Re: Sobre seguridad en una red
El Jueves, 17 de Noviembre de 2005 16:42, enediel gonzalez escribió:
|| Muy interesante Iñaki toda esta explicacion, en lo personal quiero
|| evitarme al maximo el uso del ftp por lo que comentas, aun tengo que
|| masticar un poco de google para buscar la configuracion del sftp para que
|| me de las mismas bondades que el ftp y el usuario no se salga de su
|| carpeta en /home.
||
|| (si alguien posee la referencia(donde encontrarlo) de como hacerlo se los
|| agradeceria.
Nunca he llegado a hacerlo, pero la idea puede ser:
- Crear un usuario de sistema, llamémosle "sftp-user". Le ponemos como
shell /bin/bash (si no le ponemos ninguna no puede entrar por sftp).
- En su .bash_profile le añadimos al final "logout", así si entra por SSH se
deslogueará nada más entrar (juas juas).
- Para que no pueda modificar el .bash_profile (si no qué gracia) yo haría
esto (como root):
#chown root.root .bash*
- Y para que no pueda borrarlo y crearlo de nuevo a su gusto pondría el bit t:
#chown root.sftp-usr /home/sftp-user
#chmod +t /home/sftp-user
De esta forma aquellos que tengan permiso de escritura en esta home sólo
podrán borrar o modificar aquellos archivos de los que sean dueños (o
pertenezcan a su grupo y el fichero tenga permiso de escritura para el
grupo).
Así pues podemos como root guardar ficheros en /home/sftp-user y nadie los
podrá borrar (por ejemplo archivos que queremos estén siempre disponibles
para los que accedan por sftp y que no puedan borrarlos).
A su vez, el usuario sftp-user podrá subir cosas y modificarlas o borrarlas,
pero sólo las suyas.
Luego queda, por seguridad y por confidencialidad, enjaular al usuario
sftp-user en su home, pero eso no sé cómo se hace (lo tengo por ahí apuntado
seguramente). Pero es un poco cristo pues hay que copiar a su home los
comandos básicos y todo eso. En Google un "chroot enjaular usuarios" seguro
que da la solución.
|| luego de eso, que accedan con un cliente como winscp, o algo parecido.
Muchos amigos míos han accedido a mi ordenador con WinSCP y nunca se han
quejado, es un programa muy sencillo.
PD: Tengo una duda que no logro entender:
SFTP está incluido en SSH, entonces no logro entender porqué si accedo por SSH
con sftp-user me desloguea ("logout" al final de .bash_profile) y sin embargo
puedo entrar por SFTP (el caso es que funciona pero no me lo explico o hay
algo que se me escapa). Supongo que al entrar por SFTP el usuario no se
loguea en el sistema y por eso no usa el .bash_profile, ¿no?
--
que a mí ni me va ni me viene... pero por comentar...
Reply to: