Настройка sftp centos 7
SFTP удобное и безопасное подключение к файлам ресурса используя ssh. Инструкцию можно использовать для любых систем Linux. Отличие только в командах на перезапуск сервисов Nginx, Php-fpm, SSH и путях к файлам настройки.
Введение
Ранее я использовал для работы с файлами сайтов программу ProFTP, но отказался в пользу SFTP из за более стабильной работы и простоты настройки. Настройка показана на примере CentOS 7.
С статье на сайте можете узнать про настройку доступа по FTP к сайтам на сервере VDS под управлением CentOS 7 используя программу ProFTPd. Создание файловой базы пользователей для авторизации с правами от Nginx. Подключение с использованием сертификата для TLS.
Добавление пользователя
Создадим пользователя которому дадим права на файлы ресурса. Удобно использовать имя пользователя пересекающееся с названием сайта.
Настройка SSH для SFTP
Открываем конфигурационный файл ssh находящийся по пути /etc/ssh/sshd_config. Комментируем один параметр и добавим необходимый код:
Перезапускаем службу sshd:
Доступ к файлам ресурса уже есть и можно подключатся, но могут возникнуть проблемы с правами. Ниже я расскажу как избежать проблем связанных с правами на файлы.
Настройка прав на данные
Назначаем владельцем содержимого сайта пользователя которого мы создали выше:
Возвращаем обратно рута владельцем корня chroot:
Внимание! Сначала мы рекурсивно назначаем права на все содержимое директорий, а потом возвращаем владельца root на корень сайта.
Только в таком варианте все будет корректно работать!
Для безопасности запретим пользователю редактировать папку log.
Редактирование будет возможно только в папке WWW где находятся все файлы сайта!
Перед выполнением следующего этапа лучше проверить подключение. В случае проблем с подключением смотрим лог выведя последние 10 строчек:
Настройка Logrotate для сайтов
Для просмотра логом сайтов используя подключение по sftp необходимо создать файл со следующим кодом (на основе скопированного файла nginx):
Сохраним и применим изменения без перезагрузки:
Настройка PHP-FPM
Осталось указать нужный параметр в настройки хоста для nginx.
Откроем необходимый файл и внесём необходимую настройку:
Проверим правильность настройки Nginx и перезагрузим необходимые сервисы:
Детальнейшую работу с файлами, для избежания проблем с правами на файлы, лучше осуществлять используя программу для подключения по SFTP.
Вывод
В результате настроек мы получаем защищённый и удобный доступ для работы с файлами ресурса. Для работы я использую программу FileZilla.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Понравилась статья? Поделитесь ей с друзьями! Пожалуйста, оставляйте свои комментарииЧитая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.
5 комментариев для статьи “ SFTP настройка для веб хостинга ”
А если у меня один сайт на сервере, я могу назначить владельцем папки с сайтом пользователя nginx и заходить по sftp из под него?
Теоретически возможно. Вероятно придется делать какие то настройки пользователю nginx. Для надежности я бы не стал это делать. Использую способ указанный в статье SFTP настройка для веб хостинга.
Именно в этом и дело 🙂
А нет случаем статьи заменяем сервер active directory на calculate linux? В связи с планируемым переходом в гос. секторе на Российское п.о. это статья помогла бы очень многим. Уже какой день бьюсь что бы настроить тестовую станцию на calculate со всеми возможностями но дело идёт туго 😀
Добавить комментарий Отменить ответ
Метки
Реклама
Советую
Реклама
Комментарии
Вместо CentOS (для меня теперь это Fedora2) будет Rocky Linux :)
Теперь все статьи с Rocky будут?
Деже не надеюсь. Знаю что так и будет!
Хорошее руководство получилось. Надеюсь, Rocky Linux получит такое же распространение, как и Centos.
Ставил. Для моей версии там только контроль параметров и максимум можно запустить тест.
В настройках программы есть возможность серверам по ssh отправлять любые команды.
Sftp (SSH или Secure file transfer protocol). Вместо того чтобы использовать VSFTPD можно использовать SFTP, Sftp является единственным безопасным способом для передачи/отправки по сравнению с VSFTPD. Sftp выполняет все операции по зашифрованному SSH соединению. Если пользователь разрешил доступ только к своим файлам без доступа SSH, то можно создать CHROOT для пользователя.
