Instalar y configurar un servidor SFTP parte (II)

miércoles, 30 de noviembre de 2011

Ya realizados los pasos explicados en la primera parte de este tema, podemos continuar con lo desarrollado en este post.

Lo más seguro es que al montar el servidor SFTP no nos interese que los usuarios que accedan a este servicio puedan leer y descargarse todos los archivos de nuestro sistema. Para evitar esto, realizaremos un enjaulado SFTP, con lo que limitaremos la navegación del cliente a unos determinados ficheros.

Para restringir esto debemos usar las directivas ForceCommand y ChrootDirectory en el archivo de configuración sshd_config, que se encuentra en /etc/ssh/sshd_config.

Primero hay que cambiar, la línea en /etc/ssh/sshd_config,

Subsystem sftp /usr/lib/openssh/sftp-server escribiendo en su lugar:


Subsystem sftp internal-sftp


Puede restringirse el servicio a usuarios o a grupos de usuarios, de modo que si se requiere aplicar
el enjaulado al usuario1 usamos la directiva Match como sigue:


UsePAM yes
Match user usuario1
ChrootDirectory /home/usuariossftp/usuario1
ForceCommand internal-sftp

Esto se coloca después de la línea Subsystem

El enjaulado del grupo usuariossftp se hace de manera similar (de esta forma aparecerán en el directorio raíz todos los usuarios que hayamos creado):


Match group usuariossftp
ChrootDirectory /home/usuariossftp
ForceCommand internal-sftp

Así, todos los usuarios que pertenezcan a este grupo irán a la jaula especificada en ChrootDirectory.

Para que la configuración tome efecto, restablezca ssh con el comando:


sudo /etc/init.d/ssh restart


Para finalizar una advertencia. Si antes en la configuración de ssh as introducido una línea tipo AllowUsers debes ponerla siempre antes de la línea Subsystem. Sino al reiniciar el servicio ssh te dará un error de esa línea.


Post redactador por Eduardo

Artículos relacionados


Comments

No response to “ Instalar y configurar un servidor SFTP parte (II) ”
Post a Comment | Enviar comentarios ( Atom )

Publicar un comentario

Deja tu opinión realizando un comentario interesante. Cualquier intento de Spam no será admitido.