SFTP (Secure File Transfer Protocol) は、ネットワーク経由でファイルを転送するための強力で安全なソリューションです。このチュートリアルでは、SFTP の理解、'Permission Denied' エラーのトラブルシューティング、および Linux システムでの SFTP パーミッション問題の解決について説明します。SFTP サーバーのセットアップ、適切なパーミッションを持つユーザーの作成、ファイル転送中に発生する一般的なパーミッション問題の診断方法を学びます。
SFTP (Secure File Transfer Protocol) は、システム間でファイルを転送するための安全な方法を提供します。通常の FTP とは異なり、SFTP は転送中にコマンドとデータの両方を暗号化し、不正アクセスから情報を保護します。
このステップでは、Ubuntu システムに基本的な SFTP サーバーをセットアップします。
まず、システムが最新であることを確認し、SFTP 機能を含む OpenSSH サーバーをインストールしましょう。
sudo apt update
sudo apt install -y openssh-serverこれらのコマンドを実行すると、次のような出力が表示されるはずです。
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
openssh-server is already the newest version (1:8.9p1-3ubuntu0.1).Docker コンテナ内にあるため、標準の systemctl コマンドは機能しません。プロセスステータス コマンドを使用して、SSH サービスが実行されているかどうかを確認しましょう。
ps aux | grep sshdsshd が実行されていることを示す出力が表示されるはずです。
root 1234 0.0 0.1 12016 5604 ? Ss 10:20 0:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startupsSFTP 機能のテスト専用のユーザーを作成しましょう。
sudo adduser sftpuserプロンプトが表示されたら、password123 のような簡単なパスワードを入力し、Enter キーを押して追加のユーザー情報フィールドをスキップできます。次のような出力が表示されるはずです。
Adding user `sftpuser' ...
Adding new group `sftpuser' (1001) ...
Adding new user `sftpuser' (1001) with group `sftpuser' ...
Creating home directory `/home/sftpuser' ...
Copying files from `/etc/skel' ...
New password:
Retype new password:
passwd: password updated successfully次に、SFTP 転送に使用するテストファイルをホームディレクトリに作成しましょう。
cd ~/project
echo "This is a test file for SFTP transfers" > testfile.txt
echo "This file has different permissions" > restrictedfile.txtファイルが正しく作成されたことを確認しましょう。
ls -l testfile.txt restrictedfile.txt次のような出力が表示されるはずです。
-rw-rw-r-- 1 labex labex 37 Sep 28 10:30 restrictedfile.txt
-rw-rw-r-- 1 labex labex 38 Sep 28 10:30 testfile.txtデフォルトでは、両方のファイルは所有者とグループに対して読み取りおよび書き込み権限を持ち、他のユーザーに対しては読み取り専用権限を持ちます。次のステップで、これらのパーミッションの変更を試します。
SFTP パーミッションの問題を調査する前に、Linux のファイルパーミッションシステムと、それが SFTP 操作にどのように影響するかを理解しましょう。
Linux では、すべてのファイルとディレクトリには 3 種類のパーミッションがあります。
これらのパーミッションは、3 つのユーザーカテゴリに割り当てられます。
テストファイルの現在のパーミッションを確認しましょう。
ls -l ~/project/testfile.txt ~/project/restrictedfile.txt次のような出力が表示されます。
-rw-rw-r-- 1 labex labex 38 Sep 28 10:30 /home/labex/project/testfile.txt
-rw-rw-r-- 1 labex labex 37 Sep 28 10:30 /home/labex/project/restrictedfile.txtパーミッション文字列 -rw-rw-r-- は次のように分解できます。
- は通常のファイルを示します (ディレクトリの場合は d になります)rw- は所有者のパーミッションを示します (読み取り、書き込み、実行なし)rw- はグループのパーミッションを示します (読み取り、書き込み、実行なし)r-- はその他のパーミッションを示します (読み取りのみ)SFTP でパーミッション拒否エラーが発生する可能性のあるシナリオを作成するために、ファイルのパーミッションを変更しましょう。
## testfile.txt を誰でも読み取り可能にし、所有者のみが書き込み可能にする
chmod 644 ~/project/testfile.txt
## restrictedfile.txt を所有者のみがアクセスできるようにする
chmod 600 ~/project/restrictedfile.txt次に、変更を確認しましょう。
ls -l ~/project/testfile.txt ~/project/restrictedfile.txt更新されたパーミッションが表示されるはずです。
-rw-r--r-- 1 labex labex 38 Sep 28 10:30 /home/labex/project/testfile.txt
