chroot do sftp e acceso sftp sen login co ssh

Imaxe de oscar
Enviado por oscar en 11 Abril, 2008 - 08:02.

Neste pequeno artigo falarei de 2 cousas das que acaba de ver esta semán:

-Acceso mediante sftp sen ter login co ssh ou na máquina real (explicamos máis abaixo coma facelo)

-Nova versión do ssh (a 4.8p1) a cal incorpora unha nova característica que é o ChrootDirectory. Pra ler máis sobre isto podemos mirar o seguinte enlace.

Sobre o de crear acceso mediante sftp sen ter login na máquina explicarei coma se fai. As veces queremos que o usuario poida ter acceso á máquina pra subir, borrar, modificar arquivos, pero non queremos permitirlle que poida navegar polos directorios de toda a máquina. O que se soia facer era en vez de usar ssh, usábase ftp (o cal xa sabemos todos que é moito menos seguro). A solución pra facer isto pasa por crear os usuarios na máquina onde está instalado o servidor e modificalo coma cos seguintes pasos:

Miramos onde está aloxado o demonio do sftp, o cal aparece este no ficheiro do servidor ssh normalmente cara o final.

root@queirolo# cat /etc/ssh/sshd_config

Aí atoparemos unha liña parecida a ista (pode ser diferente):

Subsystem sftp /usr/lib/openssh/sftp-server

Entón ca dirección que nos indique esta liña de onde está o binario do servidor sftp o que faremos será poñela coma shell do usuario do cal non queiramos que poida ter acceso á máquina excepto a través de sftp:

root@queirolo#usermod -s /usr/lib/openssh/sftp-server usuario

E o seguinte que teremos que facer será engadir tamén á liña anterior ó ficheiro das shells

root#echo /usr/lib/openssh/sftp-server >> /etc/shells

Agora probamos a loguearnos por exemplo co ssh:

oscar@queirolo:~$ ssh luser@localhost
luser@localhost's password:
Linux queirolo 2.6.22-14-generic #1 SMP Tue Feb 12 07:42:25 UTC 2008 i686
The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
Last login: Fri Apr 11 08:57:10 2008 from localhost

Vemos que me da o típico mensaxe do servizo, pero nunca dame un terminal

Artigo orixinal lido neste enlace

Espero que os serva de axuda,
Óscar Casal Sánchez

Mail: oscar.casal[at]gmail.com


( categorías: )
Imaxe de Paco

Gracias Oscar

Enviado por Paco en 15 Abril, 2008 - 21:29.

Moi bo oscar, de moita axuda

Mess with the Best, Die like the Rest.