SFTPによる接続に対するumaskの設定

vim /etc/ssh/sshd_config

#以下の行を探しだして修正する。
Subsystem       sftp    /usr/libexec/openssh/sftp-server
↓
Subsystem       sftp    /usr/libexec/openssh/sftp-server -u 002

apacheの書き込みに対するumaskの設定

vim /etc/sysconfig/httpd

#以下の行を追加する
umask 002

設定の適用

それぞれ再起動して設定を適用する。

service sshd restart
service httpd restart

これで、MovableTypeなどが生成するページ(apache:apache)やSFTPユーザーがアップロードするファイル類(user:apache)のグループが同じ apache となり、また、グループによる書き込みが許された状態になるので、公開ディレクトリのすべてのファイルについて消去・上書き・移動などをSFTPクライアント上からできるようになる。

準備

まずはroot権限で、シェルでアクセスしようとした時に接続を遮断するスクリプトを作成する。*11

vim /usr/libexec/openssh/force-sftp-server.sh

#以下のコードを貼り付けて保存（この下の行から）
#!/bin/sh
if [ "/usr/libexec/openssh/sftp-server -u 002" != "$SSH_ORIGINAL_COMMAND" ]; then
  echo "Sorry, only sftp is permitted."
  exit 1
fi
exec /usr/libexec/openssh/sftp-server
#ここまで

#実行権限を付与
chmod +x /usr/libexec/openssh/force-sftp-server.sh

root権限から sftp-usr にログイン。*12
HOMEに移動して鍵を保存するためのディレクトリと公開ディレクトリへのシンボリックリンクを作成する。*13

cd $HOME
mkdir .ssh
chmod 700 .ssh

ln -s /var/www www

鍵の作成（ここから繰り返しゾーン*14）

鍵を作成し、編集を行う。

#鍵の作成
ssh-keygen -t rsa

#できた鍵を編集
vim ~/.ssh/id_rsa.pub

#以下のとおり先頭にコマンドを追加し、ユーザー名を変更する（全てを改行無しの１行のみで書く）
ssh-rsa AAAAB3Nza～(中略)～gV/BwQ== sftp-usr@admin.hoge.com
↓
command="/usr/libexec/openssh/force-sftp-server.sh",no-pty,no-x11-forwarding,no-port-forwarding,no-agent-forwarding ssh-rsa AAAAB3Nza～(中略)～gV/BwQ== ユーザー名

#ユーザー名のところをわかりやすい名前にしておくと後で削除するときに便利

このように編集した公開鍵を名前を変更して保存する。

mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys #mvを使うのは初回のみ
chmod 600 ~/.ssh/authorized_keys

あとは、秘密鍵をダウンロードして削除。TeraTermのメニューから、[ファイル]-[SSH SCP...] を選択し、Recieve 欄で /home/sftp-usr/.ssh/id_rsa をダウンロードする。

#サーバー上の秘密鍵を消す
rm /home/sftp-usr/.ssh/id_rsa

ダウンロードした秘密鍵には、ファイル名にユーザー名をいれておく。

二人目以降の公開鍵は編集後にcatコマンドで追加し、編集元ファイルは削除する。

#二人目以降の公開鍵の追加
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
rm ~/.ssh/id_rsa.pub