过松(如允许写入),SSH 会拒绝连接以保障安全性[^2][^5]。此机制常见于 SFTP 或受限 Shell 环境配置中[^3]。 ---
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值