Tutorial

Usuarios sftp enjaulados con logs para registro de eventos

PorMarcos mayo 16, 2020septiembre 17, 2020

Escenario

Un cliente nos pide que montemos un servidor FTP para que nos pueda hacer llegar periódimante ficheros con datos. La máquina en la que vamos a configurarlo corre en un ubuntu server 18.04. y tiene instalado un openssh-server.

Requisitos

Debe utilizar el protocolo SFTP, que ofrece las funcionalidades de FTP sobre el protocolo SSH.
El usuario debe de estar enjaulado (chroot) en su home, no pudiendo acceder a ningún directorio fuera de esta
Debe registrarse la actividad del usuario FTP

Implementación

Usuarios sftp

Lo primero creamos un grupo para los usuarios que vayan a usar el servicio SFTP.

$ sudo groupadd sftp

1	$ sudo groupadd sftp

Ahora creamos los usuarios y los asignamos a ese grupo:

$ GROUPID=$(getent group sftp | cut -d: -f3)
$ sudo useradd usuario1 -d /var/ftp/usuario1 -g sftp -M -N -o -u $GROUPID
$ sudo useradd usuario2 -d /var/ftp/usuario2 -g sftp -M -N -o -u $GROUPID

$ GROUPID=$(getent group sftp | cut -d: -f3)

$ sudo useradd usuario1 -d /var/ftp/usuario1 -g sftp -M -N -o -u $GROUPID

$ sudo useradd usuario2 -d /var/ftp/usuario2 -g sftp -M -N -o -u $GROUPID

Por supuesto, si no existen creamos los directorios:

$ sudo mkdir -m2755 /var/ftp/usuario1
$ sudo mkdir -m2755 /var/ftp/usuario2

1 2	$ sudo mkdir -m2755 /var/ftp/usuario1 $ sudo mkdir -m2755 /var/ftp/usuario2

El propietatio de estos directorios y los que estén por encima, ha de ser root:root y estos no pueden ser modificados por ningún otro usuario

Y no olvidemos asignar las contraseñas:

$ sudo passwd usuario1
$ sudo passwd usuario2

1 2	$ sudo passwd usuario1 $ sudo passwd usuario2

Configuración de SSHD

Vamos a editar /etc/ssh/sshd_config para que el demonio de SSHD reconozca y gestione adecuadamente los usuarios del grupo sftp: Lo primero cambiamos la línea que define el Subsystem sftp:

# Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

1 2	# Subsystem sftp /usr/lib/openssh/sftp-server Subsystem sftp internal-sftp

Y, al final del fichero de configuración añadimos:

Match Group sftp
  ChrootDirectory %h
  X11Forwarding no
  AllowTcpForwarding no
  ForceCommand internal-sftp -f LOCAL7 -l INFO

Match Group sftp

ChrootDirectory %h

X11Forwarding no

AllowTcpForwarding no

ForceCommand internal-sftp -f LOCAL7 -l INFO

Los registros

Por defecto no vas a ver ningún registro para la actividad del sftp, solo los habituales de sshd «session opened» y «session closed» en /var/log/auth.log El problema es que como los usuarios del grupo sftp están «enjaulados» en su propio directorio, no tienen acceso para escribir en los registros del sistema. De modo que hay crear un socket en su propio directorio para encauzar los registros al nuevo fichero de registro sftp.log. Primero creamos un directorio /dev en cada una de las home de los usuarios sftp:

$ sudo mkdir -m2755 ~usuario1/dev
$ sudo mkdir -m2755 ~usuario2/dev

1 2	$ sudo mkdir -m2755 ~usuario1/dev $ sudo mkdir -m2755 ~usuario2/dev

Ahora configuramos rsyslog para que genere los registros creando el fichero /etc/rsyslog.d/60-sftp.conf con este contenido:

# Crea un socket de los directorios enjaulados para permitir el logging
$AddUnixListenSocket /var/ftp/usuario1/dev/log
$AddUnixListenSocket /var/ftp/usuario2/dev/log

# Parsea los registros de nivel INFO y LOCAL7 en /var/log/sftp.log
LOCAL7.info /var/log/sftp.log

# Registra logins and logoffs
:syslogtag,startswith,"sftp-server" /var/log/sftp.log

# Crea un socket de los directorios enjaulados para permitir el logging

$AddUnixListenSocket /var/ftp/usuario1/dev/log

$AddUnixListenSocket /var/ftp/usuario2/dev/log

# Parsea los registros de nivel INFO y LOCAL7 en /var/log/sftp.log

LOCAL7.info /var/log/sftp.log

# Registra logins and logoffs

:syslogtag,startswith,"sftp-server" /var/log/sftp.log

Por último reiniciamos los servicios implicados:

$ sudo service ssh restart && sudo service rsyslog restart

1	$ sudo service ssh restart && sudo service rsyslog restart

Consejos | Hacks

Confirmación antes de apagar
PorMarcos abril 30, 2022mayo 1, 2022

Escenario ¿Nunca te ha pasado de arrepentirte de pulsar la tecla intro después de teclear «shutdown» o «reboot»? Problema A mí sí, y si el comando en cuestión es «shutdown» más todavía. Estaría bien que antes de ejecutarse un apagado o inicio, me pidieran confirmación. Solución Para que así sea, basta con seguir estos pasos….

