Installer et configurer Scponly dans CentOS

  • George Richardson
  • 0
  • 4419
  • 442

introduction

Scponly est un shell alternatif pour les administrateurs système qui souhaitent fournir un accès aux utilisateurs distants pour lire et écrire des fichiers locaux sans fournir de privilèges d'exécution à distance. Fonctionnellement, il est mieux décrit comme un wrapper à la suite d'applications ssh éprouvée. Scponly est une alternative sécurisée au FTP anonyme. Il donne à l'administrateur la possibilité de configurer un compte utilisateur sécurisé avec un accès aux fichiers distant restreint et sans accès à un shell interactif.

Une utilisation typique de scponly consiste à créer un compte semi-public. Cela permet à un administrateur de partager des fichiers de la même manière qu'une installation ftp anon, en utilisant uniquement toute la protection fournie par ssh. Ceci est particulièrement important si vous considérez que les authentifications ftp traversent les réseaux publics dans un format de texte brut.

Conditions préalables

Avant de commencer ce tutoriel, il y a quelques prérequis tels que:

  • Vous avez besoin d'un nouveau Droplet CentOS 6 ou 7.
  • Et vous devez également exécuter toutes les commandes en tant qu'utilisateur non root.

Installer et configurer Scponly

Étape 1:

Il y a 5 packages requis à installer pour construire le scponly à partir des sources, ces packages sont les suivants:

  • Wget: pour télécharger des fichiers
  • homme: pour lire les pages de manuel
  • rsync: pour fournir une copie de fichiers avancée
  • gcc: pour compiler scponly à partir des sources
  • openssh-client-tools: pour utiliser divers outils ssh

Pour installer ces packages, nous utiliserons la commande suivante:

sudo yum installer wget man rsync gcc openssh-clients -y

Étape 2:

Nous allons maintenant télécharger la dernière version de Scponly en suivant les instructions suivantes. Nous allons commencer par passer à /opter répertoire à l'aide de la commande suivante, qui est utilisée pour les logiciels optionnels:

cd / opt 

Et nous utiliserons la commande suivante pour installer la dernière version de Scponly:

sudo wget http://sourceforge.net/projects/scponly/files/scponly-snapshots/scponly-20110526.tgz 

Et pour extraire le fichier, nous utiliserons la commande suivante:

sudo tar -zxvf scponly-20110526.tgz

Étape 3:

Maintenant, après avoir téléchargé et extrait le fichier, nous allons commencer la construction de scponly en utilisant 3 commandes principales: configure, make et make install.

Nous allons passer au répertoire où se trouve le code source de scponly à l'aide de la commande suivante:

cd / opt / scponly-20110526 

Ensuite, nous utiliserons la première commande «configure» pour construire un makefile avec nos fonctionnalités sélectionnées.

Nous choisissons les options suivantes:

  • --enable-chrooté-binaire: Installe le binaire chrooté scponlyc
  • --enable-winscp-compat: Permet la compatibilité avec WinSCP, un client Windows scp / sftp
  • --enable-rsync-compat: Activer la compatibilité avec rsync, un utilitaire de copie de fichiers très polyvalent
  • --enable-scp-compat: Permet la compatibilité avec les commandes scp de style UNIX

Comme il est écrit dans la commande suivante:

sudo ./configure --enable-chrooted-binary --enable-winscp-compat --enable-rsync-compat --enable-scp-compat --with-sftp-server = / usr / libexec / openssh / sftp-server

Nous allons maintenant utiliser la deuxième commande «make» pour créer les options sélectionnées dans les binaires qui seront installés et exécutés dans votre système.

sudo faire 

Et nous installerons les binaires à l'aide de la commande suivante:

sudo faire installer 

Et nous ajouterons les shells scponly au fichier / etc / shells en utilisant la commande suivante:

sudo / bin / su -c "echo" / usr / local / bin / scponly ">> / etc / shells" 

Maintenant, nous avons ajouté un nouveau shell au système appelé scponly et nous avons localisé le binaire dans le répertoire / usr / local / bin / scponly.

Après cela, nous allons créer notre groupe appelé scponly en utilisant la commande suivante:

sudo groupadd scponly

Étape 4:

Dans cette section, nous allons créer un répertoire de téléchargement centralisé pour le groupe scponly. Cela vous permet de contrôler où et combien de données peuvent être téléchargées sur le serveur.

Créez un répertoire nommé / pub / upload ce sera un répertoire dédié aux uploads:

sudo mkdir -p / pub / upload 

Modifier la propriété du groupe du / pub / upload répertoire vers scponly:

sudo chown root: scponly / pub / upload 

L'étape suivante consiste à configurer les autorisations sur le / pub / upload annuaire. En définissant les autorisations sur ce répertoire sur 770, nous ne donnons accès qu'aux utilisateurs root et aux membres du groupe scponly.

Modifier les autorisations sur / pub / upload répertoire à lire, écrire et exécuter pour le propriétaire et le groupe et supprimer toutes les autorisations pour les autres:

sudo chmod 770 / pub / upload

Étape 5:

Pour vérifier notre configuration scponly, nous allons configurer un nouveau compte utilisateur. Nous allons donc commencer par créer un utilisateur appelé Waf_User et mentionnez scponly comme groupe alternatif et / usr / local / bin / scponly comme shell en utilisant la commande suivante:

sudo useradd -m -d / home / Waf_User -s "/ usr / local / bin / scponly" -c "Waf_User" -G scponly Waf_User 

Nous allons maintenant modifier les autorisations sur le répertoire de base de Waf_User à l'aide de la commande suivante:

sudo chmod 500 / home / Waf_User 

Et nous terminerons cette étape en ajoutant un mot de passe à notre utilisateur créé à l'aide de la commande suivante:

sudo passwd Waf_User

Étape 6:

Dans cette étape, nous vérifierons si notre shell scponly fonctionne à distance. Nous allons commencer par vérifier si notre utilisateur créé n'a pas accès au terminal. Pour ce faire, nous allons essayer de nous connecter au serveur en tant que Waf_User à l'aide de la commande suivante:

su - Waf_User 

Si vous n'y avez pas accès, appuyez sur ctrl + c pour quitter le shell scponly. Et vous pouvez également vérifier l'accès depuis votre ordinateur local à l'aide de la commande suivante:

ssh [email protected] your_IP 

Vous verrez que vous n'avez pas accès, alors appuyez à nouveau sur ctrl + c pour quitter le shell scponly.

Étape 7:

Nous allons maintenant vérifier qu'avec notre utilisateur créé, nous pouvons télécharger des fichiers. Nous allons commencer par créer un fichier de 100 Mo à l'aide de la commande suivante:

sudo fallocate -l 100m /home/Waf_User/Waf_file.img 

Nous allons maintenant changer la propriété de Waf_file.img en Waf_User à l'aide de la commande suivante:

sudo chown Waf_User: Waf_User /home/Waf_User/Waf_file.img 

Accédez ensuite au répertoire tmp à l'aide de la commande suivante:

cd / tmp 

Ensuite, nous utiliserons la commande suivante pour nous déplacer vers notre serveur:

sftp [email protected] your_IP 

Ensuite, utilisez les commandes suivantes pour télécharger le fichier:

ls -l obtenir Waf_file.img 

Une fois le téléchargement terminé, utilisez la commande quit pour quitter:

quitter 

Vérifiez que le fichier a été téléchargé avec succès avant de retourner sur votre machine locale.

ls -l fichier_waf.img

Étape 8:

Nous allons maintenant vérifier que Waf_User peut télécharger des fichiers sur le serveur en utilisant la commande sftp.

Comme à l'étape précédente, créez un fichier de 100 mégaoctets appelé Waf_upload.img en utilisant la commande suivante:

fallocate -l 100m /home/Waf_User/Waf_upload.img 

Ensuite, à partir de votre système local, connectez-vous à votre serveur à l'aide de la commande suivante:

sftp [email protected] your_IP 

Ensuite, téléchargez le fichier à l'aide de la commande suivante:

mettez Waf_upload.img / pub / upload / 

Vérifiez que le fichier a été téléchargé avec succès à l'aide de la commande suivante:

ls -ltr / pub / upload 

Vous obtiendrez quelque chose comme ceci:

-rw-r - r-- 1 Waf_User Waf_User 104857600 Juil 27 08:58 Waf_upload.img 

Et enfin, utilisez la commande quit pour quitter:

quitter 

Conclusion

Maintenant, vous avez un scponly installé et configuré dans votre système. Cet outil est un shell limité permettant aux utilisateurs d'accéder à scp / sftp et uniquement l'accès scp / sftp à votre box. De plus, vous pouvez configurer scponly chrooter l'utilisateur dans un répertoire particulier en augmentant le niveau de sécurité.

Liens source et référence:

  • Page d'accueil de Scponly
  • Océan numérique



Personne n'a encore commenté ce post.