SFTP Server Hjälp Linux Mint

Sftp = det är INTE ftp, det är ett protokoll som finns i bla openssh. Ska du ha datorn publik, dvs på internet? Finns andra alternativ där du slipper exponera ssh. Ska du bara ha lokalt är det bara köra.

Du behöver inte göra någonting mer än se till att aktivera ssh så är det klart. Användare gör du vanliga linux användare.

Viktigt att förstå att sftp INTE är som ftp, vissa tror det är 'säker ftp' vilket är helt feltänkt.

Bör vara bättre för dig att bara använda ftp..
Skickades från m.sweclockers.com

eller så kör han sftp men bara via vpn, funkar klockers sen går de väl att låsa ner konton så dom bara kan ansluta via sftp?

uhm, ja du vill sätta upp virtuella mountpoints.
/srv/ftproot

sen mountar du diskarna t.ex:
/srv/ftproot/disk1
/srv/ftproot/disk2
osv.. och till användaren sen har du gett access till /srv/ftproot

(enkelt exempel)

Vad exakt vill du uppnå, att dessa åtta lagringsdiskar av systemet ses som ett enhetligt lagringsutrymme, eller att ftp-användaren ska ha tillgång till alla diskarna separat?

Konfigurationen för vsftp är att användaren befinner sig i chroot och har alltså inte access till hela systemet. Ändra helst inte detta. Det finns olika vägar att gå det nu är så att dina lagringsdiskar ska uppfattas som en enhetlig yta.

Du behöver nog berätta lite mer om vad för konfiguration du vill ha. Generellt kan LVM vara den bästa vägen att gå om du vill göra en enda stor lagringsyta av flera enheter/partitioner. LVM innebär dock en konfiguration generellt och inte bara för hur det ser ut inloggad mot vsftp-servern.

Om det bara gäller gäller någon extra mapp, ja då finns även möjligheter att använda "mount --bind" (kan säkert via Google få en del träffar på "multiple directories vsftp mount --bind").

vsftpd kan vara ett smärre helsike att sätta upp om man inte har koll på allt kring det.

Kan slänga upp en instruktion för hur du sätter upp en SFTP-server med "chroot-jail" när jag slutat jobbet.

"Chroot-jail" kommer innebära att du, med vanligt användarkonto, inte kommer att kunna ssh:a till servern, via kommandoprompt, utan enbart använda den som SFTP (Ej FTP/FTPS). En SFTP-anslutning innebär att kommunikationen mellan enheterna krypteras.

https://en.wikipedia.org/wiki/SSH_File_Transfer_Protocol

Kommer att posta guiden här så om någon har synpunkter eller förslag på förbättringar så får folk gärna ventilera sina åsikter.

Guide för SFTP-server med s.k. chroot-jail:
Guiden är skriven/testad på en Ubuntu server (16.04 LTS), men bör funka lika väl på en vanlig Ubuntu Desktop om man så vill.

**************
Noteringar:

Kom ihåg att Linux ÄR case-sensitive, dvs. systemet gör skillnad på versaler och gemener.
Så om guiden förklarar ett kommando ex. sudo apt install openssh-server måste det skrivas exakt så; t.ex. fungerar inte sudo apt install OpenSSH-Server -det sista kommer inte att fungera!

apt vs. apt-get
'apt' är ett front-end till 'apt-get' så du kan använda vilket som när du utför kommandona i Ubuntu Linux.

Guiden antar att användaren med sudo-rättigheter heter 'sudokonto' -du använder givetvis det konto som du själv skapat när du installerade servern.
'sudokonto' är bara ett namnexempel för denna guide.

Guiden antar att användaren som skall hamna i chroot-jailet är 'testkonto' -du väljer ett eget namn för användaren på ditt system.
'testkonto' är bara ett namnexempel för denna guide.

/sftp/users är bara ett exempel, du kan lägga mappen för jailet vart som helst, t.ex. annan disk, så länge endast root-kontot har exklusiv åtkomst till toppnivån av filsystemet. (Här kan man inte tänka helt i Windows banor)

**************

Installera openssh-server: (detta är nödvändigt för att kunna använda sig av ssh/sftp mot servern)

sudo apt install openssh-server

****************
Nedan steg, att byta ssh port, är frivilligt men helt klart rekommenderat om du skall ha servern exponerad mot internet:
-Främsta anledningen till att du vill göra detta är p.g.a. botnets och annat mög som skannar nät och ip-adresser efter default porten för ssh (22), om den ser att porten är öppen kan den påbörja lösenordsattacker mot porten, har något konto på servern ett riktigt enkelt lösenord så kan det bli knäckt relativt snabbt.

Byt standard SSH-port:

sudo nano /etc/ssh/sshd_config

-Byt portnummer där det står "Port 22" till det portnummer du vill använda för ssh (e.g. 2222)

-Kör sedan:

sudo service ssh restart

När du sedan ansluter mot servern via ssh/sftp kommer du att få utföra nedan kommando, då porten nu är bytt till '2222'.

ssh -p 2222 sudokonto@192.168.10.xxx
****************

Steg 1:

Skapa en serverfolder, ett användarkonto och ett 'chroot-jail' för användaren:

För att nedan instruktioner skall fungera måste root-kontot äga alla ovanliggande mappar/mappnivåer, du kan inte låta andra grupper/användare ha skrivrättigheter ovan själva mappen som är bas för jailet, om du har det resulterar det i en "broken pipe":

I nedan exempel måste alltså root vara ägaren samt vara det enda konto med 'write access' till /sftp/users

Skapa en folder-struktur som skall användas som chroot-jail:

sudo mkdir /sftp/

sudo mkdir /sftp/users/

sudo mkdir /sftp/users/testuser

Skapa en användare som skall ha sin hemkatalog (startpunkt) under ovan uppskapad mapp. Användaren kommer alltså vid SFTP-inloggning att hamna i mappen: /sftp/users/testuser

sudo useradd -d /sftp/users/testuser -M -N -g users testuser

Ge root ägandeskap över ovanliggande mappar/mappnivåer:

sudo chown root:root /sftp/users/testuser

Ge fulla rättigheter åt ägare (root) läs/skrivrättigheter till grupp (root) samt ge läs/skrivrättigheter till övriga i mappen 'testuser'

sudo chmod 755 /sftp/users/testuser

skapa ett lösenord för användaren (om det inte redan är gjort)

sudo passwd testuser

Steg 2:

Nästa steg är att konfigurera sshd_config filen för att göra ett chroot-jail:

Byt subsystem i /etc/ssh/sshd_config:

sudo nano /etc/ssh/sshd_config

Kommentera bort 'Subsystem sftp /usr/lib/openssh/sftp-server' likt nedan och lägg till 'Subsystem sftp internal-sftp'

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

...skapa en användarsektion för 'testuser' längst ned i filen: (kort beskrivning av vad nedan sektion gör är att den matchar användarkontot som försöker logga på och tvingar det att ansluta i sftp-läge i mappen som du definierar '/sftp/users/testuser' (vilket också är dess hemkatalog) server blockerar försök att ansluta via ssh (kommandotolk) för användarkontot samt blockerar grafisk tunnling via X11, vidare tillåter den inte att användaren går högre upp i filträdet än katalogen för sökvägen som definierats.

Match User testuser
ChrootDirectory /sftp/users/testuser
ForceCommand internal-sftp
AllowTCPForwarding no
X11Forwarding no

Spara och stäng filen sshd_config genom tangentkombinationen: Ctrl+X
nano komer fråga dig om du vill spara ändringar gjorda till filen, svara Y
Bekräfta Y genom ett Enter-slag.

Starta om ssh-servertjänsten:

sudo service ssh restart

Servern skall nu vara igång med chroot-jail aktivt. Det skadar aldrig att vara säker så man kan försöka att ansluta till servern via ssh ex. putty eller via annan unix/linux terminal, detta skall inte gå alls.
Enbart SFTP anslutning skall beviljas från servern ex. via FileZilla eller Kodi.
Värt att nämna är att du i FileZilla behöver specificera sftp://<serveradress> om du bytt standardporten för ssh.

*Ytterligare värt att notera: användaren 'testuser' kan ej skapa mappar under /sftp/users/testuser så om du vill ge användar kontot rättigheter till det måste du skapa en mapp för användaren där ex. upload som i det fallet skulle bli: /sftp/users/testuser/upload

sudo mkdir /sftp/users/testuser/upload

Därefter måste du ge användaren ägandeskap till mappen:

sudo chown testuser:users

..samt rättighet att läsa/skriva i den t.ex:

sudo chmod 600 /sftp/users/testuser/upload

En bra chart för att se vad chmod kan åstadkomma finner du här:
http://wiki.kartbuilding.net/index.php/Chmod

Edit, har snyggat till guiden med lite markeringar och annat, samt rättat en tankevurpa gällande uppskapandet av chroot folder-strukturen.

Märkte för sent att jag lyckats med ett par ärkefel till i citatet ovan... nedan är rättad text*

*Ytterligare värt att notera: användaren 'testuser' kan ej skapa mappar under /sftp/users/testuser så om du vill ge användar kontot rättigheter till det måste du skapa en mapp för användaren där ex. upload som i det fallet skulle bli: /sftp/users/testuser/upload

sudo mkdir /sftp/users/testuser/upload

Därefter måste du ge användaren ägandeskap till mappen:

sudo chown testuser:users /sftp/users/testuser/upload

..samt rättighet att läsa/skriva i den t.ex:

sudo chmod 700 /sftp/users/testuser/upload

Självklart kan man låta användaren "testuser" logga in i systemet också via SSH, men det är en säkerhetsrisk och absolut inte rekommenderat.
Som tidigare påpekats är SSH en protokoll som tjänar flera ändamål.
Det din server gör i nuläget är att tillåta testuser att logga in lokalt till servern, men inte remote till servern via SSH, det säkerställer att testuser enbart kan använda SFTP-delen i det fall att den autentiseras remote. (Däremot kan andra användare på systemet fortfarande logga in via SSH som vanligt och både använda kommandotolk samt SFTP-delen.)
Det är filen 'sshd_config', där sektionen du skapade som matchar mot användar-ID, som hanterar funktionen -att enbart SFTP skall vara tillgängligt för ett visst användar-ID.
Så i mitt exempel skall t.ex. 'sudokonto' fortfarande kunna nyttja SSH och SFTP obehindrat.

Tillåter man SSH för konton som enbart skyddas med t.ex. ett klent lösenord, kan man nästintill vara säkert på att det knäcks inom en snar framtid. Speciellt om det är exponerat mot internet över standard port "22".

Om du vill ha en säkrare autentisering skulle jag föreslå att du kikar vidare på 'fattigmansvpn' som @It-nisse beskrev i sitt inlägg.
Det kräver att användaren som ansluter till SFTP-servern har ett certifikat som godkänns av din SFTP-server.
Således kommer inga andra än innehavare av certifikatet in på servern.

Är inte helt hundra på att det du beskriver är särskilt vettigt, men jag har för mig att man i fstab, som <options>, kan ange vad som skall hända som ett fel uppstår ex.

UUID=blablabla /var/filsytemet/monteras auto errors=remount-ro 0 0"

Just detta kommando talar dock bara om för systemet att om fel påträffas, -montera då filsystemet i Read-Only-mode- vilket förhindrar att förändringar skrivs till filsystemet.
Om det fungerar som en slags lösning på ditt problem är jag dock osäker på.