SFTP Chroot - Falsche Berechtigungen

So, dann mal ein neuer Post, auf dass es etwas Abwechslung hier gibt. Folgendes: Mein neuer Server meldet mir bei einem neu angelegten User und dessen SFTP-Zugriff das hier:

Zitat

fatal: bad ownership or modes for chroot directory component "/"

Das seltsame ist hier auf dem neuen echten Debian 7 System, dass das exakt die gleiche Config ist, wie bei anderen Debian 6 oder upgedateten 6 auf 7. Und mit gleiche Config meine ich, gleiche SSH-Einstellungen, gleiche Benutzer, gleiche Rechtevergabe bei den Verzeichnissen etc.

Diese Fehlermeldung müsste je eigentlich bedeuten, dass das Chroot Verzeichnis nicht root:root gehört, doch genau dem tut es. Das habe ich extra drei mal gegenkontrolliert.

Was mich allerdings ein wenigen wundert ist das "component "/"". Die Chroot-Umgebung ist das vhost-Dir, definiert mit "ChrootDirectory %h" in der ssh-Config.

Ich suche mal weiter, auch wenn ich schon 2 Stunden ziellos suche. Aber hat einer eventuell einen Tipp einen schupps in die richtige Richtung? Hat sich vielleicht bei den einzelnen Paketen, z.B. ssh, etwas geändert?

So, nach nun nochmals fast 2 Stunden später noch immer das gleiche Problem. Habe nun auch alle Rechte einfach mal so neu vergeben, geändert, hin und her getestet, Chroot-Umgebung per ChrootDirectory fest vorgebenen, korrekt und auch absichtlich falsch. Was ich auch tue, es kommt immer der gleiche Fehler:

"fatal: bad ownership or modes for chroot directory component "/" "

Am Openssl kann es auch nicht liegen, denn auf allen Servern ist die gleiche Version installiert. Ich verstehe es einfach nicht....

Das hat mit Debian wohl nun weniger zu tun. Ubuntu müsste gleich sein.

Ja, installiert habe ich vorher was. Eben das Debian 7 Mini-System und dann Apache, PHP, Mysql. Das übliche eben. Die vhosts angelegt, Nutzer angelegt usw. Geht auch alles. Dann den User für sftp, so wie immer, so wie schon 100x, nur der geht nun eben nicht und die Fehlermeldung

"fatal: bad ownership or modes for chroot directory component "/" "

bringt mich nicht weiter. Meiner Meinung nach und im Vergleich zu allen anderen 100 funktionierenden Usern ist die Config identisch.

Chroot-Verzeichnig: /var/www/vhosts/domain.de

drwxr-xr-x 12 root       root         4,0K 2014-03-18 07:52 var
drwxr-xr-x  3 root         root         4,0K 2014-03-19 07:26 www
drwxr-xr-x  3 root         root         4,0K 2014-03-19 07:26 vhosts
drwxr-xr-x  5 root         root         4,0K 2014-03-19 10:22 domain.de
drwxr-xr-x  2 sftpuser     sftpgruppe     4,0K 2014-03-19 07:27 public_html

User angelegt mit

adduser --home /var/www/vhosts/domain.de \
--shell /usr/lib/sftp-server \
--ingroup sftpgruppe \
sftpuser

sshd_conf angepasst auf:

Subsystem sftp internal-sftp


Match group sftpgruppe
         ChrootDirectory %h
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

Eben identisch wie auf den anderen Servern und dort ging das schon immer.

Und wie man sieht, domain.de ist root:root. Chmod habe ich auch schon testweise von 755 auf 750 und 777 verändert. Keine Änderung an der Fehlermeldung.

Und bei der "Match group" habe ich auch schon das "ChrootDirectory %h" entfernt und direkt mit "ChrootDirectory /var/www/vhosts/domain.de" ersetzt, bringt auch nichts. War ein Versuch, ob es vielleicht mit der Variable %h ein Problem gibt. Im Man steht nichts bzw. ich finde da nichts, komme mit dem Dreck von Man eh nicht zurecht.

Ok, dann die ssh verglichen. Sind auf allen begutachteten Servern die gleichen. Die gleiche lib und die die gleichen Server bwr. bzw. Clients.

Aber dass da was unterschiedlich sein muss, das weiß ich auch, nur was? Das ist genau das, was mich an Linux so ankotzt (sorry für den Ausdruck, aber bin tierisch genervt und wollte nur mal schnell die Daten hochladen und hänge nun seit 6:20 Uhr an einem User fest). Es ist einfach unberechenbar. Man macht exakt das gleiche und es geht nicht. Fehlermeldungen sind allgemein und nicht unbedingt aussagekräftig.

Verfluchter Mist. Ich komme weiter und doch nicht. Derzeit hat es fast den Anschein, als ob der die "/etc/ssh/sshd_config" gänzlich ignoriert. Habe nun mal das ChrootDirectory auf ein nicht existierendes Verzeichnis gesetzt und die Fehlermeldung ist wieder die gleiche wie zuvor. Die Config kann er aber eigentlich nicht irgnorieren, denn den geänderten Port kennt er ja auch. Ignoriert der vielleicht einfach nur "ChrootDirectory"?? Oder was bedeutet diese Fehlermeldung genau bzw. warum ist es immer die gleiche?

ja, root gibt es. SSH neu gestartet? Gefühlte 200 mal oder so.

So wie es scheint, habe ich den Fehler nun auch gefunden und die Fehlermeldung scheint dementsprechend auch zu stimmen..... Nur, wer kommt da bitte drauf?

ein

chown root:root /

löste das Problem. Nur nun stellt sich die Frage, welche Probleme machte das nun auf? Warum war / nicht schon vorher root/root, so wie bei allen anderen Servern?

Nee, das sehe ich nun nicht als typisch an. Keine Ahnung warum das so ist oder war, aber das war noch auf keinem Server und ich habe Debian seit 10 Jahren. Da war schon immer root:root und hier bei dem war es root:adm

Bei den anderen drei Debian 7 Systemen war es auch nicht und die sind gerade mal 6 Wochen älter. Der hier war nun der erste.

Zitat

Früher war es so. das Ubuntu sich an Debian orientierte, heute ist das anders rum

Da täuscht Du Dich aber gewaltig, ohne hier wirklich jetzt auf den Nachbarschaftskrieg Debian Ubuntu herantreten zu wollen. Ich habe auch nicht mit Debian angefangen, sondern mit Suse, Opensuse und wie die alle heißen

Aber dennoch täuschst Du Dich da, denn Ubuntu ist schon immer aus dem Kern von Debian entstanden. Ubuntu wurde nur mit neueren Paketen versehen. Dann sind mal ein paar wichtige Entwickler von Debian zu Ubuntu gewechselt, was an der Entwicklung aber nichts änderte. Im Gegenteil. Ubuntu wollte ein eigenständiges System werden, doch das ging und geht schlicht nicht, weil Ubuntu auf Debian aufbaut und der gesamte Core unter Debian-Lizenz steht.