{"id":2435,"date":"2017-11-08T06:08:01","date_gmt":"2017-11-08T06:08:01","guid":{"rendered":"https:\/\/esferas.org\/msqlu\/?p=2435"},"modified":"2017-11-20T12:03:50","modified_gmt":"2017-11-20T12:03:50","slug":"sftp-y-chroot-trabajando-juntos","status":"publish","type":"post","link":"https:\/\/esferas.org\/msqlu\/2017\/11\/08\/sftp-y-chroot-trabajando-juntos\/","title":{"rendered":"sftp y chroot trabajando juntos"},"content":{"rendered":"

Ayer tuve que enfrentarme a uno de esos problemas t\u00e9cnicos que hab\u00eda aparcado tiempo atr\u00e1s, un poco defraudado cuando lo encontr\u00e9 por primera vez, y que ya puedo decir que funciona y entiendo.<\/p>\n

<\/p>\n

El problema consist\u00eda en lo siguiente: la empresa va a contratar la instalaci\u00f3n de un programa web a una persona externa. \u00c9sta necesita acceso libre a ciertas carpetas que, al mismo tiempo, tienen que ser accesibles por el servidor web.<\/p>\n

El programa se llama prestashop<\/em> y el entorno de trabajo una m\u00e1quina Debian con Apache como servidor de p\u00e1ginas y programas.<\/p>\n

Acceso seguro a una parte del \u00e1rbol de archivos<\/h3>\n

Lo primero es crear una cuenta de usuario en el sistema lo m\u00e1s limitada posible.<\/p>\n

$ sudo adduser --no-create-home --home \/tmp --shell \/bin\/false --ingroup www-data prestashop\r\n...\r\n$ getent passwd prestashop\r\nprestashop:x:1001:33:Instalador Prestashop,,,:\/tmp:\/bin\/false\r\n$ \r\n<\/pre>\n
Despu\u00e9s creamos un directorio con propiedad completa de root (toda la ruta) y donde anclaremos las conexiones entrantes v\u00eda sftp<\/em> del grupo del usuario.<\/p>\n
$ sudo install -d -o root -g root -m 0755 \/chroot\/prestashop<\/pre>\n
Y, por \u00faltimo, toca configurar el servidor sshd<\/em> para que acepte conexiones sftp<\/em> limitadas al grupo del usuario especial:<\/p>\n
Subsystem sftp \/usr\/lib\/openssh\/sftp-server -u 0002\r\n\r\nUsePAM yes\r\nMatch Group www-data\r\n        ChrootDirectory \/chroot\r\n        AllowTCPForwarding no\r\n        X11Forwarding no\r\n        ForceCommand internal-sftp\r\n<\/pre>\n
Esto es:<\/p>\n
    \n
  1. Habilitamos el servidor interno sftp<\/em> (con la m\u00e1scara de usuario intentando que sea 0002).<\/li>\n
  2. Le indicamos que emplee PAM como mecanismo de validaci\u00f3n de credenciales.<\/li>\n
  3. Establecemos condiciones especiales para las conexiones del grupo www-data:<\/em>\n
      \n
    1. Enjaulamos la conexi\u00f3n al directorio \/chroot<\/code> .<\/li>\n
    2. Impedimos reenv\u00edos varios de X11 y TCP<\/li>\n
    3. Forzamos a emplear s\u00f3lo el ftp seguro interno.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n
      Esto funciona excepto por un detalle: la m\u00e1scara de usuario no queda correctamente establecida. Para ello vamos a a\u00f1adir una modificaci\u00f3n extra en el sistema: Editamos el archivo \/etc\/pam.d\/sshd<\/code> y a\u00f1adimos la siguiente cla\u00fasula:<\/p>\n
      session optional pam_umask.so umask=0002<\/pre>\n
      La explicaci\u00f3n es que el programa internal-sftp<\/code> no lee ninguno de los archivos de inicio de sesi\u00f3n (profile,login,rc,…) dado que no ejecuta ning\u00fan shell<\/em>. Pero como emplea PAM para validar las credenciales s\u00ed que har\u00e1 uso de esta caracter\u00edstica.<\/p>\n
      Afinando el directorio inicial<\/h3>\n
      En la configuraci\u00f3n que vemos hasta ahora el usuario se encuentra con un paso previo para acceder a su espacio: debe cambiar al directorio prestashop<\/em> o usarlo como ruta relativa al transferir informaci\u00f3n. No es bonito y muestra m\u00e1s de lo que debiera.<\/p>\n
      Mirando un poco m\u00e1s la documentaci\u00f3n que anoto al final del art\u00edculo veo que es posible enjaular la conexi\u00f3n y darle ese toque profesional; para ello es necesario indicar al servidor ssh<\/em> que el directorio jaula es \/chroot<\/em> pero que debe iniciar un servidor interno en el directorio de trabajo del usuario.<\/p>\n
      Subsystem sftp \/usr\/lib\/openssh\/sftp-server -u 0002\r\n\r\nMatch Group www-data\r\n        ChrootDirectory \/chroot\r\n        ...\r\n        ForceCommand internal-sftp -d %u\r\n<\/pre>\n
      Es necesario crear entonces el directorio \/chroot\/prestashop<\/em> con los permisos adecuados para que el usuario pueda trabajar con comodidad:<\/p>\n
      $ sudo install -d -o prestashop -g www-data -m 6760 \/chmod\/prestashop<\/pre>\n
      Integraci\u00f3n con el servidor web<\/h3>\n
      Por ahora tenemos un directorio\u00a0\/chroot\/prestashop<\/code> donde nuestro usuario externo puede escribir con libertad, y donde todo queda de manera predeterminada con los siguientes permisos:<\/p>\n
      root@catalogo:\/chroot# tree -pug\r\n.\r\n\u2514\u2500\u2500 [drwxrwsrwx root     www-data]  prestashop\r\n    \u2514\u2500\u2500 [drwxrwsr-x prestashop www-data]  Pruebas\r\n        \u251c\u2500\u2500 [-rw-rw-r-- prestashop www-data]  116981263_70d591cee5.jpg\r\n        \u2514\u2500\u2500 [-rw-rw-r-- prestashop www-data]  16789084225_c284b59b59.jpg\r\n\r\n2 directories, 2 files\r\nroot@catalogo:\/chroot# \r\n<\/pre>\n
      El propietario es prestashop<\/em>, el grupo es www-data<\/em> y los permisos son de lectura, escritura y paso para propietario y grupo en directorios y lectura y escritura para usuario y grupo en archivos.<\/p>\n
      Es decir, el servidor web tiene acceso para servir el contenido e incluso para modificarlo llegado el presumible caso de tener que actualizar la propia aplicaci\u00f3n.<\/p>\n
      As\u00ed que podemos situar el directorio como el ra\u00edz para el propio servidor web, empleando la directiva DocumentRoot<\/code><\/code>, pero \u00bf y si tenemos que integrarla en un \u00e1rbol m\u00e1s complejo ?<\/p>\n
      Suponiendo que nuestra instalaci\u00f3n contemple varios servidores virtuales en una ra\u00edz como la siguiente:<\/p>\n
      \/var\/www\/wordpress\r\n\/var\/www\/html\/server1.com\r\n\/var\/www\/html\/server2.com\r\n\/var\/www\/html\/prestashop<\/pre>\n
      Nos encontramos con que no podemos hacer que toda la ruta previa sea propiedad exclusivamente de root<\/em>, ni excluir a cualquier otro grupo del acceso a esa parte del \u00e1rbol.<\/p>\n
      Una soluci\u00f3n pr\u00e1ctica consiste en a\u00f1adir el directorio jaula a nuestro \u00e1rbol con un montaje de tipo bind<\/a> de manera que ninguna de las dos partes sospeche nada raro.<\/p>\n
      $ sudo mount -o bind \/chroot\/prestashop \/var\/www\/html\/prestashop<\/pre>\n
      y despu\u00e9s hacerlo fijo en el arranque del sistema a\u00f1adiendo lo siguiente a la tabla de montajes (\/etc\/fstab<\/code> ):<\/p>\n
      \/chroot\/prestashop \/var\/www\/html\/prestashop none defaults,bind 0 1\r\n<\/pre>\n
       <\/p>\n
      <\/code><\/p>\n
      Enlaces y referencias<\/h3>\n