Facebook Twitter Google Digg Reddit Email Imprimir
Martes 16 de octubre de 2018
Santoral:
Eduvigis
Otros:
Día Mundial de la Alimentación
Día del Profesor
Semana:
42
Día año:
289/365 (79%)
U.F.:
27389.73
IPC:
0,3
Dolar:
683,7
Euro:
791,5
Bitcoin:
U$ 6447.3769322344
mindicador.cl
Time4VPS.EU - VPS hosting in Europe

Restringir acceso solo a SFTP

Transferencia de archivo sin acceso a un shell

Introducción

Contamos con un gran problema a la hora de crear un usuario de acceso en nuestro servidor, con el objeto de transferir archivos, y que de forma natural cuenta con un acceso shell al mismo, pudiendo el usuario ejecutar comando y hacer uso no autorizado de nuestro hardware.

Lo que se busca es poder limitar el acceso exclusivamente a la transferencia de archivos, para lo cual ssh con su sub-sistema (subsystem) sftp nos puede resolver el problema.

Por simplicidad de la configuración no consideramos "enjaular" (chroot) al usuario en el directorio de trabajo, por lo que se debe tener en cuenta que se le permite al usuario descargar o subir todos los archivos del sistema según los permisos que tengan.

Configuración

Consideraremos un caso más general, donde podremos tener un grupo de usuarios que nos interesa dar solo acceso sftp. No está de más aclarar que los pasos indicados requieren permiso "root" de administrador del sistema y se basan en CentOS 6, aunque es válido para la gran mayoría de las distribuciones Linux probablemente con algunos ajustes menores (rutas de archivos por ejemplo)

Crear grupo "sftpuser"

groupadd sftpuser

Crear (o modificar) usuario asignando grupo sftpuser

En este caso se considerará un usuario para actilización de páginas web, por lo que se dejará como grupo principál "apache", y se agregará el grupo sftpuser, el usuario a crear será webusr1:

useradd -c "Carga de contenidos WWW" -g apache -G sftpuser -M -d /var/www/html webusr1

Limitar el acceso en /etc/ssh/sshd_config

Debemos editar el archivo /etc/ssh/sshd_config y agregar (generalmente al final) lo siguiente:

...
Match Group sftpuser
        AllowTCPForwarding      no
        X11Forwarding           no
        ForceCommand            internal-sftp

Con ello se fuerza la ejecución de internal-sftp que corresponde al interprete interno de sshd para el protocolo sftp, evitando la ejecución de una shell o cualquier comando dado como parámetro. Igualmente "AllowTCPForwarding no" evita la definición de un tunel que pudiere saltar nuestras reglas de firewall.

Reiniciar sshd

Como último paso nos queda reiniciar sshd con objeto que tome los cambios realizados:

service sshd restart

Escrito por: Luis Hernán de la Barra, 16/09/2016

Generado por Sistema y almacenado en cache

Wyzer
Luis Hernán de la Barra
E-Mail:ldelabar@wyzer.cl
Web:www.wyzer.cl