SFTP Server com SSH, Chroot e Rsyslog
Este artigo visa abordar de forma abrangente, a criação de um servidor SFTP, usando o serviço SSH e Chroot. Além disso, mostrarei também como criar os registros em log de cada operação nos diretórios dos usuários através do Rsyslog.
[ Hits: 9.640 ]
Por: Luiz Paulo Cardia em 22/09/2016
Restart do serviços e testes
Passo 6 - Reiniciar os serviços SSH e Rsyslog
Após realizar todo o procedimento acima, devemos reiniciar os serviços de SSH e Rsyslog para ativar o serviço de SFTP e ativar o registro de log:# systemctl restart sshd
# systemctl restart rsyslog
Passo 7 - Testar os acesso SFTP e SSH
Para testar os acessos, podemos usar qualquer programa cliente de SFTP (ex.: WinSCP) ou diretamente no terminal, através da linha de comando:# sftp <loginsftp>@<ipdoservidor>
<loginsftp>@<ipdoservidor>'s password: <senhadologin>
Connected to <ipdoservidor>.
sftp> ls
dev in out
sftp>
Obs. 1: utilize os comandos cd para tentar sair do diretório raiz e touch para testar a criação de arquivos no próprio diretório, ou em outro.
Podemos também testar o acesso via SSH para validarmos se o usuário pode, ou não, fazer logon no sistema:
# ssh <loginsftp>@<ipdoservidor>
<loginsftp>@<ipdoservidor>'s password: <senhadologin>
Could not chdir to home directory /home/<loginsftp>: No such file or directory
This service allows sftp connections only.
Connection to <ipdoservidor> closed.
O exemplo anterior mostra o acesso SSH negado, portanto, o usuário só poderá acessar o servidor via SFTP.
Recomendações
Caso o serviço fique hospedado na nuvem, ou numa DMZ, recomendo criar um usuário simples e remover o acesso SSH do root. Desta forma, teremos um aumento no nível de segurança, uma vez que será preciso fazer o acesso SSH com usuário simples primeiro para depois logar com root usando o "su".Crie um usuário novo:
# adduser <login>
# passwd <login>
Edite o arquivo de configuração SSH:
# vim /etc/ssh/sshd_config
Altere a seguinte linha:
De:
PermitRootLogin yes
Para:
PermitRootLogin no
Por precaução, antes de fechar o acesso SSH atual, crie primeiro uma nova conexão em paralelo e teste o acesso com o root e depois com o usuário novo. Em seguida, utilize o comando su para logar como root de dentro do usuário novo.
O correto nessa operação, é o acesso ser negado para o root para conexões SSH e permitido somente para o usuário comum.
Conclusão
Bom, fiz esse procedimento com base num determinado cenário, mas acredito que com as informações e dicas que passei, será possível adaptar para atender um cenário diferente, ou vai até mesmo ajuda-lo a criar um procedimento melhor.Caso haja alguma dúvida ou questionamento, estou a disposição para ajudar - tanto aqui quanto no meu blog.
Obrigado,
Luiz Paulo Cardia
Páginas do artigo
1. Introdução2. Criação dos usuários e diretórios do SFTP
3. Restart do serviços e testes
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Fazendo um site completo rapidinho com Joomla
VSFTPD + Usuários Virtuais + MySQL
Emuladores para seu sistema operacional
Instalando o Nagios-mysql no Debian Etch
Comentários
[1] Comentário enviado por MrBlackWolf em 22/09/2016 - 09:15h
Ótimo artigo. Muito bem explicado e útil.
Ótimo artigo. Muito bem explicado e útil.
[2] Comentário enviado por pedropaulotg em 29/09/2016 - 15:52h
Boa tarde, fiz o lab e estou com problema no rsyslog.