Я для примера, возьму готовый мой сервер на CentOS 7 и покажу как можно настроить sFTP на нем. По мере необходимости, я буду дополнять данную статью настройками для других Unix/Linux ОС.
Данные на котором будет тестироваться sFTP:
Можно проверить следующими командами:
CentOS 7/ RedHat 7:
Создание группы (group) для SFTP
Для начала, обновим ОС:
PS: Если не установлен SSH на сервере ( у меня он уже установлен), то нужно установить следующий пакет:
Во-первых, необходимо создать группу для SFTP:
Устанавливаем ему пароль:
Затем, вносим созданного пользователя в созданную SFTP группу:
Так делать не стоит! Потому что, данный пользователь получит SSH доступ на сервер, а нам нужно только дать данному юзеру sFTP доступ, по этому, делаем следующее:
Если вы собираетесь использовать FTP и SFTP на том же самом сервере, вы должны следовать шагам что выше при создании пользователей. Для существующих пользователей, необходимо выполнить условия ниже:
Настройка Sftp
Отредактируем sshd_config для настройки SFTP:
Ищем строку ( у меня это 147-148) и комментируем следующую строку:
И заменяем на следующую строку:
Добавьте следующие строки в конец файла:
Перезапускаем службу ssh демона:
Проверяем SFTP соединение:
И проверяем не разрешено ssh соединение для пользователя:
Выше мы можете видеть что пользователь sftp_user_1 определен только SFTP, он не может получить доступ к SSH.
Вот готовый скрипт:
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.
Чтобы развернуть нужную инфраструктуру, следуйте инструкциям:
- Подготовьте облако к работе.
- Создайте виртуальную машину для SFTP-сервера.
- Настройте SFTP-сервер.
- Создайте SFTP-пользователя.
- Создайте виртуальную машину для SFTP-клиента.
- Сделайте бэкап конфигурационных файлов на SFTP-сервер.
- Настройте расписание для бэкапа.
- Проверьте работоспособность бэкапа.
- Восстановите настройки из бэкапа.
- Проверьте корректность восстановления.
- Удалите созданные облачные ресурсы.
Подготовьте облако к работе
Перед тем, как разворачивать сервер, нужно зарегистрироваться в Yandex.Cloud и создать платежный аккаунт:
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша виртуальная машина. Перейдите на страницу облака и выберите или создайте каталог, в котором вы хотите создать виртуальную машину для вашего сервера. Подробнее об иерархии ресурсов Yandex.Cloud.
Необходимые платные ресурсы
В стоимость инфраструктуры для примера входит:
- плата за две постоянно запущенные ВМ (см. тарифы Yandex Compute Cloud):
- виртуальная машина для SFTP-клиента;
- виртуальная машина для SFTP-сервера.
Создайте виртуальную машину для SFTP-сервера
Чтобы создать виртуальную машину:
На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите пункт Виртуальная машина.
В поле Имя введите имя виртуальной машины, например sftp-server.
Выберите зону доступности, в которой должна находиться виртуальная машина.
В блоке Образы из Cloud Marketplace выберите образ Centos 7.
В блоке Вычислительные ресурсы выберите следующую конфигурацию:
В блоке Сетевые настройки выберите сеть и подсеть, к которым нужно подключить виртуальную машину. Если нужной сети или подсети еще нет, вы можете создать их на странице создания виртуальной машины.
В поле Публичный адрес оставьте значение Автоматически, чтобы назначить виртуальной машине случайный внешний IP-адрес из пула Yandex.Cloud. Чтобы внешний IP-адрес не изменялся после остановки виртуальной машины, сделайте его статическим.
Укажите данные для доступа на виртуальную машину:
- В поле Логин введите имя пользователя.
- В поле SSH-ключ вставьте содержимое файла открытого ключа. Пару ключей для подключения по SSH необходимо создать самостоятельно, см. раздел о подключении к виртуальным машинам по SSH.
IP-адрес и имя хоста (FQDN) для подключения к машине будут назначены ей при создании. Если вы выбрали вариант Без адреса в поле Публичный адрес, вы не сможете обращаться к виртуальной машине из интернета.
Создание виртуальной машины может занять несколько минут.
Настройте SFTP-сервер
Функционал SFTP-сервера включен в стандартную программу SSH, которая поставляется с дистрибутивом Centos 7. Для настройки SFTP-сервера отредактируйте конфигурационный файл /etc/ssh/sshd_config:
Откройте конфигурационный файл в редакторе vi. Этот редактор поставляется с дистрибутивом и не требует установки. Если вы не знакомы с этим редактором, то подробности вы можете узнать в официальной документации.
Добавьте следующие строчки в конец файла:
Match User fuser ForceCommand internal-sftp PasswordAuthentication no ChrootDirectory /var/sftp PermitTunnel no AllowAgentForwarding no AllowTcpForwarding no X11Forwarding no
Выведите конфигурационный файл без закомментированных и пустых строк:
Убедитесь, что вывод предыдущей команды совпадает с данными строками:
Перезагрузите SFTP-сервис, чтобы настройки вступили в силу:
Создайте группу для SFTP-пользователей:
Создайте папки для сохранения файлов:
$ sudo mkdir -p /var/sftp/backups
Установите разрешения на папки таким образом, чтобы все пользователи, входящие в состав группы ftpusers могли записывать и читать файлы на SFTP-сервере:
Проверьте корректность выставленных разрешений:
$ ls -la /var | grep sftp $ ls -la /var/sftp
Результат должен быть следующим:
Создайте SFTP-пользователя
Создайте SFTP-пользователя, например fuser:
Создайте пароль для SFTP-пользователя
Создайте SSH-ключи для пользователя fuser. Команда должна выполняться от имени пользователя fuser:
Процесс генерации ключа приведен ниже. Поле passphrase оставьте пустым.
Создайте файл для сохранения публичных SSH-ключей SFTP-клиента. Поставьте нужные разрешения.
Убедитесь, что разрешения выставлены верно:
$ ls -la /home/fuser/.ssh/
Вывод должен быть таким:
Добавьте SFTP-пользователя в SFTP-группу:
Создайте виртуальную машину для SFTP-клиента
Процесс создания виртуальной машины для SFTP-клиента полностью совпадает с созданием виртуальной машины для SFTP-сервера.
Выполните пункты 1-9 из раздела создание виртуальной машины для SFTP-сервера (в качестве имени машины укажите, например, sftp-client).
Создайте пару SSH-ключей на SFTP-клиенте. Процесс аналогичен описанному для пользователя fuser в предыдущем разделе:
Выведите публичный ключ на экране SFTP-клиента:
Зайдите на SFTP-сервер и откройте файл /home/fuser/.ssh/ized_keys:
Скопируйте SSH-ключ, полученный на SFTP-клиенте, в конец файла.
Убедитесь, что виртуальная машина SFTP-клиента доступна с SFTP-сервера, и наоборот:
Зайдите по SSH на SFTP-сервер.
Найдите публичный или внутренний IP адрес SFTP-клиента в консоли Yandex.Cloud в разделе настроек виртуальной машины.
Внутренние адреса SFTP-клиента и SFTP-сервера должны находиться в одной подсети или быть связаны через настройки маршрутизации.
Введите команду в терминале SFTP-сервера, подставив соответствующее значение:
Убедитесь, что пакеты отправляются и получаются успешно:
Повторите проверку на SFTP-клиенте.
Создайте резервную копию конфигурационных файлов на SFTP-сервере
В инструкции рассмотрено резервное копирование конфигурационных файлов (с расширением .conf) из папки /etc.
Процесс резервного копирования:
- Упакуйте все нужные конфигурационные файлы в архив.
- Передайте архив на SFTP-сервер.
- Удалите архив на SFTP-клиенте.
Чтобы настроить процесс резервного копирования:
Зайдите по SSH на виртуальную машину SFTP-клиента таким же способом, как это было проделано для SFTP-сервера.
Установите переменные окружения для корректной работы скрипта. Для этого откройте файл
Добавьте следующие строчки в конец файла, подставив нужные значения:
Проверьте, что у вас появились данные переменные:
На экране должно появиться:
Запакуйте все конфигурационные файлы в один архив:
Перешлите полученный архив на SFTP-сервер:
Удалите архив на SFTP-клиенте:
Все действия для создания резервной копии можно выполнить одной командой:
Настройте расписание для резервного копирования
Для создания регулярных резервных копий ваших настроек можно использовать встроенную программу crontab.
Откройте файл crontab для редактирования:
Добавьте следующую строку, чтобы запускать резервное копирование каждый день в 11 часов вечера:
Проверьте работоспособность резервного копирования
Чтобы убедиться в том, что резервная копия создается нужным образом, запустите копирование и найдите копию на сервере:
Запустите на SFTP-клиенте команду для резервного копирования:
Восстановите настройки из резервной копии
Процесс восстановления настроек:
- Скачайте резервную копию с SFTP-сервера на SFTP-клиент.
- Распакуйте архив.
- Скопируйте конфигурационные файлы из архива в систему.
- Удалите архив.
Чтобы восстановить настройки из резервной копии:
На SFTP-клиенте сделайте переменную окружения для названия файла резервной копии:
Скачайте резервную копию с SFTP-сервера на SFTP-клиент:
Удалите архив и распакованное содержимое:
Все действия для восстановления из резервной копии можно выполнить одной командой:
$ sftp $SFTP_USER@$SFTP_SERVER:/backups/$SFTP_BACKUP . && tar -xzf $SFTP_BACKUP && yes | cp -rfp etc / && rm -rfd etc && rm -f $SFTP_BACKUP
Проверьте корректность восстановления
Чтобы проверить, что конфигурационные файлы из архива успешно попадают в файловую систему, добавьте проверочный блок в команду полученную выше:
После восстановления из резервной копии выполните следующую команду:
$ cat /etc/yum.conf | grep backup
Убедитесь, что на экране отображается тестовая фраза:
Удалите созданные облачные ресурсы
Если вам больше не нужны SFTP-сервер и SFTP-клиент:
- Удалите виртуальные машины для SFTP-клиента и SFTP-сервера (в примере они названы sftp-server и sftp-client).
- Удалите статический IP адрес, если он был вами создан.
Настройка SFTP-сервера в CentOS
В статье содержится информация о настройке SFTP-сервера с использованием набора утилит OpenSSH в операционной системе CentOS 7
Конфигурация сервера будет предоставлять пользователю root возможность подключения только из локальной сети, в то время как остальные пользователи смогут подключаться к серверу из любых расположений, но только в качестве SFTP-клиента, т.е. без доступа к подсистеме TTY
В приводимых далее шагах на все создаваемые папки и файлы по умолчанию устанавливаются права «755», а в качестве их владельцев назначаются пользователь и группа «root»
Для взаимодействия с SFTP-сервером посредством скриптов в Windows можно использовать утилиту psftp. В Linux данную задачу можно решить с помощью утилиты sftp, входящей в пакет OpenSSH. Однако, это требует включения на SFTP-сервере аутентификации с использованием публичных ключей, для настройки которой выполняем следующее:
- на SFTP-клиенте создаем закрытый и открытый ключи для OpenSSH
- ssh-keygen -t ed25519 -f /etc/ssh/user1.key -C «»
- добавляем SFTP-сервер в список доверенных хостов
- ssh-keyscan SFTP_SERVER_NAME_OR_ADDRESS > /etc/ssh/ssh_known_hosts
- копируем содержимое файла /etc/ssh/user1.key.pub на SFTP-сервер в файл /home/user1/.ssh/ized_keys
- на SFTP-сервере добавляем в файл /etc/ssh/sshd_config
- PubkeyAuthentication yes
Посредством скрипта должен создаваться файл с SFTP-командами, путь к которому должен передаваться в качестве параметра утилитам psftp или sftp
Замечание 1: OpenSSH использует «свои» сертификаты, отличающиеся от сертификатов, используемых OpenSSL. Более подробную информацию можно получить выполнив команду man ssh-keygen
Замечание 2: при запуске службы sshd в папке /etc/ssh автоматически создается несколько файлов закрытых и соответствующих им открытых ключей. В данной конфигурации они не используются
Замечание 3: можно настроить подключение к папкам с данными пользователей соответствующих SMB-ресурсов (как это сделать, рассказывается здесь)
Настройка SFTP сервера на примере CentOS 7 Minimal
В этой статье я продемонстрирую как с нуля настроить Secure FTP сервер для обмена файлами с защитой от атак по перебору паролей (bruteforce) в системе CentOS 7 с установкой Minimal
SFTP протокол (не путать с FTPS) по сути работы не имеет ничего общего со стандартным FTP, и предоставляет защищенный доступ к файлам посредством 22 порта SSH.
Приступаем к установке
Тренироваться будем на виртуальной машине с подключенным диском 30 Гб.
Запускаем процесс установки, настраиваем в графическом интерфейсе основные параметры сервера (рис. 1) и уделяем особое внимание разбиению диска на разделы. Я настоятельно рекомендую вынести пользовательские файлы на выделенную партицию, в моем случае это /filesFTP (рис. 2).
После установки и перезагрузки логинимся на наш сервер
Первичная настройка сервера
Настраиваем SFTP
Предоставлением доступа по SFTP занимается демон sshd, поэтому дополнительные пакеты нам устанавливать не нужно.
Обращаю ваше внимание на все вышеуказанные команды chmod, chown, chgrp. Их девять штук.
Если вы установите разрешения неверно, то при попытке соединится получите ошибку:
Connection to sftp closed. Read from remote host sftp: Connection reset by peer
Connection to sftp closed.
В логе /var/log/secure на самом сервере появятся следующие строки:
Все готово. Можно попытаться подключиться к нашему SFTP серверу с удаленного компьютера
Теперь установим и настроим fail2ban
Данный пакет нужен чтобы защитить наш новый SFTP сервер от перебора паролей bruteforce
SFTP (SSH File Transfer Protocol) – это протокол передачи файлов SSH. Как следует из его названия, это безопасный способ передачи файлов на сервер с использованием зашифрованного SSH-соединения. Несмотря на то, что названия FTP и SFTP очень похожи, SFTP –совершенно другой протокол, хотя он широко поддерживается современными FTP-клиентами.
SFTP доступен по умолчанию без дополнительной настройки на всех серверах, имеющих доступ к SSH. Он безопасен и прост в использовании, но имеет недостаток: в стандартной конфигурации сервер SSH предоставляет доступ к передаче файлов и к оболочке терминала всем системным пользователям с учетной записью.
В некоторых случаях только определенные пользователи должны иметь возможность передавать файлы. Этот мануал поможет настроить SSH-демона и в индивидуальном порядке ограничить пользователей одним каталогом без доступа к SSH.
Требования
- Сервер CentOS 7.
- Пользователь с доступом к sudo.
- Редактор nano (опционально).
Все инструкции вы найдете в руководстве по начальной настройке сервера.
1: Создание нового пользователя
Для начала создайте нового пользователя, у которого будут только права на передачу файлов. В руководстве пользователь условно зовется 8hostfiles.
sudo adduser 8hostfiles
Затем установите пароль для нового пользователя:
sudo passwd 8hostfiles
Далее нужно создать каталог для передачи файлов и настроить необходимые привилегии.
2: Создание каталога для передачи файлов
Чтобы ограничить доступ пользователя к SFTP одним каталогом, сначала нужно убедиться, что каталог соответствует требованиям к привилегиям сервера SSH. Эти привилегии имеют ряд особенностей.
В частности, сам каталог и все каталоги над ним в дереве файловой системы должны принадлежать root, а другие пользователи не должны иметь права на запись в них. Следовательно, невозможно просто предоставить ограниченный доступ к домашнему каталогу пользователя, поскольку домашние каталоги принадлежат собственно пользователям, а не root.
Примечание: В отличие от большинства современных дистрибутивов Linux (включая CentOS 7), некоторые версии OpenSSH не имеют таких строгих требований к структуре каталогов и правам собственности.
Существует целый ряд способов решения этой проблемы. В этом руководстве в качестве целевого каталога загрузки будет использоваться /var/sftp/uploads. Каталог /var/sftp будет принадлежать пользователю root и будет заблокирован для других пользователей. Подкаталог /var/sftp/uploads будет принадлежать пользователю 8hostfiles, так что он сможет загружать в него файлы.
sudo mkdir -p /var/sftp/uploads
Передайте права на /var/sftp пользователю root.
sudo chown root:root /var/sftp
Передайте пользователю root право на запись в этом каталоге. Остальные пользователи должны иметь только права на чтение и исполнение.
sudo chmod 755 /var/sftp
Передайте каталог uploads пользователю 8hostfiles.
sudo chown 8hostfiles:8hostfiles /var/sftp/uploads
3: Ограничение доступа к каталогу
На этом этапе нужно изменить конфигурацию сервера SSH и заблокировать пользователю 8hostfiles доступ к терминалу, но разрешить доступ к передаче файлов.
Откройте конфигурационный файл сервера SSH с помощью vi или другого текстового редактора.
sudo vi /etc/ssh/sshd_config
Перейдите в конец файла и вставьте следующий код:
. . .
Match User 8hostfiles
ForceCommand internal-sftp
PasswordAuthentication yes
ChrootDirectory /var/sftp
PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding noСохраните и закройте файл.
- Match User позволяет серверу SSH применять следующие команды только к указанному пользователю (в данном случае – к 8hostfiles).
- ForceCommand internal-sftp:сервер SSH будет запускать SFTP во время логина без доступа к оболочке.
- PasswordAuthentication yes включает поддержку парольной аутентификации.
- ChrootDirectory /var/sftp/ блокирует пользователю доступ ко всем каталогам, кроме /var/sftp.
- AllowAgentForwarding no, AllowTcpForwarding no и X11Forwarding no отключают форвардинг, туннелирование и X11 для указанного пользователя.
Этот набор команд, начиная с Match User, можно скопировать и повторить для разных пользователей. Обязательно измените имя пользователя в соответствующей строке.
Примечание: Для повышения безопасности вы можете опустить строку PasswordAuthentication yes и вместо этого настроить доступ к SSH-ключам. Обязательно сделайте это прежде, чем отключить доступ к оболочке для пользователя. Чтобы протестировать настройку, вы должны иметь доступ к компьютеру с парой ключей.
sudo systemctl restart sshd
Теперь SSH-сервер ограничивает доступ к передаче файлов, поддерживая её только для пользователя 8hostfiles.
4: Тестирование конфигурации
Убедитесь, что новый пользователь 8hostfiles может только передавать файлы.
Войти на сервер как 8hostfiles с помощью обычного доступа к оболочке больше невозможно. Проверьте это:
ssh 8hostfiles@localhost
Error message
This service allows sftp connections only.
Connection to localhost closed.Это значит, что 8hostfiles больше не может использовать обычную оболочку SSH.
Убедитесь, что этот пользователь может использовать SFTP для передачи файлов.
Эта команда должна выполниться успешно.
Connected to localhost.
sftp>Просмотрите содержимое каталога с помощью ls:
Команда выведет созданный ранее каталог uploads и вернет вас в командную строку sftp>.
Чтобы убедиться, что пользователь действительно ограничен этим каталогом и не может получить доступ к каталогам высшего порядка, попробуйте перейти в родительский каталог.
Эта команда не выдаст ошибку, но запросив содержимое каталога, вы увидите, что пользователь по-прежнему в каталоге sftp и не смог перейти в родительский каталог.
Все ограничения работаю правильно.
Недавно созданный пользователь 8hostfiles может получить доступ к серверу только с помощью протокола SFTP для передачи файлов и не имеет доступа к остальной оболочке.
Заключение
Вы ограничили доступ пользователя к SFTP одним каталогом без полного доступа к оболочке. Повторите описанный в руководстве процесс, чтобы расширить настройку до нескольких пользователей и нескольких каталогов.
Сервер SSH поддерживает более сложные схемы конфигурации, включая ограничение доступа к группам или нескольким пользователям одновременно.
Читайте также: