Instalación y Configuración de Servicio SFTP “Enjaulado”

El presente instructivo tiene como finalidad de dar a conocer el procedimiento para la configuración de servicio SFTP “Enjaulado”

Requisitos:

  • Se debe contar con un equipo para servidor
  • Se de contar con servicio sshd instalado y configurado
  • Se debe contar con suficiente privilegios para la configuración de aplicativo

Plataforma:

  • La presente instalación es para equipos de arquitectura 64 bits.
  • El sistema operativo empleado es ‘GNU/Linux’ Debian versión 7.0, actualmente estable.
  • La presente configuración no es limitativo para la distribuicón GNU/Linux a utilizar.

Configuraciones Relacionados:

Aplicaciones:

  • openssh

Configuración
Del Lado del Servidor

1. Crear grupo al cual se adicionaran los usuario a enjaular, en éste caso “Jaula”:

 operador@servidor:/$ sudo groupadd jaula 

2. Crear directorio donde tendrán acceso los usuario del grupo a enjaular, en éste caso “Jaula”

operador@servidor:/$ sudo mkdir -p /srv/jaula 

Nota: En caso de la distribución Debian, el propietario de la carpeta “/srv/jaula” debe ser “root” con permiso 755

3. Crear usuario “operador” que ingresará vía sftp y asignarlo al grupo jaula:

operador@servidor:/$ sudo adduser --home /srv/jaula --no-create-home --shell /bin/false --ingroup jaula operador 

donde:

  • –home -> home del usuario “operador”, en éste caso es “/srv/jaula”
  • –no-create-home -> no crear home de usuario, ya que se asignará la ruta “/srv/jaula”
  • –shell -> shell usuario. Por Seguridad se desactiva (/bin/false) el shell
  • –ingroup -> grupo adicional. Se asigna como miembro del grupo “jaula”

Nota: En caso de que requiera trabajar con un usuario existen en el sistema, deberá agregarlo al grupo jaula, de la siguiente forma:

operador@servidor:/# usermod -a -G jaula OtroUsuario

4. Crear directorio “datos” dentro de la “jaula”

operador@servidor:/$ sudo mkdir -p /srv/jaula/datos 

5. Asignar la carpeta creada al usario “operador”. Sólo allí podrá guardar información el usuario “operador”

operador@servidor:/$ sudo chown operador:jaula /srv/jaula/datos 

Configuración Servicio ssh

1. Editar el archivo de configuración del servicio ssh

 operador@servidor:/# nano /etc/ssh/sshd_config 

Efectuar los siguientes cambios:

#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp

# Set this to 'yes' to enable PAM authentication, account proces$
# and session processing. If this is enabled, PAM authentication$
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may byp$
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run wit$
# PAM authentication, then enable this but set PasswordAuthentic$
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
UseDNS no

#Esta opción especifa a que grupo de usuarios se les aplicará las directivas
Match group jaula
    ChrootDirectory %h #Restringe el acceso SFTP al home del usuario
    AllowTcpForwarding no
    X11Forwarding no
    ForceCommand internal-sftp  #Impide el acceso por SSH al usuario configurado

Nota: En algunos casos ssh genera el siguiente error: “/etc/ssh/sshd_config line 94: Directive ‘UsePAM’ is not allowed within a Match block”, es por ello que la configuración del “Match group jaula” se incluye al final del archivo

3. Reiniciar servicio ssh

operador@servidor:/# service sshd restart 

4. Comprobar el inicio del servicio ssh:

operador@servidor:/# netstat -putan | grep 22

Salida del comando:

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1135/sshd
tcp6       0      0 :::22                   :::*                    LISTEN      1135/sshd

5. Ver logs del sistema para verificar el inicio de ssh

operador@servidor:/# journalctl -xn

6. Verificar las bitacoras y monitorear las conexión ssh:

operador@servidor:/# tail -f /var/log/auth.log

Del Lado del Cliente
7. Establecer conexión:

operador@estacion:/$ sftp usuario@XXX.XXX.XXX.XXX
usuario@XXX.XXX.XXX.XXX's password: 
Connected to XXX.XXX.XXX.XXX.

8. listar directorios:

  
sftp> ls -la
drwxr-xr-x    3 0        0            4096 Sep  8 15:45 .
drwxr-xr-x    3 0        0            4096 Sep  8 15:45 ..
drwxr-xr-x    2 1001     1001         4096 Sep  8 15:45 datos

Enlaces:
Configurar Sftp en Red Hat

Anuncios

Un comentario en “Instalación y Configuración de Servicio SFTP “Enjaulado”

  1. Bien explicado, me gusto este post. Yo solo he probado Vsftpd sobre debian, enjaulado tambien y veo que es muy parecida la metodologia de ins. conf.
    1+

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s