Proteger el acceso de usuarios a nuestros sistemas: chroot + sftp

Muchas veces es necesario dar acceso a usuarios externos a nuestros sistemas para que puedan a los entornos de trabajo. En algunos casos para obtener ficheros o subirlos, pero en otros para trabajar conjuntamente con nuestros equipos.  Hoy os comentamos una posible solución que se puede adaptar a varios situaciones.

Para comenzar os planteamos nuestro problema: un usuario externo a la empresa requiere acceder a varios entornos de desarrollo de un proyecto.

La solución que hemos adoptado y que vamos a comentar es la siguiente:

Lo primero el usuario debe acceder por VPN a nuestra red con un certificado que podemos controlar y dar de baja en cualquier momento. La segunda medida, que es la que vamos a desarrollar, consiste en restringir el acceso únicamente mediante SFTP a los entonos de desarrollo y limitar el acceso únicamente a un directorio de trabajo que vamos a definir nosotros.

Partimos de un usuario creado en LDAP y con acceso PAM a los entornos, usuario: pepe

Modificamos la configuración del servidor de SSH. Editamos el fichero /etc/ssh/sshd_config   añadimos las siguientes líneas al final

[…]

Match User pepe

ChrootDirectory /home/pepe

AllowTCPForwarding no

X11Forwarding no

ForceCommand internal-sftp

Match

A continuación, reiniciamos el servidor SSH  /etc/init.d/ssh restart

Para facilitar el acceso a los entornos de desarrollo, utilizamos el comando mount –bin para facilitarle el acceso dentro de su directorio único a los distintos directorios de desarrollo.

cd /home/pepe

mkdir entorno1

mount –bind /directoriodedesarrollo/entorno1 entorno1

Por último, comprobamos que los permisos del directorio   chmod 755 /home/pepe

Ahora el usuario podrá acceder mediante SFTP y trabajar en los entornos de desarrollo de forma segura.

Fuentes: http://www.howtoforge.com/chrooted-ssh-sftp-tutorial-debian-lenny |

admin-2

admin-2

0