Sådan aktiveres og konfigureres SFTP på CentOS 7

Ved mange lejligheder skal vi overføre flere oplysninger mellem enheder, og den mest almindelige måde at gøre det på, som har foregået i mere end 20 år, er at bruge FTP -protokollen (File Transfer Protocol) og FTP, der tillader overførsel mellem tilsluttede computere. Til TCP tager klient / server basis.

Med FTP bruger vi port 20 og 21. Nu har vi en ny foruddefineret protokol kaldet SFTP, som vi finder aktiveret på alle servere, der understøtter SSH.

SFTP (SSH File Transfer Protocol) er forskellig fra FTP -typen, selvom den understøtter alle FTP -klienter, som vi finder i dag. Selvom SFTP er blevet implementeret for at tilføje et lag af sikkerhed, udgør det en sårbarhed på adgangsniveau, da det som standard giver fuld adgang til systembrugere til at overføre filer og bruge Shell.

I dag vil Solvetic lære at konfigurere CentOS 7 til at forhindre en bestemt bruger i at have SSH -adgang med frihed til at manipulere systemet gennem SFTP0 -protokollen.

1. Brugeroprettelse


Først opretter vi den bruger, der har adgangsbegrænsning af SSH, i dette tilfælde vil vi kalde det adgang, vi udfører følgende:
 sudo adduser adgang
Dernæst tildeler vi den nye bruger et kodeord ved at udføre følgende:
 sudo passwd adgang

2. Oprettelse af biblioteket til filoverførsel


Når vores bruger er oprettet, er det næste trin at oprette det bibliotek, hvor SFTP vil handle, forhindre adgang, og dette skal konfigureres med visse parametre.

Vi opretter en mappe kaldet / var / sftp / uploads, hvor / var / sftp -delen, rodbrugeren vil være dens ejer, og ingen anden bruger vil have aktive tilladelser, og i / var / sftp / uploads -undermappen vil ejeren være den nye brugeradgang. Vi opretter biblioteket ved hjælp af følgende linje:

 sudo mkdir -p / var / sftp / uploads
Derefter etablerer vi rodbrugeren som ejer i det angivne bibliotek:
 sudo chown root: root / var / sftp
Vi giver skrivetilladelser til rodbrugeren og læser for de andre brugere i den angivne sti:
 sudo chmod 755 / var / sftp

Nu ændrer vi ejeren af ​​uploads, så det er brugeradgang, vi udfører følgende:

 sudo chown adgang: access / var / sftp / uploads

3. Begrænsning af adgang til et bibliotek


I dette trin ser vi, hvordan man begrænser adgang fra terminal til brugeradgang, men om det vil være muligt at overføre filer. Til dette skal vi redigere SSH -serveren med den foretrukne editor, vim eller nano, i følgende sti:
 sudo nano / etc / ssh / sshd_config
Vi vil se følgende:

I den sidste del af filen tilføjer vi følgende:

 Match brugeradgang ForceCommand intern-sftp PasswordAuthentication ja ChrootDirectory / var / sftp PermitTunnel no AllowAgentForwarding no TilladTcpVideresendelse nej X11Videresendelse nej 

Vi gemmer ændringerne ved hjælp af tastekombinationen Ctrl + O og afslutter editoren med tasterne Ctrl + X. Den anvendte syntaks indebærer følgende:

Match brugerFortæl SSH -serveren om at anvende ændringerne på den bruger, der er angivet der.

ForceCommand intern-sftpTvinger SSH -serveren til at køre SFTP for at forhindre adgang til Shell.

PasswordAuthentication jaAktiver adgangskodegodkendelse

ChrootDirectory / var / sftp /Det refererer til det faktum, at den angivne bruger ikke vil have adgang ud over / var / sftp -stien.

AllowAgentForwarding no, AllowTcpForwarding no. og X11Videresendelse er ikkeDisse valgmuligheder deaktiverer videresendelse af port, tunneling og X11 -protokol videresendelse til den angivne bruger.

Når vi har gemt filen, udfører vi følgende kommando for at anvende ændringerne i SSH:

 sudo systemctl genstart sshd

4. Bekræftelse af SSH -forbindelsen

Trin 1
Når dette er konfigureret, er det tid til at validere adgang via SSH og kontrollere, at kun filoverførsler er mulige. Til dette går vi til forbindelsen via SSH, som i dette tilfælde vil være.

 ssh [email protected]
Når vi indtaster adgangsoplysningerne, ser vi følgende meddelelse:

Trin 2
Med dette har vi verificeret, at forbindelsen lukkes via SSH. Nu vil vi prøve forbindelsen ved hjælp af sftp -protokollen:

 sftp [email protected]
Ved at indtaste adgangskoden vil vi se, at forbindelsen er vellykket, og vi vil være i stand til at overføre filer:

Trin 3
Der kan vi bruge kommandoen ls til at liste de tilgængelige mapper, og vi vil se den uploads -mappe, vi har oprettet:

Trin 4
Der kan vi flytte oplysninger, men hvis vi forsøger at vende tilbage til et bibliotek ovenfor ved hjælp af cd … får vi ikke en fejl, men vi ser, at ingen mappe kan vises:

Det er så enkelt, at vi kan begrænse adgangen takket være sftp.

wave wave wave wave wave