SFTP Server com SSH, Chroot e Rsyslog
Este artigo visa abordar de forma abrangente, a criação de um servidor SFTP, usando o serviço SSH e Chroot. Além disso, mostrarei também como criar os registros em log de cada operação nos diretórios dos usuários através do Rsyslog.
[ Hits: 10.174 ]
Por: Luiz Paulo Cardia em 22/09/2016
Restart do serviços e testes
Passo 6 - Reiniciar os serviços SSH e Rsyslog
Após realizar todo o procedimento acima, devemos reiniciar os serviços de SSH e Rsyslog para ativar o serviço de SFTP e ativar o registro de log:# systemctl restart sshd
# systemctl restart rsyslog
Passo 7 - Testar os acesso SFTP e SSH
Para testar os acessos, podemos usar qualquer programa cliente de SFTP (ex.: WinSCP) ou diretamente no terminal, através da linha de comando:# sftp <loginsftp>@<ipdoservidor>
<loginsftp>@<ipdoservidor>'s password: <senhadologin>
Connected to <ipdoservidor>.
sftp> ls
dev in out
sftp>
Obs. 1: utilize os comandos cd para tentar sair do diretório raiz e touch para testar a criação de arquivos no próprio diretório, ou em outro.
Podemos também testar o acesso via SSH para validarmos se o usuário pode, ou não, fazer logon no sistema:
# ssh <loginsftp>@<ipdoservidor>
<loginsftp>@<ipdoservidor>'s password: <senhadologin>
Could not chdir to home directory /home/<loginsftp>: No such file or directory
This service allows sftp connections only.
Connection to <ipdoservidor> closed.
O exemplo anterior mostra o acesso SSH negado, portanto, o usuário só poderá acessar o servidor via SFTP.
Recomendações
Caso o serviço fique hospedado na nuvem, ou numa DMZ, recomendo criar um usuário simples e remover o acesso SSH do root. Desta forma, teremos um aumento no nível de segurança, uma vez que será preciso fazer o acesso SSH com usuário simples primeiro para depois logar com root usando o "su".Crie um usuário novo:
# adduser <login>
# passwd <login>
Edite o arquivo de configuração SSH:
# vim /etc/ssh/sshd_config
Altere a seguinte linha:
De:
PermitRootLogin yes
Para:
Por precaução, antes de fechar o acesso SSH atual, crie primeiro uma nova conexão em paralelo e teste o acesso com o root e depois com o usuário novo. Em seguida, utilize o comando su para logar como root de dentro do usuário novo.
O correto nessa operação, é o acesso ser negado para o root para conexões SSH e permitido somente para o usuário comum.
Conclusão
Bom, fiz esse procedimento com base num determinado cenário, mas acredito que com as informações e dicas que passei, será possível adaptar para atender um cenário diferente, ou vai até mesmo ajuda-lo a criar um procedimento melhor.Caso haja alguma dúvida ou questionamento, estou a disposição para ajudar - tanto aqui quanto no meu blog.
Obrigado,
Luiz Paulo Cardia
2. Criação dos usuários e diretórios do SFTP
3. Restart do serviços e testes
Utilizando o giFT para baixar e compartilhar arquivos na Internet
Problema do navegador Opera com temas GTK+2 escuros [Resolvido]
Acesso SSH com celular (wapsh)
Zebedee: Criando um túnel seguro entre máquinas
Compilando o Apache 2 com PHP e MySQL
Ótimo artigo. Muito bem explicado e útil.
Boa tarde, fiz o lab e estou com problema no rsyslog.
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/dev/log': Address already in use (Criei o "path" completo manualmente)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa1/dev/log': Permission denied (Criei até /dev)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa2/dev/log': Address already in use
Sep 29 16:15:08 localhost rsyslogd: imuxsock does not run because we could not aquire any socket
Sep 29 16:15:08 localhost rsyslogd-3000: activation of module imuxsock failed
[2] Comentário enviado por pedropaulotg em 29/09/2016 - 15:52h
Boa tarde, fiz o lab e estou com problema no rsyslog.
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/dev/log': Address already in use (Criei o "path" completo manualmente)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa1/dev/log': Permission denied (Criei até /dev)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa2/dev/log': Address already in use
Sep 29 16:15:08 localhost rsyslogd: imuxsock does not run because we could not aquire any socket
Sep 29 16:15:08 localhost rsyslogd-3000: activation of module imuxsock failed
Pedro,
Verifica se as permissões para os diretórios /dev/* estão como root:root.
Vou refazer o procedimento com o que está aqui no Viva o Linux, pois antes de aprovarem o artigo que eu fiz, eles modificaram todo o texto. Talvez tenham perdido alguma informação.
Na dúvida, pode comparar com o que está no meu blog (blog.lzinfo.com.br). Lá tem o texto original.
Patrocínio
Destaques
Artigos
Cirurgia para acelerar o openSUSE em HD externo via USB
Void Server como Domain Control
Modo Simples de Baixar e Usar o bash-completion
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
Dicas
Como impedir exclusão de arquivos por outros usuários no (Linux)
Cirurgia no Linux Mint em HD Externo via USB
Anúncio do meu script de Pós-Instalação do Ubuntu
Tópicos
Formas seguras de instalar Debian Sid (1)
Alguém executou um rm e quase mata a Pixar! (2)
Duas Pasta Pessoal Aparecendo no Ubuntu 24.04.3 LTS (5)
Alguém pode me indicar um designer freelancer? [RESOLVIDO] (4)
Por que passar nas disciplinas da faculdade é ruim e ser reprovado é b... (6)
Top 10 do mês
-
Xerxes
1° lugar - 150.014 pts -
Fábio Berbert de Paula
2° lugar - 69.094 pts -
Mauricio Ferrari
3° lugar - 21.880 pts -
Buckminster
4° lugar - 20.619 pts -
Alberto Federman Neto.
5° lugar - 19.670 pts -
edps
6° lugar - 19.365 pts -
Daniel Lara Souza
7° lugar - 19.187 pts -
Andre (pinduvoz)
8° lugar - 17.619 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 16.326 pts -
Diego Mendes Rodrigues
10° lugar - 14.304 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