-rw------- 1 labex labex 37 Sep 28 10:30 /home/labex/project/restrictedfile.txtSFTP テスト専用のディレクトリを作成しましょう。
mkdir -p ~/project/sftp_test
echo "This file is in the SFTP test directory" > ~/project/sftp_test/test_file.txt
chmod 755 ~/project/sftp_test次に、制限付きパーミッションを持つディレクトリを作成しましょう。
mkdir -p ~/project/restricted_sftp
echo "This file is in the restricted directory" > ~/project/restricted_sftp/restricted_file.txt
chmod 700 ~/project/restricted_sftpディレクトリのパーミッションを確認しましょう。
ls -ld ~/project/sftp_test ~/project/restricted_sftp次のように表示されるはずです。
drwxr-xr-x 2 labex labex 4096 Sep 28 10:35 /home/labex/project/sftp_test
drwx------ 2 labex labex 4096 Sep 28 10:35 /home/labex/project/restricted_sftpsftp_test ディレクトリには誰でもアクセスできますが、restricted_sftp ディレクトリには所有者 (labex ユーザー) のみがアクセスできます。
このステップでは、SFTP サーバーに接続し、パーミッション拒否エラーを直接体験します。これにより、パーミッション設定が SFTP 操作にどのように影響するかを理解できます。
ローカル環境で作業しているため、localhost アドレスを使用して SFTP サーバーに接続できます。先ほど作成した sftpuser を使用して接続しましょう。
sftp sftpuser@localhostパスワードの入力を求められたら、sftpuser アカウントに設定したパスワード (例:password123) を入力します。接続が成功すると、次のようなプロンプトが表示されます。
Connected to localhost.
sftp>接続に問題が発生した場合は、SSH サービスがコンテナ内で正しく実行されていないことが原因である可能性があります。exit で終了し、理論的な例を使用して次のステップに進むことができます。
いくつかの基本的な SFTP コマンドを見てみましょう。
sftp> pwd
Remote working directory: /home/sftpusersftp> lssftp> cd /tmp
sftp> pwd
Remote working directory: /tmpsftp> cd
sftp> pwd
Remote working directory: /home/sftpuser次に、SFTP セッションからテストファイルにアクセスしてみましょう。
sftp> get /home/labex/project/testfile.txt
Fetching /home/labex/project/testfile.txt to testfile.txt
Permission denied「Permission denied (パーミッション拒否)」エラーが表示されることに気付くでしょう。これは、sftpuser に labex ユーザーのホームディレクトリ内のファイルにアクセスする権限がないためです。
続行するために、SFTP セッションを終了しましょう。
sftp> exitSFTP で「Permission denied (パーミッション拒否)」エラーが発生する一般的な理由はいくつかあります。
SFTP ユーザーがアクセスできるように、テストファイルの 1 つを作成しましょう。
## 他のユーザーがアクセスできるディレクトリを作成する
mkdir -p /tmp/shared
echo "This is a shared file for SFTP testing" > /tmp/shared/shared_file.txt
chmod 777 /tmp/shared
chmod 666 /tmp/shared/shared_file.txt次に、SFTP に再接続して、このファイルへのアクセスを試みます。
sftp sftpuser@localhost接続後、次を試してください。
sftp> get /tmp/shared/shared_file.txt
Fetching /tmp/shared/shared_file.txt to shared_file.txt
/tmp/shared/shared_file.txt 100% 36 1.0KB/s 00:00ディレクトリとファイルのどちらにもすべてのユーザーに読み取り/書き込み権限を付与したため、これは機能するはずです。
SFTP セッションをもう一度終了します。
sftp> exitパーミッションエラーに関する詳細情報を取得するには、デバッグモードで SFTP を使用できます。
sftp -v sftpuser@localhost詳細な出力には、接続と発生したエラーに関する詳細情報が表示されます。
debug1: Sending subsystem: sftp
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 2412, received 2876 bytes, in 0.1 seconds
Bytes per second: sent 30074.7, received 35857.2
debug1: Exit status 0パーミッションが SFTP アクセスにどのように影響するかを理解したので、一般的なパーミッション拒否エラーを解決する方法を学びましょう。
パーミッションの問題に対する最も直接的な解決策は、ファイルとディレクトリのパーミッションを調整することです。新しいテストケースを作成しましょう。
## 制限付きパーミッションを持つ新しいテストファイルを作成する
echo "This file has restricted permissions" > ~/project/restricted_access.txt
chmod 600 ~/project/restricted_access.txt現在のパーミッションを確認します。
