SSHFS - Storage
🔐 SSHFS-Mount Anleitung für Linux + Nextcloud
Beispiele nutzen Fantasie-Namen und RFC-5737-Dummy-IP (192.0.2.0/24):
Client: orion-client • Server: atlas-storage • Server-IP: 192.0.2.55
Zielpfad auf dem Server: /srv/projects/ai/labs/local-sdxl-cpu
0. Voraussetzungen (Server)
# Gruppe für SSHFS-Nutzer anlegen (falls noch nicht vorhanden)
groupadd sshfsusers
# Verzeichnis für hinterlegte Public Keys anlegen und absichern
mkdir -p /etc/sshfs_keys
chown root:root /etc/sshfs_keys
chmod 0755 /etc/sshfs_keys
1. SSH-Schlüssel erstellen (Client)
# moderner Schlüssel (ed25519)
ssh-keygen -t ed25519 -a 1002048 -o -Z aes256-ctr -f ~/.ssh/orion_to_atlas -C "sshfs orion-client → atlas-storage"
2. Öffentlichen Schlüssel auf den Server übertragen
scp ~/.ssh/orion_to_atlas.pub root@192.0.2.55:/etc/sshfs_keys/sshfs_orion.pub
# auf dem Server:
chown root:root /etc/sshfs_keys/sshfs_orion.pub
chmod 0644 /etc/sshfs_keys/sshfs_orion.pub
3. SSHFS-Benutzer auf dem Server anlegen
# Benutzer ohne Home (kein Risiko durch dotfiles), in Gruppe sshfsusers
useradd -M -g sshfsusers -s /usr/sbin/nologin sshfs_orion
# Ziel-Verzeichnisstruktur (nur Beispielpfad)
mkdir -p /srv/projects/ai/labs/local-sdxl-cpu
# Eigentümer/Gruppe setzen, setgid auf dem Zielordner
chown -R root:sshfsusers /srv/projects
chmod 2750 /srv/projects/ai/labs/local-sdxl-cpu
Wichtig (Traversal nur für die Gruppe): Damit der Benutzer sshfs_orion den Zielordner erreicht, müssen alle Elternordner das x-Recht für die Gruppe haben, ohne Leserechte (kein Listing). Das hält den Pfad geschlossen und erlaubt nur Durchgang.
# Elternordner: Gruppe setzen + nur Durchgang (710)
chgrp sshfsusers /srv
chmod 710 /srv
chgrp sshfsusers /srv/projects
chmod 710 /srv/projects
chgrp sshfsusers /srv/projects/ai
chmod 710 /srv/projects/ai
chgrp sshfsusers /srv/projects/ai/labs
chmod 710 /srv/projects/ai/labs
# Zielordner: nur Besitzer+Gruppe, setgid damit neue Dateien in der Gruppe bleiben
chgrp sshfsusers /srv/projects/ai/labs/local-sdxl-cpu
chmod 2770 /srv/projects/ai/labs/local-sdxl-cpu
4. SSH-Konfiguration auf dem Server
Datei /etc/ssh/sshd_config bearbeiten und am Ende hinzufügen:
Match User sshfs_orion
AuthorizedKeysFile /etc/sshfs_keys/%u.pub
PubkeyAuthentication yes
KbdInteractiveAuthentication no
PasswordAuthentication no
AllowTcpForwarding no
X11Forwarding no
PermitTTY no
PermitTunnel no
ForceCommand internal-sftp
# Syntax prüfen und Dienst neu laden
sshd -t
systemctl reload ssh
5. FUSE erlauben (Client & ggf. Server)
Datei /etc/fuse.conf öffnen und sicherstellen, dass die Zeile ohne Kommentar vorhanden ist:
user_allow_other
6. Bequemer Host-Alias auf dem Client (empfohlen)
Datei ~/.ssh/config (Client) ergänzen:
Host atlas
HostName 192.0.2.55
User sshfs_orion
IdentityFile ~/.ssh/orion_to_atlas
IdentitiesOnly yes
ServerAliveInterval 15
ServerAliveCountMax 3
StrictHostKeyChecking yes
7. SSHFS-Mount auf dem Client
# lokaler Mountpunkt
mkdir -p /mnt/atlas_labs
# Mount (streng: others=0 → umask=007)
sshfs -o IdentityFile=~/.ssh/orion_to_atlas \
-o reconnect \
-o ServerAliveInterval=15 \
-o ServerAliveCountMax=3 \
-o allow_other \
-o default_permissions \
-o uid=1000 \
-o gid=1000 \
-o umask=007 \
-o idmap=user \
atlas:/srv/projects/ai/labs/local-sdxl-cpu /mnt/atlas_labs
Hinweise:
umask=007ergibt effektiv 770/660 auf dem Mount (keine Rechte für others). (umask=002würde 775/664 zulassen.)default_permissionssorgt dafür, dass Kernel-Rechte lokal erzwungen werden.
8. Optional: Dauerbetrieb per /etc/fstab (Client)
sshfs#sshfs_orion@192.0.2.55:/srv/projects/ai/labs/local-sdxl-cpu /mnt/atlas_labs fuse.sshfs \
IdentityFile=/root/.ssh/orion_to_atlas,allow_other,default_permissions,uid=1000,gid=1000,umask=007, \
reconnect,ServerAliveInterval=15,ServerAliveCountMax=3,idmap=user,_netdev 0 0
🎁 Bonus: Nutzung mit Nextcloud
Mount für www-data (uid/gid 33):
mkdir -p /mnt/nextcloud_data
sshfs -o IdentityFile=/root/.ssh/nextcloud_key \
-o reconnect -o ServerAliveInterval=15 -o ServerAliveCountMax=3 \
-o allow_other -o default_permissions \
-o uid=33 -o gid=33 -o umask=007 -o idmap=user \
nextcloud_svc@192.0.2.55:/srv/nextcloud/export /mnt/nextcloud_data
- In Nextcloud: Admin → Externer Speicher → Pfad
/mnt/nextcloud_dataeinbinden.
9. Troubleshooting (kurz & sicher)
- Passwort-Prompt statt Key: Rechte prüfen:
/etc/sshfs_keys= 0755, Dateien = 0644, Owner = root:root. Dannsshd -T -C user=sshfs_orionauf dem Server und aufauthorizedkeysfileachten. - Zugriff verweigert trotz korrektem Key: Elternordner-Traversal mit
namei -l /srv/projects/ai/labs/local-sdxl-cpuprüfen. Jeder Ordner brauchtg+xbei Gruppesshfsusers. - Host verwechselt: Host-Alias in
~/.ssh/confignutzen, nicht rohe IPs tippen.