1. Help Center
  2. Seguridad
  3. General

Configurar SFTP sobre SSH

Miguel Coa M. -

Configurar el servicio SSH para permitir conexiones SFTP

1. Editamos el archivo /etc/ssh/sshd_config, donde reemplazamos la línea 

#Subsystem       sftp    /usr/libexec/openssh/sftp-server

Por:

Subsystem       sftp    internal-sftp

En el mismo archivo, agregamos al final:  

Match Group sftpusers
        ChrootDirectory /sftp/%u
        ForceCommand internal-sftp

Creando directorios para servicio y homes de usuarios

1. Crear el directorio que será el chroot de los usuarios.

mkdir /sftp

2. Crear el directorio que será el home del usuario que utilizará el servicio.

mkdir /sftp/mcoa

3. Bajo el directorio que será nuestro home, creamos un subdirectorio que será donde caerá el usuario enjaulado y donde se alojarán los archivos.

mkdir /sftp/mcoa/incoming/

Configurando los usuarios

1. Lo primero es crear el grupo al cual tienen que pertenecer todos los usuarios:

groupadd sftpusers

2. Al momento de crear los usuarios, ejecutar el siguiente comando:

useradd -g sftpusers -d /incoming -s /sbin/nologin mcoa

Si por el contrario necesitamos modificar un usuario existente:

usermod -g sftpusers -d /incoming -s /sbin/nologin mcoa

2. Y configuramos el password:

passwd mcoa

Configurando permisos

3. Configuramos los permisos del directorio donde se conectará el usuario y alojará los archivos.

chown mcoa:sftpusers /sftp/mcoa/incoming

4. Al momento de validar los permisos, estor tienen que quedar del siguiente modo

[root@node1 ~]# ls -ld /sftp/mcoa/incoming/
drwxr-xr-x 2 mcoa sftpusers 4096 Dec 10 14:39 /sftp/mcoa/incoming/
[root@node1 ~]# ls -ld /sftp/mcoa/
drwxr-xr-x 3 root root 4096 Dec 10 14:39 /sftp/mcoa/
[root@node1 ~]# ls -ld /sftp
drwxr-xr-x 4 root root 4096 Dec 10 14:38 /sftp

5. Finalmente se reinicia el servicio FTP

service sshd restart

Pruebas de conexión

Miguel:~$ sftp mcoa@192.168.0.102
mcoa@192.168.0.102's password: 
Connected to 192.168.0.102.
sftp> pwd
Remote working directory: /incoming
sftp> cd /etc
Couldn't canonicalise: No such file or directory
sftp>

La idea es que como el usuario esta sobre chroot no salga del directorio que le hemos creado (como figura arriba) de lo contrario va a poder ingresar al raiz del S.O. 

 

Ref: http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/

0 Comentarios

Inicie sesión para dejar un comentario.
Tecnología de Zendesk