[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sobre seguridad en una red

El Jueves, 17 de Noviembre de 2005 16:42, enediel gonzalez escribió:
|| Muy interesante Iñaki toda esta explicacion, en lo personal quiero
|| evitarme al maximo el uso del ftp por lo que comentas, aun tengo que
|| masticar un poco de google para buscar la configuracion del sftp para que
|| me de las mismas bondades que el ftp y el usuario no se salga de su
|| carpeta en /home.
||
|| (si alguien posee la referencia(donde encontrarlo) de como hacerlo se los
|| agradeceria.

Nunca he llegado a hacerlo, pero la idea puede ser:

- Crear un usuario de sistema, llamémosle "sftp-user". Le ponemos como 
shell /bin/bash (si no le ponemos ninguna no puede entrar por sftp).

- En su .bash_profile le añadimos al final "logout", así si entra por SSH se 
deslogueará nada más entrar (juas juas).

- Para que no pueda modificar el .bash_profile (si no qué gracia) yo haría 
esto (como root):
  #chown root.root .bash*
- Y para que no pueda borrarlo y crearlo de nuevo a su gusto pondría el bit t:
  #chown root.sftp-usr /home/sftp-user
  #chmod +t /home/sftp-user
  De esta forma aquellos que tengan permiso de escritura en esta home sólo 
podrán borrar o modificar aquellos archivos de los que sean dueños (o 
pertenezcan a su grupo y el fichero tenga permiso de escritura para el 
grupo).

Así pues podemos como root guardar ficheros en /home/sftp-user y nadie los 
podrá borrar (por ejemplo archivos que queremos estén siempre disponibles 
para los que accedan por sftp y que no puedan borrarlos).

A su vez, el usuario sftp-user podrá subir cosas y modificarlas o borrarlas, 
pero sólo las suyas.


Luego queda, por seguridad y por confidencialidad, enjaular al usuario 
sftp-user en su home, pero eso no sé cómo se hace (lo tengo por ahí apuntado 
seguramente). Pero es un poco cristo pues hay que copiar a su home los 
comandos básicos y todo eso. En Google un "chroot enjaular usuarios" seguro 
que da la solución.


|| luego de eso, que accedan con un cliente como winscp, o algo parecido.

Muchos amigos míos han accedido a mi ordenador con WinSCP y nunca se han 
quejado, es un programa muy sencillo.





PD: Tengo una duda que no logro entender:

SFTP está incluido en SSH, entonces no logro entender porqué si accedo por SSH 
con sftp-user me desloguea ("logout" al final de .bash_profile) y sin embargo 
puedo entrar por SFTP (el caso es que funciona pero no me lo explico o hay 
algo que se me escapa). Supongo que al entrar por SFTP el usuario no se 
loguea en el sistema y por eso no usa el .bash_profile, ¿no?






-- 
que a mí ni me va ni me viene... pero por comentar...
Reply to: