Passo 6 - Reiniciar os serviços SSH e Rsyslog
Após realizar todo o procedimento acima, devemos reiniciar os serviços de SSH e Rsyslog para ativar o serviço de SFTP e ativar o registro de log:
# systemctl restart sshd
# systemctl restart rsyslog
Passo 7 - Testar os acesso SFTP e SSH
Para testar os acessos, podemos usar qualquer programa cliente de SFTP (ex.: WinSCP) ou diretamente no terminal, através da linha de comando:
# sftp <loginsftp>@<ipdoservidor>
<loginsftp>@<ipdoservidor>'s password: <senhadologin>
Connected to <ipdoservidor>.
sftp> ls
dev in out
sftp>
Obs. 1: utilize os comandos
cd para tentar sair do diretório raiz e
touch para testar a criação de arquivos no próprio diretório, ou em outro.
Podemos também testar o acesso via SSH para validarmos se o usuário pode, ou não, fazer logon no sistema:
# ssh <loginsftp>@<ipdoservidor>
<loginsftp>@<ipdoservidor>'s password: <senhadologin>
Could not chdir to home directory /home/<loginsftp>: No such file or directory
This service allows sftp connections only.
Connection to <ipdoservidor> closed.
O exemplo anterior mostra o acesso SSH negado, portanto, o usuário só poderá acessar o servidor via SFTP.
Recomendações
Caso o serviço fique hospedado na nuvem, ou numa DMZ, recomendo criar um usuário simples e remover o acesso SSH do root. Desta forma, teremos um aumento no nível de segurança, uma vez que será preciso fazer o acesso SSH com usuário simples primeiro para depois logar com root usando o "su".
Crie um usuário novo:
# adduser <login>
# passwd <login>
Edite o arquivo de configuração SSH:
# vim /etc/ssh/sshd_config
Altere a seguinte linha:
De:
PermitRootLogin yes
Para:
PermitRootLogin no
Por precaução, antes de fechar o acesso SSH atual, crie primeiro uma nova conexão em paralelo e teste o acesso com o root e depois com o usuário novo. Em seguida, utilize o comando
su para logar como root de dentro do usuário novo.
O correto nessa operação, é o acesso ser negado para o root para conexões SSH e permitido somente para o usuário comum.
Conclusão
Bom, fiz esse procedimento com base num determinado cenário, mas acredito que com as informações e dicas que passei, será possível adaptar para atender um cenário diferente, ou vai até mesmo ajuda-lo a criar um procedimento melhor.
Caso haja alguma dúvida ou questionamento, estou a disposição para ajudar - tanto aqui quanto no
meu blog.
Obrigado,
Luiz Paulo Cardia