Configurar el servicio SSH para permitir conexiones SFTP
1. Editamos el archivo /etc/ssh/sshd_config, donde reemplazamos la línea
#Subsystem sftp /usr/libexec/openssh/sftp-server
Por:
Subsystem sftp internal-sftp
En el mismo archivo, agregamos al final:
Match Group sftpusers ChrootDirectory /sftp/%u ForceCommand internal-sftp
Creando directorios para servicio y homes de usuarios
1. Crear el directorio que será el chroot de los usuarios.
mkdir /sftp
2. Crear el directorio que será el home del usuario que utilizará el servicio.
mkdir /sftp/mcoa
3. Bajo el directorio que será nuestro home, creamos un subdirectorio que será donde caerá el usuario enjaulado y donde se alojarán los archivos.
mkdir /sftp/mcoa/incoming/
Configurando los usuarios
1. Lo primero es crear el grupo al cual tienen que pertenecer todos los usuarios:
groupadd sftpusers
2. Al momento de crear los usuarios, ejecutar el siguiente comando:
useradd -g sftpusers -d /incoming -s /sbin/nologin mcoa
Si por el contrario necesitamos modificar un usuario existente:
usermod -g sftpusers -d /incoming -s /sbin/nologin mcoa
2. Y configuramos el password:
passwd mcoa
Configurando permisos
3. Configuramos los permisos del directorio donde se conectará el usuario y alojará los archivos.
chown mcoa:sftpusers /sftp/mcoa/incoming
4. Al momento de validar los permisos, estor tienen que quedar del siguiente modo
[root@node1 ~]# ls -ld /sftp/mcoa/incoming/
drwxr-xr-x 2 mcoa sftpusers 4096 Dec 10 14:39 /sftp/mcoa/incoming/
[root@node1 ~]# ls -ld /sftp/mcoa/
drwxr-xr-x 3 root root 4096 Dec 10 14:39 /sftp/mcoa/
[root@node1 ~]# ls -ld /sftp
drwxr-xr-x 4 root root 4096 Dec 10 14:38 /sftp
5. Finalmente se reinicia el servicio FTP
service sshd restart
Pruebas de conexión
Miguel:~$ sftp mcoa@192.168.0.102
mcoa@192.168.0.102's password:
Connected to 192.168.0.102.
sftp> pwd
Remote working directory: /incoming
sftp> cd /etc
Couldn't canonicalise: No such file or directory
sftp>
La idea es que como el usuario esta sobre chroot no salga del directorio que le hemos creado (como figura arriba) de lo contrario va a poder ingresar al raiz del S.O.
Ref: http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/
0 Comentarios