ls -l ~/project/restricted_access.txt出力:
-rw------- 1 labex labex 35 Sep 28 11:05 /home/labex/project/restricted_access.txt次に、このファイルをパーミッションを変更して他のユーザーがアクセスできるようにしましょう。
chmod 644 ~/project/restricted_access.txt
ls -l ~/project/restricted_access.txt出力:
-rw-r--r-- 1 labex labex 35 Sep 28 11:05 /home/labex/project/restricted_access.txtこれらのパーミッション (644) では、ファイルの所有者 (labex) はファイルを読み書きでき、グループメンバーとその他は読み取りのみできます。
もう 1 つの解決策は、ファイルの所有権を SFTP ユーザーに合わせることです。別のテストファイルを作成しましょう。
echo "This file will be owned by sftpuser" > ~/project/ownership_test.txt次に、所有権を SFTP ユーザーに変更しましょう。
sudo chown sftpuser:sftpuser ~/project/ownership_test.txt
ls -l ~/project/ownership_test.txt出力:
-rw-rw-r-- 1 sftpuser sftpuser 36 Sep 28 11:10 /home/labex/project/ownership_test.txtこれで、ファイルは sftpuser が所有し、sftpuser はそれを読み書きできます。
SFTP ファイル共有の一般的な解決策は、複数のユーザーがアクセスできる適切なパーミッションを持つディレクトリを作成することです。
## 適切なパーミッションを持つ新しい共有ディレクトリを作成する
mkdir -p /tmp/sftp_shared
sudo chown labex:labex /tmp/sftp_shared
chmod 755 /tmp/sftp_shared
## すべてのユーザーが書き込み可能なアップロード用のサブディレクトリを作成する
mkdir -p /tmp/sftp_shared/uploads
chmod 777 /tmp/sftp_shared/uploads
## 共有ディレクトリにサンプルファイルを作成する
echo "This file is in the shared SFTP directory" > /tmp/sftp_shared/sample.txt
chmod 644 /tmp/sftp_shared/sample.txt設定を確認しましょう。
ls -la /tmp/sftp_shared/出力:
total 12
drwxr-xr-x 3 labex labex 4096 Sep 28 11:15 .
drwxrwxrwt 4 root root 4096 Sep 28 11:15 ..
-rw-r--r-- 1 labex labex 39 Sep 28 11:15 sample.txt
drwxrwxrwx 2 labex labex 4096 Sep 28 11:15 uploadsこの設定では、次のようになります。
この構成により、SFTP ユーザーは次のことができます。
アクセス制御リスト (ACL) は、より詳細なパーミッション管理を提供します。必要なパッケージをインストールして、ACL を使用しましょう。
sudo apt install -y acl次に、ファイルを作成し、ACL を使用して特定のパーミッションを設定しましょう。
echo "This file uses ACLs for permissions" > ~/project/acl_test.txt
## 基本的なパーミッションを設定する
chmod 640 ~/project/acl_test.txt
## sftpuser の ACL パーミッションを追加する
sudo setfacl -m u:sftpuser:r ~/project/acl_test.txt
## ACL 設定を表示する
getfacl ~/project/acl_test.txt出力:
## file: /home/labex/project/acl_test.txt
## owner: labex
## group: labex
user::rw-
user:sftpuser:r--
group::r--
mask::r--
other::---この ACL 構成により、次のことが可能になります。
この最終ステップでは、SFTP パーミッションを管理し、パーミッションの問題を効果的にトラブルシューティングするためのベストプラクティスについて説明します。
SFTP ユーザー専用のグループを作成することをお勧めします。
sudo groupadd sftp_users
sudo usermod -a -G sftp_users sftpuserユーザーがグループに追加されたことを確認します。
groups sftpuser出力:
sftpuser : sftpuser sftp_users次に、sftp_users グループによって管理されるディレクトリを作成しましょう。
## SFTP グループ用の新しいディレクトリを作成する
sudo mkdir -p /tmp/sftp_group_shared
sudo chown labex:sftp_users /tmp/sftp_group_shared
sudo chmod 770 /tmp/sftp_group_shared
## SGID ビットを設定して、新しいファイルがグループを継承するようにする
sudo chmod g+s /tmp/sftp_group_shared
## このディレクトリにテストファイルを作成する
echo "This file is in the SFTP group directory" > /tmp/sftp_group_shared/group_file.txtパーミッションを確認しましょう。
ls -la /tmp/sftp_group_shared/出力:
total 12
drwxrws--- 2 labex sftp_users 4096 Sep 28 11:25 .
