Cómo restringir a los usuarios de SFTP a los directorios de inicio usando chroot Jail


En este tutorial, discutiremos cómo restringir a los usuarios de SFTP a sus directorios personales o directorios específicos. Significa que el usuario solo puede acceder a su directorio de inicio respectivo, no a todo el sistema de archivos.

Restringir los directorios de inicio de los usuarios es vital, especialmente en un entorno de servidor compartido, para que un usuario no autorizado no pueda echar un vistazo a los archivos y carpetas del otro usuario.

Importante: tenga en cuenta también que el propósito de este artículo es proporcionar acceso SFTP únicamente, no inicios de sesión SSH; si sigue este artículo, tendrá los permisos para realizar transferencias de archivos, pero no podrá realizar una sesión SSH remota.

La forma más sencilla de hacer esto es crear un entorno de cárcel chrooted para el acceso SFTP. Este método es el mismo para todos los sistemas operativos Unix/Linux. Usando el entorno chrooted, podemos restringir a los usuarios a su directorio de inicio oa un directorio específico.

Restringir a los usuarios a los directorios de inicio

En esta sección, crearemos un nuevo grupo llamado sftpgroup y asignaremos la propiedad y los permisos correctos a las cuentas de usuario. Hay dos opciones para restringir a los usuarios a directorios particulares o específicos, veremos ambas formas en este artículo.

Restringamos al usuario existente, por ejemplo tecmint , a su directorio personal llamado /home/tecmint . Para esto, necesita crear un nuevo grupo sftpgroup usando el comando groupadd como se muestra:

# groupadd sftpgroup

A continuación, asigne el usuario "tecmint" al grupo sftpgroup.

# usermod -G sftpgroup tecmint

También puede crear un nuevo usuario usando el comando useradd, por ejemplo senthil y asignar el usuario al grupo sftpusers.

# adduser senthil -g sftpgroup -s /sbin/nologin
# passwd tecmint

Abra y agregue las siguientes líneas al archivo de configuración /etc/ssh/sshd_config .

Subsystem sftp internal-sftp
 
   Match Group sftpgroup
   ChrootDirectory /home
   ForceCommand internal-sftp
   X11Forwarding no
   AllowTcpForwarding no

Guarde y salga del archivo, reinicie el servicio sshd para que los nuevos cambios surtan efecto.

# systemctl restart sshd
OR
# service sshd restart

Si crea un chroot a varios usuarios en el mismo directorio, debe cambiar los permisos del directorio de inicio de cada usuario para evitar que todos los usuarios naveguen por los directorios de inicio de los demás usuarios.

# chmod 700 /home/tecmint

Ahora es el momento de verificar el inicio de sesión desde un sistema local. Intente ssh su sistema remoto desde su sistema local.

# ssh [email protected]

Aquí,

  1. tecmint: nombre de usuario del sistema remoto.
  2. 192.168.1.150: dirección IP del sistema remoto.

[email protected]'s password: 
Could not chdir to home directory /home/tecmint: No such file or directory
This service allows sftp connections only.
Connection to 192.168.1.150 closed.

Luego, acceda al sistema remoto usando SFTP.

# sftp [email protected]
[email protected]'s password: 
Connected to 192.168.1.150.
sftp>

Comprobemos el directorio de trabajo actual:

sftp&gt pwd
Remote working directory: /

sftp&gt ls
tecmint  

Aquí, tecmint es el directorio de inicio. Cd al directorio tecmint y cree los archivos o carpetas que desee.

sftp&gt cd tecmint
Remote working directory: /

sftp&gt mkdir test
tecmint  

Restringir usuarios a un directorio específico

En nuestro ejemplo anterior, restringimos los usuarios existentes al directorio de inicio. Ahora veremos cómo restringir un nuevo usuario a un directorio personalizado.

Cree un nuevo grupo sftpgroup .

# groupadd sftpgroup

A continuación, cree un directorio para el grupo SFTP y asigne permisos para el usuario raíz.

# mkdir -p /sftpusers/chroot
# chown root:root /sftpusers/chroot/

A continuación, cree nuevos directorios para cada usuario, a los que tendrá acceso completo. Por ejemplo, crearemos el usuario tecmint y su nuevo directorio de inicio con el permiso de grupo correcto utilizando la siguiente serie de comandos.

# adduser tecmint -g sftpgroup -s /sbin/nologin
# passwd tecmint
# mkdir /sftpusers/chroot/tecmint
# chown tecmint:sftpgroup /sftpusers/chroot/tecmint/
# chmod 700 /sftpusers/chroot/tecmint/

Modifique o agregue las siguientes líneas al final del archivo:

#Subsystem  	sftp	/usr/libexec/openssh/sftp-server
Subsystem sftp  internal-sftp
 
Match Group sftpgroup
   ChrootDirectory /sftpusers/chroot/
   ForceCommand internal-sftp
   X11Forwarding no
   AllowTcpForwarding no

Guardar y salir del archivo. Reinicie el servicio sshd para que se apliquen los cambios guardados.

# systemctl restart sshd
OR
# service sshd restart

Eso es todo, puede verificar iniciando sesión en su servidor SSH y SFTP remoto mediante el paso proporcionado anteriormente en Verificar inicio de sesión SSH y SFTP.

Tenga en cuenta que este método deshabilitará el acceso al shell, es decir, no puede acceder a la sesión del shell del sistema remoto mediante SSH. Solo puede acceder a los sistemas remotos a través de SFTP y realizar transferencias de archivos desde y hacia los sistemas locales y remotos.

Conclusión

Ahora sabe cómo restringir los directorios de inicio de los usuarios utilizando un entorno Chroot en Linux. Si encuentra esto útil, comparta este artículo en sus redes sociales y háganos saber en la sección de comentarios a continuación si existe algún otro método para restringir los directorios de inicio de los usuarios.