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/dev/log': Address already in use (Criei o "path" completo manualmente)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa1/dev/log': Permission denied (Criei até /dev)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa2/dev/log': Address already in use
Sep 29 16:15:08 localhost rsyslogd: imuxsock does not run because we could not aquire any socket
Sep 29 16:15:08 localhost rsyslogd-3000: activation of module imuxsock failed
Boa tarde, fiz o lab e estou com problema no rsyslog.
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/dev/log': Address already in use (Criei o "path" completo manualmente)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa1/dev/log': Permission denied (Criei até /dev)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa2/dev/log': Address already in use
Sep 29 16:15:08 localhost rsyslogd: imuxsock does not run because we could not aquire any socket
Sep 29 16:15:08 localhost rsyslogd-3000: activation of module imuxsock failed
[3] Comentário enviado por luiz_cardia em 30/09/2016 - 12:31h
[2] Comentário enviado por pedropaulotg em 29/09/2016 - 15:52h
Boa tarde, fiz o lab e estou com problema no rsyslog.
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/dev/log': Address already in use (Criei o "path" completo manualmente)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa1/dev/log': Permission denied (Criei até /dev)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa2/dev/log': Address already in use
Sep 29 16:15:08 localhost rsyslogd: imuxsock does not run because we could not aquire any socket
Sep 29 16:15:08 localhost rsyslogd-3000: activation of module imuxsock failed
Pedro,
Verifica se as permissões para os diretórios /dev/* estão como root:root.
Vou refazer o procedimento com o que está aqui no Viva o Linux, pois antes de aprovarem o artigo que eu fiz, eles modificaram todo o texto. Talvez tenham perdido alguma informação.
Na dúvida, pode comparar com o que está no meu blog (blog.lzinfo.com.br). Lá tem o texto original.
[2] Comentário enviado por pedropaulotg em 29/09/2016 - 15:52h
Boa tarde, fiz o lab e estou com problema no rsyslog.
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/dev/log': Address already in use (Criei o "path" completo manualmente)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa1/dev/log': Permission denied (Criei até /dev)
Sep 29 16:15:08 localhost rsyslogd: cannot create '/sftp/empresa2/dev/log': Address already in use
Sep 29 16:15:08 localhost rsyslogd: imuxsock does not run because we could not aquire any socket
Sep 29 16:15:08 localhost rsyslogd-3000: activation of module imuxsock failed
Pedro,
Verifica se as permissões para os diretórios /dev/* estão como root:root.
Vou refazer o procedimento com o que está aqui no Viva o Linux, pois antes de aprovarem o artigo que eu fiz, eles modificaram todo o texto. Talvez tenham perdido alguma informação.
Na dúvida, pode comparar com o que está no meu blog (blog.lzinfo.com.br). Lá tem o texto original.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como transformar um áudio em vídeo com efeito de forma de onda (wave form)
Como aprovar Pull Requests em seu repositório Github via linha de comando
Como gerar um podcast a partir de um livro em PDF
Dicas
Organizando seus PDF com o Zotero
Erro no realm join [Resolvido]
Um programa para baixar vídeos: Parabolic
Como Definir o Painel Principal em Múltiplos Monitores no Linux Mint
Tópicos
Sempre que vou baixar algum pacote acontece o erro dpkg (2)
BlueMail não abre no Kubuntu 25.04 (6)
Não consigo montar meu cartão SD (5)
aplicativos criados com webapp-manager não aparecem no menu do xfce (1)
Top 10 do mês
-
Xerxes
1° lugar - 71.879 pts -
Fábio Berbert de Paula
2° lugar - 59.438 pts -
Mauricio Ferrari
3° lugar - 17.392 pts -
Buckminster
4° lugar - 16.566 pts -
Alberto Federman Neto.
5° lugar - 14.752 pts -
Daniel Lara Souza
6° lugar - 13.956 pts -
edps
7° lugar - 13.479 pts -
Diego Mendes Rodrigues
8° lugar - 12.825 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 12.811 pts -
Andre (pinduvoz)
10° lugar - 10.202 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
