Re: Forzar permisos con SFTP

To: debian-user-spanish@lists.debian.org
Subject: Re: Forzar permisos con SFTP
From: Marc Olive <marc.olive@blauadvisors.com>
Date: Tue, 13 Sep 2011 10:34:31 +0200
Message-id: <[🔎] 201109131034.31459.marc.olive@blauadvisors.com>
In-reply-to: <[🔎] alpine.DEB.2.00.1109121807150.5497@x61>
References: <[🔎] 201109121743.08128.marc.olive@blauadvisors.com> <[🔎] alpine.DEB.2.00.1109121807150.5497@x61>

On Monday 12 September 2011 18:29:58 AngelD wrote:
> Mon, 12 Sep 2011, Marc Olive:
> > Conseguir mantener el grupo está resuelto, para esto basta con establecer
> > los permisos del directorio raiz a +s. El problema lo tengo para
> > establecer los
> > permisos en rw-rw---- (archivos) o rwxrwx--- (directorios):
>
>  	A ver si he entendido bien. Con utilizar un 'chmod g+ws' y un
> umask tipo '0002' a los usuarios del grupo, ¿no es suficiente?.

No es suficiente si el (programa) cliente modifica luego los permisos para que 
se correspondan con el archivo original.

>  	Si el problema sólo es con los umask y el sftp, [1]parece que hay
> procedimientos sencillos para forzar ésto, si utilizas el
> [1]"sftp-server" sin chroot.
> 
>  	Si utilizas el "internal sftpd", encuentro referencias al fichero
> [2]'/etc/login.conf', algo que desconozco si tiene equivalente el Linux,
> por lo que puedes parchear el [3]ssh, o puedes generar un chroot a la
> antigua usanza, para seguir utilizando el comando externo para sftp.
> 
>  	Si no utilizas chroot, el parámetro '-u' del sftp-server

Estamos en las mismas: si el cliente cambia los permisos, de nada sirve lo que 
configure en el servidor.

>  	Se me ocurre alguna otra idea, un poco más aceptable, utilizar las
> [4]"inotify-tools" para cambiar los permisos cada vez que se deje un
> fichero en el directorio descrito.

Pero hay muchos directorios que monitorizar (11.000), no se si seria mucha 
carga para el sistema.
El otro problema es que habria que poner otra incron por cada nuevo directorio 
que se cree.

>  	Ya nos contarás tus progresos.

Me parece que tengo que decantarme con el parche de "sftpfilecontrol". En su 
doc dicen "to control whether the client may issue chown and chmod commands in 
an sftp session."
¿Problemas? Que solo existe para versiones antiguas de OpenSSH (5.4p1) y que 
pierdo los parches aplicados por Debian.
Acabo de aplicar el parche, compilar e instalar, pero tengo otros problemas 
para autentificarme, "sshd[31189]: Failed password for marc.olive from 
10.81.55.4 port 51497 ssh2", seguramente por la conexión con LDAP (en la doc 
ya avisan).
Seguiré peleando con esto, creo que "sftpfilecontrol" es la única opción.

>  
> [1]http://serverfault.com/questions/70876/how-to-put-desired-umask-with-sf
> tp [2]https://calomel.org/sftp_chroot.html
>   [3]http://sftpfilecontrol.sourceforge.net/
>   [4]http://inotify-tools.sourceforge.net/

-- 

Marc Olivé
Blau Advisors

marc.olive@blauadvisors.com

C/ Molí de Guasch, 10 baixos 1a,
43440 L’Espluga de Francolí (Tarragona)
Tel. +34 977 870 702
Tel i Fax. + 34 977 870 507

www.blauadvisors.com

Reply to:

Follow-Ups:
- Re: Forzar permisos con SFTP
  - From: AngelD <angeld@froga.net>
- Re: Forzar permisos con SFTP
  - From: Camaleón <noelamac@gmail.com>

References:
- Forzar permisos con SFTP
  - From: Marc Olive <marc.olive@blauadvisors.com>
- Re: Forzar permisos con SFTP
  - From: AngelD <angeld@froga.net>

Prev by Date: Re: como arreglo un filesystem ext3 que fsck no termina de arreglar?
Next by Date: Re: Problema con Tarjeta Atheros
Previous by thread: Re: Forzar permisos con SFTP
Next by thread: Re: Forzar permisos con SFTP
Index(es):
- Date
- Thread