Leer más Confirmación antes de apagar
Consejos | Psicología

Código espagueti emocional: cuando tu software necesita terapia
PorMarcos abril 30, 2025mayo 7, 2025

Una personalidad controladora sufre si las cosas no salen como quiere. Si le salen bien, sufren los demás. Así, sin quererlo, se me ha ocurrido una metáfora para ilustrar este tipo de comportamiento: el código espagueti emocional. Sin comerlo ni beberlo, un buen día me tocó adoptar un código salvaje de varios miles de líneas,…

Leer más Código espagueti emocional: cuando tu software necesita terapia
Cómo

Can’t connect to local MySQL server through socket
PorMarcos octubre 22, 2018septiembre 13, 2020

Escenario No conseguimos conectarnos al servidor de mysql desde la propia máquina, pero sí remotamente. Cuando el cliente de MySQL se conecta a localhost, lo intenta usando un fichero socket en vez de el protocolo TCP/IP. Una manera pues de solucionar el problema es especificando la IP del host: mysql -uroot -p -h 127.0.0.1 Para solucionarlo de manera permanente,…

Leer más Can’t connect to local MySQL server through socket
Cómo | Tutorial

Cómo ampliar el espacio en disco en 1and1
PorMarcos julio 22, 2016septiembre 13, 2020

Escenario Hemos contratado un servidor dedicado en 1and1 (ubuntu 14.04) y al acceder por ssh constatamos que no disponemos de todo el espacio en disco disponible: $ df -hFilesystem Size Used Avail Use% Mounted onudev 3.9G 4.0K 3.9G 1% /devtmpfs 798M 592K 797M 1% /run/dev/md1 4.0G 990M 3.0G 25% /none 4.0K 0 4.0K 0% /sys/fs/cgroupnone 5.0M 0 5.0M 0% /run/locknone 3.9G 0 3.9G 0% /run/shmnone 100M 0 100M 0% /run/user/dev/mapper/vg00-usr 4.8G 1.3G 3.3G 28% /usr/dev/mapper/vg00-var 4.8G 812M 3.8G 18% /var/dev/mapper/vg00-home 4.8G 10M 4.6G 1% /home Objetivo Aumentar el espacio disponible para dar cabida a nuestros recursos. Solución Nota: sólo aplicable a sistemas linux Primer paso Comprobamos el espacio en disco real: ~$ sudo fdisk -lDisk /dev/sda: 240.1 GB, 240057409536 bytes255 heads, 63 sectors/track, 29185 cylinders, total 468862128 sectorsUnits = sectors of 1 * 512 = 512 bytesSector size (logical/physical): 512 bytes / 4096 bytesI/O size (minimum/optimal): 4096 bytes / 4096 bytesDisk identifier: 0x24e3fc12 Device Boot Start End Blocks Id System/dev/sda1 2048 8390655 4194304 fd Linux raid autodetect/dev/sda2 8390656 12584959 2097152 82 Linux swap / Solaris/dev/sda3 12584960 468862127 228138584 fd Linux raid autodetect Segundo…

Leer más Cómo ampliar el espacio en disco en 1and1
Tutorial

Despliegue aplicación Spring Boot
PorMarcos octubre 28, 2019octubre 28, 2019

Escenario Queremos desplegar en la nube una aplicación desarrollada con Spring Boot cuyo código está bajo control de versiones. Para este artículo usaremos ubuntu 16.04 y java 8, pero el procedimiento debería ser el mismo con versiones más actuales. Problema Ninguno. Realmente es sencillo desplegar una aplicación de este tipo si se dispone de las…

Leer más Despliegue aplicación Spring Boot
Tutorial

Instalando EAC en Ubuntu
PorMarcos febrero 4, 2014septiembre 13, 2020

Para ser más concretos en Ubuntu 12.04. Ahí van los pasos: Para estar a la última me he instalo lo más nuevecito (hasta la fecha) de wine, en dos pasos: 1. Añadimos la fuente siguiente a nuestro repositorio: $ sudo add-apt-repository ppa:ubuntu-wine/ppa 2. El consabido: $ sudo apt-get update 3. seguido de un: $ sudo apt-get install wine1.7 4. Antes de proseguir configuramos mínimamente wine:…

Leer más Instalando EAC en Ubuntu