jueves, 26 de septiembre de 2013

RESTRINGIR A LOS USUARIOS SFTP ACCESO A UNA CARPETA PRINCIPAL DE UN SITIO WEB

La siguiente es una guía para la creación de usuarios SFTP y la restricción de acceso hacia el directorio

home del usuario.

La confirmación  la realizara  agregando lo siguiente al final del archivo /etc/ssh/sshd_config

Subsystema sftp internal-sftp

#configuracion de sftp

Match Group sftpgroup

ChrootDirectory %h

ForceCommand internal-sftp

X11Forwarding no

AllowTcpForwarding no

Esto significa que todos los usuarios en el grupo de "sftpgroup “ se restringe a su directorio principal,

en el que sólo podrán ejecutar procesos internos SFTP.

Ahora usted puede crear el grupo sftpgroup ejecutando el siguiente comando:

$ groupadd sftpgroup

Crear los usuarios requeridos  y configurarles la clave respectiva

$ useradd usuario1

$ passwd usuario1

$ useradd usuario2

$ passwd usuario2

Establecer un grupo de usuarios:

$ usermod –g sftpgroup usuario1

$ usermod –g sftpgroup usuario2

Para denegar el acceso shell SeSH, ejecute el siguiente comando:

$ usermod usuario1 –s  /bin/false

$ usermod usuario2 –s /bin/false

Y configurar el directorio de inicio del usuario:

$ usermod  usuario1 –d /var/www/

$ usermod usuario2 –d /var/www/

Establecer el propietario de la carpeta

$ chown root:sftpgroup /var/www/

Establecer los permisos para las carpetas

$ chmod 755 –R /var/www/web.com

Establecer el permiso de escritura al grupo sftpgroup

$ chmod g+w /var/www/web.com

Por último, reiniciar SSH

$ service sshd restart

La parte SSH ahora debe estar en orden, pero usted debe asegurarse de que los permisos de los

archivos también son correctas. Si el entorno chroot está en el directorio principal de un usuario a la

vez / debe ser propiedad de root y debe tener permisos en la línea de 755 o 750.

En otras palabras, todas las carpetas que lleva hasta e incluyendo la carpeta de inicio debe ser

propiedad de root, de lo contrario, aparecerá el siguiente error después de iniciar sesión:

Error en la escritura: Tubería rota

No se pudo leer paquete: Connection reset by peer

En el caso de ser necesario verificar que se tengan permisos necesarios para acceder

$ getenforce

$ setenforce 0

No hay comentarios:

Publicar un comentario