https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Linux_-_Netzwerk_und_Serveradminstration_SFTP_Rocky
Linux - Netzwerk und Serveradminstration SFTP Rocky - Versionsgeschichte
2026-05-14T17:10:06Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Linux_-_Netzwerk_und_Serveradminstration_SFTP_Rocky&diff=68655&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „ = SFTP Server = {{#drawio:5102-sftp-01}} == Vorbereitungen == === DATEN === {| class="wikitable" style="background-color: #f2f2f2;" ! Parameter !! Wert !! Erl…“
2026-04-14T17:23:49Z
<p>Die Seite wurde neu angelegt: „ = SFTP Server = {{#drawio:5102-sftp-01}} == Vorbereitungen == === DATEN === {| class="wikitable" style="background-color: #f2f2f2;" ! Parameter !! Wert !! Erl…“</p>
<p><b>Neue Seite</b></p><div><br />
= SFTP Server =<br />
{{#drawio:5102-sftp-01}}<br />
== Vorbereitungen ==<br />
=== DATEN ===<br />
{| class="wikitable" style="background-color: #f2f2f2;"<br />
! Parameter !! Wert !! Erläuterung<br />
|-<br />
| Netzwerk (NIC) || DMZ|| Interface-Zuweisung<br />
|-<br />
| IP || 10.88.2XX.3 || Statische IP<br />
|-<br />
| CIDR || 24 || Netzmaske<br />
|-<br />
| GW || 10.88.2XX.1 || Gateway<br />
|-<br />
| NS || 10.88.2XX.21 || DNS-Server<br />
|-<br />
| FQDN || sftp.it2XX.int || Vollständiger Name<br />
|-<br />
| SHORT || sftp || Kurzname<br />
|-<br />
| DOM || it2XX.int || Domain<br />
|}<br />
*[[Anpassen des Rocky Templates]]<br />
== Sichere Datenübertragung ==<br />
*SFTP nutzt SSH zur Verschlüsselung<br />
*kein zusätzlicher Dienst notwendig<br />
*FTP/TFTP sind unsicher und werden nicht verwendet<br />
*Zugriff erfolgt ausschließlich über SSH-Port 22<br />
== Ziel ==<br />
*Gast-Zugang unter /srv/sftp/gast<br />
*kein Shell-Zugriff<br />
*Zugriff nur auf eigenes Verzeichnis<br />
== Benutzer und Verzeichnis ==<br />
*sudo mkdir -p /srv/sftp/gast/ablage<br />
*sudo groupadd sftponly<br />
*sudo useradd -G sftponly -d /srv/sftp/gast -s /sbin/nologin gast<br />
*sudo passwd gast<br />
;WICHTIG<br />
*Chroot-Verzeichnis muss root gehören<br />
*sudo chown root:root /srv/sftp/gast<br />
*sudo chmod 755 /srv/sftp/gast<br />
*sudo chown gast:gast /srv/sftp/gast/ablage<br />
;Erklärung<br />
*/srv/sftp/gast → gehört root (Pflicht für Chroot)<br />
*/ablage → gehört Benutzer (dort darf geschrieben werden)<br />
<br />
== SELinux ==<br />
=== Kontext setzen ===<br />
*sudo semanage fcontext -a -t ssh_home_t "/srv/sftp(/.*)?"<br />
*sudo restorecon -Rv /srv/sftp<br />
<br />
=== Boolean für Chroot ===<br />
*sudo setsebool -P ssh_chroot_rw_homedirs on<br />
<br />
=== Fehleranalyse ===<br />
*sudo ausearch -c sshd --raw | audit2why<br />
*sudo tail -f /var/log/audit/audit.log | grep denied<br />
<br />
== firewalld ==<br />
=== SSH-Dienst prüfen ===<br />
*sudo firewall-cmd --list-services<br />
<br />
;Hinweis<br />
SSH (Port 22) ist unter Rocky standardmässig in firewalld erlaubt.<br />
<br />
== SSH Server Konfiguration ==<br />
*sudo nano /etc/ssh/sshd_config<br />
<pre><br />
Subsystem sftp internal-sftp<br />
Match Group sftponly<br />
ChrootDirectory /srv/sftp/%u<br />
ForceCommand internal-sftp<br />
PasswordAuthentication yes<br />
AllowTcpForwarding no<br />
</pre><br />
*sudo systemctl restart sshd<br />
;Erklärung<br />
*internal-sftp → kein externes Binary notwendig<br />
*ChrootDirectory → User sieht nur sein eigenes Verzeichnis<br />
*ForceCommand → erzwingt SFTP (kein SSH-Shell)<br />
*AllowTcpForwarding no → verhindert Tunnel<br />
== Test ==<br />
*sftp gast@SERVER-IP<br />
== Angemeldete Benutzer anzeigen ==<br />
*ps -ef | grep '[s]shd:.*@notty' | grep -v ^root<br />
;Erklärung<br />
*notty → kein Terminal → reiner SFTP-Zugang<br />
== Links ==<br />
*[http://en.wikibooks.org/wiki/OpenSSH/Cookbook/SFTP#Chrooted_SFTP_to_Shared_Directories SFTP]</div>
Thomas.will