Serveur sftp +rssh+chroot
Présentation
sftp est un programme similaire à ftp, mais au dessus d'un tunnel ssh. Il a donc toutes les fonctionnalités de ftp, mais avec la sécurité de ssh en plus (cryptage des logins, mots de passe et des transferts de données).
- Côté serveur: le serveur sftp est fourni par openssh-server.Pour plus de sécurité, nous le couplerons avec rssh, un shell réduit qui ne permettra aux clients connectés à notre serveur de ne faire que du sftp. De plus, nous allons créer un chroot, une technique qui va "enfermer" les clients dans un répertoire de notre serveur. Aucune de leurs actions ne pourront avoir de conséquences à l'extérieur de ce répertoire.
- Côté client:Afin d'utiliser un serveur sftp, le client doit avoir un client sftp (sftp en ligne de commande ou filezilla).
Installation de openssh-server et rssh
On va tout simplement les installer avec aptitude, qui s'occupera d'installer les dépendances :
# aptitude install openssh-server rssh
Configuration du serveur ssh
Le fichier de configuration est : /etc/ssh/sshd_config.
- Tout d'abord, changeons le port d'écoute par défaut (le 22), et mettons, par exemple, le 666. De cette manière, on évitera les robots qui scannent le net à la recherche de serveurs.
# What ports, IPs and protocols we listen for Port 666
Remarque: N'oubliez pas d'ouvrir le port dans votre firewall, et de rediriger le port de votre routeur (si vous êtes derrière un routeur) vers votre serveur.
- Dans la section authentification, on interdit la connexion en tant que root :
PermitRootLogin no
- Inutile dans notre cas d'activer le X11forwarding :
X11Forwarding no
- On indique à sshd où se trouve sftp-server: sftp-server est appelé par sshd, et gère les requêtes sftp.
Subsystem sftp /usr/lib/openssh/sftp-server
Configuration de rssh
L'intérêt de rssh est de donner à chaque utilisateur du serveur un shell réduit. Dans notre cas, ce shell sera réduit à sftp, c'est à dire à toutes les commandes dispensées par sftp :
cd path Change remote directory to 'path' lcd path Change local directory to 'path' chgrp grp path Change group of file 'path' to 'grp' chmod mode path Change permissions of file 'path' to 'mode' chown own path Change owner of file 'path' to 'own' help Display this help text get remote-path [local-path]Download file lls [ls-options [path]] Display local directory listing ln oldpath newpath Symlink remote file lmkdir path Create local directory lpwd Print local working directory ls [path] Display remote directory listing lumask umask Set local umask to 'umask' mkdir path Create remote directory put local-path [remote-path]Upload file pwd Display remote working directory exit Quit sftp quit Quit sftp rename oldpath newpath Rename remote file rmdir path Remove remote directory rm path Delete remote file symlink oldpath newpath Symlink remote file version Show SFTP version !command Execute 'command' in local shell ! Escape to local shell ? Synonym for help
Le fichier de configuration est /etc/rssh.conf. Remplaçons celui créé lors de l'installation :
# mv rssh.conf rssh.conf.old # echo "logfacility = LOG_USER" > /etc/rssh.conf # echo "allowsftp" >> /etc/rssh.conf # echo "umask = 022" >> /etc/rssh.conf
Création du chroot
Nous allons "chrooter" nos futurs utilisateurs du serveur sftp dans un répertoire, nous nous servirons dans notre cas de /home/sftp:
# mkdir /home/sftp
L'intérêt est que ces utilisateurs verront /home/sftp comme racine, et ne pourront agir que dans celui-là (et uniquement avec les commandes fournies par sftp, étant donné qu'on leur donnera comme shell rssh).
- copie des binaires et de leur dépendances
Il va donc falloir installer dans le chroot la commande sftp et ses dépendances, ainsi que sftp-server.
On va, pour ce faire, utiliser le script copie_binaire :
#!/bin/bash install -D $1 $2$1 for i in `ldd $1 | grep -o '/[^[:space:]]*'`; do if [ ! -e $2$i ]; then install -D $i $2$i; fi done
Ce script permet de copier un binaire et ses dépendances (et permet d'éviter de tout faire avec ldd et cp "à la main").
On le rend au préalable executable:
# chmod a+x ./copie_binaire
Copions donc sftp et ses dépendances de la manière suivante :
# ./copie_binaire /usr/bin/sftp /home/sftp
Voilà, sftp et ses dépendances sont dans /home/sftp (plus précisément dans /home/sftp/usr et /home/sftp/lib).