drwxrwxrwt 5 root root 4096 Sep 28 11:25 ..
-rw-rw-r-- 1 labex sftp_users 42 Sep 28 11:25 group_file.txtグループパーミッションの s は SGID ビットが設定されていることを示しており、このディレクトリに作成された新しいファイルは sftp_users グループを継承することを意味します。
SFTP パーミッションの問題をトラブルシューティングする場合、これらのコマンドが特に役立ちます。
ls -la /path/to/filegroups usernameid## 本番システムでは、システムログを確認します
## 実験環境では、ログの表示をシミュレートできます
grep "sshd" /var/log/auth.log | tailsudo -u sftpuser cat /path/to/fileSFTP でパーミッション拒否エラーが発生した場合は、この意思決定ツリーに従ってください。
SFTP ユーザーは親ディレクトリにアクセスできますか?
sudo -u sftpuser ls -la /path/to/directory/chmod o+x /path/to/directory/SFTP ユーザーはファイルを読み取ることができますか?
sudo -u sftpuser cat /path/to/filechmod o+r /path/to/file または setfacl -m u:sftpuser:r /path/to/fileSFTP ユーザーはファイルまたはディレクトリに書き込むことができますか?
sudo -u sftpuser touch /path/to/directory/test_filechmod o+w /path/to/directory/ または setfacl -m u:sftpuser:w /path/to/directory/SFTP ユーザーが特定のファイルとディレクトリにアクセスできるかどうかを確認する簡単なテストスクリプトを作成しましょう。
cat > ~/project/check_sftp_permissions.sh << 'EOF'
#!/bin/bash
USER="sftpuser"
echo "Testing SFTP permissions for user: $USER"
echo "-------------------------------------------"
## Test directories
for DIR in /tmp/shared /tmp/sftp_shared /tmp/sftp_group_shared /home/labex/project; do
echo -n "Can $USER access $DIR? "
if sudo -u $USER ls -la $DIR &>/dev/null; then
echo "YES"
else
echo "NO"
fi
done
## Test files
for FILE in /tmp/shared/shared_file.txt /tmp/sftp_shared/sample.txt /home/labex/project/testfile.txt; do
echo -n "Can $USER read $FILE? "
if sudo -u $USER cat $FILE &>/dev/null; then
echo "YES"
else
echo "NO"
fi
done
echo "-------------------------------------------"
echo "Testing complete!"
EOF
chmod +x ~/project/check_sftp_permissions.sh次に、テストスクリプトを実行します。
sudo ~/project/check_sftp_permissions.shSFTP ユーザーがアクセスできるディレクトリとファイルを示す出力が表示されます。これにより、パーミッションの問題をすばやく特定できます。
find などのツールを使用して、不適切なパーミッションを持つファイルを特定しますこのチュートリアルでは、SFTP サーバーの設定、適切なパーミッションを持つユーザーの作成、および一般的なパーミッション拒否エラーのトラブルシューティングについて学びました。以下の実践的な経験を積みました。
これらのスキルは、パーミッション関連の問題を最小限に抑えながら、安全な環境でファイル転送を効果的に管理するのに役立ちます。セキュリティ要件とユーザーアクセスニーズのバランスを取りながら、安全でありながら機能的な SFTP サーバーを維持するには、適切なパーミッション管理が不可欠であることを忘れないでください。
