Поиск по сайту:
Свобода радует не столь сильно как угнетает рабство (Геродиан).

Как настроить SFTP Chroot Jail

09.04.2019
Как установить SFTP chroot Jail

Если вы системный администратор, управляющий сервером Linux, скорее всего, вам может потребоваться предоставить SFTP-доступ некоторым пользователям для загрузки файлов в их домашние каталоги. По умолчанию пользователи, которые могут войти в систему через SSH, SFTP и SCP, могут просматривать всю файловую систему, включая каталоги других пользователей. Это может не быть проблемой, если этим пользователям доверяют, но если вы не хотите, чтобы вошедшие в систему пользователи перемещались по системе, вам нужно ограничить доступ пользователей к их домашнему каталогу. Это добавляет дополнительный уровень безопасности, особенно в системах с несколькими пользователями.

В этой статье мы расскажем, как настроить среду SFTP Chroot Jail, которая будет ограничивать пользователей их домашними каталогами. Пользователи будут иметь доступ только по SFTP, доступ по SSH будет отключен. Эти инструкции должны работать для любого современного дистрибутива Linux, включая Ubuntu, CentOS, Debian и Fedora.

 

Вместо того, чтобы настраивать сервер OpenSSH для каждого пользователя в отдельности, мы создадим новую группу и добавим всех наших пользователей в эту группу.

Выполните следующую команду, чтобы создать группу пользователей sftponly:

sudo groupadd sftponly

Вы можете назвать группу, как хотите.

 

Следующим шагом является добавление пользователей, которых вы хотите ограничить, в группу sftponly.

Если это новая настройка, а пользователь не существует, вы можете создать новую учетную запись, набрав:

sudo useradd -g sftponly -s /bin/false -m -d /home/username username
  • Опция -g sftponly добавит пользователя к sftponly группе.
  • Опция -s /bin/false устанавливает для входа пользователя оболочки. При настройке логина оболочки /bin/false пользователь не сможет войти на сервер через SSH.
  • Опция -m -d /home/username рассказывает useradd для создания каталога домашнего пользователя.

Установите надежный пароль для вновь созданного пользователя:

sudo passwd username

 

В противном случае, если пользователь, которого вы хотите ограничить, уже существует, добавьте его в группу sftponly и измените оболочку пользователя:

sudo usermod -G sftponly -s /bin/false username2

 

Домашний каталог пользователя должен принадлежать пользователю root и иметь права доступа 755:

sudo chown root: /home/username
sudo chmod 755 /home/username

 

Поскольку домашние каталоги пользователей принадлежат пользователю root, эти пользователи не смогут создавать файлы и каталоги в своих домашних каталогах. Если в доме пользователя нет каталогов, вам необходимо создать новые каталоги, к которым у пользователя будет полный доступ. Например, вы можете создать следующие каталоги:

sudo mkdir /home/username/{public_html,uploads}
sudo chmod 755 /home/username/{public_html,uploads}
sudo chown username:sftponly /home/username/{public_html,uploads}

 

Если веб-приложение использует каталог пользователя public_html в качестве корневого документа, эти изменения могут привести к проблемам с разрешениями. Например, если вы работаете с WordPress, вам нужно будет создать пул PHP, который будет работать как пользователь, владеющий файлами, и добавить веб-группу sftponly.

 

SFTP является подсистемой SSH и поддерживает все механизмы аутентификации SSH.

Откройте файл конфигурации SSH в /etc/ssh/sshd_config в текстовом редакторе:

sudo nano /etc/ssh/sshd_config

 

Поиск строки начинается с Subsystem sftp, как правило, в конце файла. Если строка начинается с хеша, # удалите хеш # и измените его следующим образом:

/etc/ssh/sshd_config
Subsystem sftp internal-sftp

 

Ближе к концу файла следующий блок настроек:

/etc/ssh/sshd_config
Match Group sftponly
  ChrootDirectory %h
  ForceCommand internal-sftp
  AllowTcpForwarding no
  X11Forwarding no

 

Директива ChrootDirectory указывает путь к каталогу корневым. %h означает домашний каталог пользователя. Этот каталог должен принадлежать пользователю root и недоступен для записи любому другому пользователю или группе.

Будьте особенно осторожны при изменении файла конфигурации SSH. Неправильная конфигурация может привести к сбою службы SSH.

Когда вы закончите, сохраните файл и перезапустите службу SSH, чтобы применить изменения:

sudo systemctl restart ssh

 

В CentOS и Fedora служба ssh называется sshd:

sudo systemctl restart sshd

Теперь, когда вы настроили SFTP chroot, вы можете попытаться войти на удаленный компьютер через SFTP, используя учетные данные пользователя chroot. В большинстве случаев вы будете использовать настольный SFTP-клиент, такой как FileZilla, но в этом примере мы будем использовать команду sftp.

Откройте соединение SFTP с помощью команды sftp, за которой следуют имя пользователя удаленного сервера и IP-адрес сервера или имя домена:

sftp username@192.168.109.12

 

Вам будет предложено ввести пароль пользователя. После подключения удаленный сервер отобразит подтверждающее сообщение и приглашение sftp>:

username@192.168.109.12's password:
sftp>

 

Запустите команду pwd, как показано ниже, и, если все работает, как ожидается, команда должна вернуться /.

sftp> pwd
Remote working directory: /

 

Вы также можете перечислить удаленные файлы и каталоги, используя команду ls, и вы должны увидеть каталоги, которые мы создали ранее:

sftp> ls
public_html  uploads

Из этой статьи вы узнали, как настроить среду SFTP Chroot Jail на сервере Linux и ограничить доступ пользователей к их домашнему каталогу.

По умолчанию SSH прослушивает порт 22. Изменение порта SSH по умолчанию добавляет дополнительный уровень безопасности вашему серверу, снижая риск автоматических атак. Вы также можете настроить аутентификацию на основе ключей SSH и подключиться к серверу без ввода пароля.

Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (2 оценок, среднее: 5,00 из 5)
Загрузка...
Поделиться в соц. сетях:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

**ссылки nofollow

1 Комментарий
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Сергей

Простой, рабочий вариант. Но к сожалению не без недостатков.
То, что пользователи не могут создавать каталоги и файлы в CHROOT директории — очень неудобно и в ряде случаев не является решением задачи.

Читайте также

Спасибо!

Теперь редакторы в курсе.