Il faut en plus copier libnss-file.so.2 :
# cp /lib/libnss_files.so.2 /home/sftp/lib
Excepté si vous êtes sur une lenny/i386 , il faut en plus copier /usr/lib/openssh/sftp-server dans le chroot (a faire donc si vous êtes sur lenny/amd64 ou squeeze): Code:
# mkdir /home/sftp/usr/lib/openssh # cp /usr/lib/openssh/sftp-server /home/sftp/usr/lib/openssh/
- création de /dev/null dans le chroot
Pour le bon fonctionnement de sftp, il est nécessaire d'avoir un dev/null dans le chroot :
# cd /home/sftp # mkdir dev # mknod dev/null c 1 3 # chmod 666 dev/null
- Placer le setuid sur le rssh_chroot_helper
# chmod u+s /usr/lib/rssh/rssh_chroot_helper
- Ajouter ligne chrootpath /home/sftp dans rssh.conf
# echo 'chrootpath = "/home/sftp"' >> /etc/rssh.conf
Bon, le chroot est prêt, ne manquent plus que les clients...
Création des utilisateurs
- créons l'utilisateur machin, futur client de notre serveur (en n'oubliant pas de lui donner comme shell rssh)
# adduser machin --shell /usr/bin/rssh
On vous demande un mot de passe pour cet utilisateur, mettez-en un "béton", sinon tout ce qui est fait côté "sécu" ne sert à rien.
- ajoutons cet utilisateur dans le fichier passwd du chroot
# mkdir /home/sftp/etc # grep '^machin:' /etc/passwd >> /home/sftp/etc/passwd
- Déclarons le comme utilisateur autorisé dans /etc/ssh/sshd_config:
#utilisateurs autorisés AllowUsers machin
Tests
Nous voilà presque prêt pour les tests. Il faut juste redémarrer sshd au préalable:
# /etc/init.d/ssh restart
en local
Testons tout ça directement sur le serveur :
--> sur lenny:
$ sftp -oPort=666 machin@localhost
--> sur squeeze:
$ sftp -P 666 machin@localhost
Après avoir entré votre mot de passe, si tout va bien, vous devez avoir une invite de commande :
sftp>
en réseau
--> sur lenny:
$ sftp -oPort=666 machin@IP_de_votre_serveur
--> sur squeeze:
$ sftp -P 666 machin@IP_de_votre_serveur
en cas de problèmes
- vérifier la création du chroot
- le port est-il ouvert sur le firewall ?
- les utilisateurs créés sont ils bien dans le passwd du chroot ?
Les logs
Comme le dit man sftp-server:
For logging to work, sftp-server must be able to access /dev/log. Use of sftp-server in a chroot configuation therefore requires that syslogd(8) establish a logging socket inside the chroot directory.
syslog
Comme le dit man syslogd :
-a socket: Using this argument you can specify additional sockets from that syslogd has to listen to. This is needed if you're going to let some daemon run within a chroot() environment.
Conclusion: ajouter à /etc/defaut/syslog la ligne SYSLOGD="-a /home/sftp/dev" à /etc/defaut/syslog, puis redémarrer syslogd
#echo 'SYSLOGD="-a /home/sftp/dev"' >> /etc/defaut/syslog #/etc/init.d/sysklogd restart
Bon, c'est bon, on va avoir des logs, mais ils seront plus lisibles, si on créé un fichier de log pour sftp. Pour cela, on édite /etc/ssh/sshd_config , pour y faire apparaître les lignes :
# Logging SyslogFacility LOCAL6 LogLevel INFO
(ça nous donnera les logs de sshd concernant les connexions ) et on rajoute -f LOCAL7 -l INFO à la ligne concernant le subsystem:
Subsystem sftp /usr/lib/openssh/sftp-server -f LOCAL7 -l INFO
Puis, éditer syslog.conf, pour y ajouter les lignes :
local7.info /var/log/sftp local6.info /var/log/sftp_connexion
Puis on redémarre syslogd:
#/etc/init.d/sysklogd restart
rsyslog
C'est la même procédure que pour syslog, mais pas la même syntaxe: Ajouter $AddUnixListenSocket /home/sftp/dev/log dans /etc/rsyslog.conf (et vérifier que $ModLoad imuxsock est décommenté au début du fichier, sinon, le décommenter). Redémarrer rsyslog et vérifier qu'il a bien créé /dev/log dans le chroot:
#/etc/init.d/rsyslog restart # ls -al /home/sftp/dev/log srw-rw-rw- 1 root root 0 7 sept. 11:34 /home/sftp/dev/log
La suite de la procédure est identique au cas syslog: Editer /etc/ssh/sshd_config , pour y faire apparaître les lignes
# Logging SyslogFacility LOCAL6 LogLevel INFO
Rajouter -f LOCAL7 -l INFO à la ligne concernant le subsystem:
Subsystem sftp /usr/lib/openssh/sftp-server -f LOCAL7 -l INFO
Redémarrer sshd:
# /etc/init.d/ssh restart
Puis, éditer rsyslog.conf, pour y ajouter les lignes:
local7.info /var/log/sftp local6.info /var/log/sshd
Puis on redémarre rsyslog:
#/etc/init.d/rsyslog restart
Conclusion
Vous pouvez consulter les logs de transferts de fichiers dans /var/log/sftp, et les logs de connexions dans /var/log/sshd.
Côté client: Filezilla
Configuration
A faire...
Utilisation
A faire...