Re: [OT] acceso remoto para editar archivos

[angeld <angeld@froga.net>]

On Tue, 21 Sep 2010, Juan Manuel Acuña wrote:

> El 21/09/10 16:25, angeld escribió:
> > On Tue, 21 Sep 2010, Juan Manuel Acuña wrote:
> >
> > > Tengo un problemilla entre manos y quisiera ver si alguien puede
> > > iluminarme con alguna idea o experiencia. Les comento la
> > > situación:
> > >
> > > Por cuestiones de sobrecarga de trabajo, me piden que permita
> > > acceso por ssh o sftp a un servidor (debian lenny con apache2,
> > > php5 y mysql) a un desarrollador externo (un freelance) para que
> > > pueda leer, editar y hasta crear nuevos archivos en ciertas
> > > carpetas de un subdominio, que pueda solamente leer los archivos
> > > de otras y unas terceras directamente que no pueda ni leer, y si
> > > se puede, que ni siquiera vea la carpeta. Obviamente, los
> > > archivos de todas esas carpetas se deben poder seguir ejecutando
> > > para que este desarrollador pueda ver el resultado de sus
> > > cambios. Los demás dominios y subdominios que maneja el servidor
> > > deben seguir trabajando normalmente.
> > >
> > > La idea es que dicho desarrollador no descargue los archivos a
> > > su máquina, sino que los edite directamente en el servidor. El
> > > desarrollador ocupa eclipse con pdt y tiene un plugin que se
> > > llama Remote System Explorer para editar remotamente. Dado el
> > > caso podría pedirle al desarrollador que usara otra cosa que no
> > > fuera el eclipse.
> > >
> > > Alguna idea de por donde podré empezar?
> >
> > Por lo que leo el [1]"Remote System Explorer" sólo necesita acceso
> > por ssh o ftp para trabajar, aunque no creo que edite los archivos
> > en local, sino que los descargará y volverá a cargar
> > automágicamente. Para editar en local sólo existe "vi" o similares
> > :-)
> >
> > Respecto a lo de "leer unas, no otras, ejecutar otras, ...", si con
> > el sistema de permisos no das abasto, puedes usar [2]ACL, o si
> > necesitas hilar muy muy fino, puedes [3]"chrootar ssh", y montar
> > los directorios necesarios por medio de la opción [4]bind para que
> > sólo vea lo que tu quieras y no más.
> >
> > [1]http://tmober.blogspot.com/2006/11/remote-system-explorer-10-is-released.html
> [2]http://wiki.debian.org/HelpOnAccessControlLists
> > [3]http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.en.html
> [4]http://linux.die.net/man/8/mount
>
> Angel, primero que nada, muchas gracias por responder.
>
> Efectivamente tienes razón, el remote system explorer baja el archivo
> y lo sube de nuevo automágicamente. Yo no lo sabía.
>
> El sistema de permisos no me da abasto, y de hecho, si necesito hilar
> fino. Creo que te haré caso y voy a "chrootar" :) Nunca lo he hecho,
> pero, siempre es bueno meterse a algo nuevo.

	Me acabo de acordar de como tenía montado algo para la misma o 
parecida tarea.

	Si el usuario sólo necesita editar, y no necesita nada del 
sistema, puedes montar un ftp que haga automágicamente chroot (proftpd, 
vsftpd), y para que el tráfico no vaya en claro, que utilice [1]ssl. Tuve 
algo parecido montado, en el que el fichero passwd del ftp era 
independiente del del sistema (vía pam), para así tener totalmente 
separados unas cosas de otras, y que no permitía conexiones que no fueran 
cifradas. Clientes ftp con ssl hay [2]unos cuantos, y espero que eclipse 
pueda también realizarlo.

	Crear y mantener un chroot para conexiones ssh es matador, pero si 
puedes implementar algo como lo descrito, te ahorras muchos trabajo y 
problemas.

 [1]http://wiki.vpslink.com/Configuring_vsftpd_for_secure_connections_%28TLS/SSL/SFTP%29
 [1]http://www.proftpd.org/docs/howto/TLS.html
 [2]http://filezilla-project.org/
 [2]http://gftp.seul.org/

--
	Saludos --- Angel