Linux - Netzwerk und Serveradminstration SFTP: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 41: | Zeile 41: | ||
*[[ssh jump-host]] | *[[ssh jump-host]] | ||
==SFTP Umsetzung== | ==SFTP Umsetzung== | ||
| − | + | [[Kategorie:SFTP]] | |
| + | [[Kategorie:SSH]] | ||
| + | = Benutzer und Heimatverzeichnis anlegen = | ||
| + | *'''mkdir -pv ''/srv/sftp/'' ''' | ||
| + | *'''groupadd sftponly''' | ||
| + | *'''useradd -G sftponly -d ''/srv/sftp/gast'' -s /bin/false gast''' | ||
| + | *'''mkdir -p ''/srv/sftp/gast/ablage'' ''' | ||
| + | *'''chown gast:gast ''/srv/sftp/gast/ablage'' ''' | ||
| + | *'''passwd gast''' | ||
| + | |||
| + | = SSH Server Konfiguration = | ||
| + | * relativ weit unten in der Standardkonfiguration von SSH wird SFTP als Subsystem aktiviert | ||
| + | * Dort können wir unsere Konfiguration anhängen | ||
| + | * '''vim ''/etc/ssh/sshd_config'' ''' | ||
| + | |||
| + | ... | ||
| + | Subsystem sftp /usr/lib/openssh/sftp-server | ||
| + | UsePAM yes | ||
| + | Match Group sftponly | ||
| + | ChrootDirectory /srv/sftp/%u | ||
| + | ForceCommand internal-sftp | ||
| + | PasswordAuthentication yes | ||
| + | AllowTcpForwarding no | ||
| + | ... | ||
| + | |||
| + | = Angemeldete Benutzer anzeigen = | ||
| + | |||
| + | * '''ps -ef | grep '[s]shd:.*@notty' | grep -v ^root''' | ||
| + | * ''notty'', da SFTP-Benutzer kein Terminal haben wie per SSH angemeldete Benutzer | ||
| + | |||
| + | =Links= | ||
| + | *[http://en.wikibooks.org/wiki/OpenSSH/Cookbook/SFTP#Chrooted_SFTP_to_Shared_Directories SFTP] | ||
Version vom 1. April 2026, 13:25 Uhr
SFTP Server
![Bearbeiten](javascript:editDrawio("153799354", "5102-sftp-01.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Vorbereitungen
- VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
- Der Host soll im DMZ-Netzwerk liegen
- IP-Adresse herausfinden über das DHCP-Log oder die Konsole
- statische IP-Adresse nach dem Netzwerkplan setzen
- Hostname ändern
- DNS-Eintrag vornehmen
- SSH-Server anpassen
DATEN
| Parameter | Wert | Erläuterung |
|---|---|---|
| Netzwerk (NIC) | SERVER | Interface-Zuweisung in VirtualBox |
| IP | 10.88.2XX.3 | Statische IP |
| CIDR | 24 | Classless Inter-Domain Routing Präfixlänge |
| GW | 10.88.2XX.1 | GATEWAY |
| NS | 10.88.2XX.21 | Resolver |
| FQDN | sftp.it2XX.int | Fully Qualified Domain Name |
| SHORT | sftp | Short Name |
| DOM | it2XX.int | Domain Name |
- Anpassen des Templates
sichere Datenübertragung
- SFTP benutzt das SSH-Protokoll, um die Daten zu verschlüsseln
- Daher muss nur die Konfiguration des SSH-Servers angepasst werden
- andere FTP-Arten sollten nicht mehr benutzt werden (FTP, TFTP, ...)
- Ein SFTP-Zugang für einen Gast-User soll unter /srv/sftp/gast angelegt werden
- ssh jump-host
SFTP Umsetzung
Benutzer und Heimatverzeichnis anlegen
- mkdir -pv /srv/sftp/
- groupadd sftponly
- useradd -G sftponly -d /srv/sftp/gast -s /bin/false gast
- mkdir -p /srv/sftp/gast/ablage
- chown gast:gast /srv/sftp/gast/ablage
- passwd gast
SSH Server Konfiguration
- relativ weit unten in der Standardkonfiguration von SSH wird SFTP als Subsystem aktiviert
- Dort können wir unsere Konfiguration anhängen
- vim /etc/ssh/sshd_config
... Subsystem sftp /usr/lib/openssh/sftp-server UsePAM yes Match Group sftponly ChrootDirectory /srv/sftp/%u ForceCommand internal-sftp PasswordAuthentication yes AllowTcpForwarding no ...
Angemeldete Benutzer anzeigen
- ps -ef | grep '[s]shd:.*@notty' | grep -v ^root
- notty, da SFTP-Benutzer kein Terminal haben wie per SSH angemeldete Benutzer