Seguridad

Cómo restringir los usuarios del servidor a directorios específicos en Linux

¿Necesita bloquear ese servidor Linux para que algunos usuarios remotos solo puedan acceder a directorios específicos y solo para cargar y descargar archivos? Jack Warren te muestra cómo.

Cuando tiene un servidor con acceso SSH, a menos que lo configure de otra manera, cualquier usuario con una cuenta en ese sistema puede iniciar sesión y causar estragos en su servidor si tiene los permisos y las habilidades.

VER: más de 40 términos de código abierto y Linux que necesita saber (Tecnopedia Premium)

No quieres eso.

Lo que puede hacer es restringir a estos usuarios con una cárcel chroot. Al hacer esto, limita severamente lo que esos usuarios pueden hacer en su sistema. De hecho, cualquier usuario restringido a un chroot jail puede:

  1. Solo se puede acceder al servidor a través de sftp
  2. Acceder solo a directorios específicos

Es una gran adición de seguridad para su servidor Linux, y considérelo imprescindible si necesita un caso de uso de este tipo. Esto es especialmente importante si su servidor contiene datos confidenciales y ni siquiera desea que los usuarios vean esos archivos y carpetas.

Esta configuración no es tan desafiante. De hecho, la configuración es mucho más fácil que encontrar una forma de implementar la funcionalidad. Pero en los casos en los que realmente necesita limitar estrictamente a lo que los usuarios pueden acceder en su servidor Linux, este es un enfoque sólido.

que necesitas

Para hacer esto, necesita una instancia de Linux en ejecución y un usuario con privilegios de sudo. Eso es todo. Vamos a crear un poco de magia de seguridad.

LEER  La actualización de la aplicación 2FA de Google carece de cifrado de extremo a extremo, según los investigadores

Cómo crear grupos restringidos y agregar usuarios en servidores Linux

Lo primero que tenemos que hacer es crear un nuevo grupo y añadirle usuarios. Cree el grupo con el siguiente comando:

sudo groupadd restricted

A continuación, agregue el usuario al grupo con el siguiente comando:

sudo usermod -g restricted USERNAME

donde NOMBRE DE USUARIO es el usuario que desea agregar al grupo restringido.

Ver también: Linux 30th Birthday: Celebrating the Open Source Operating System (PDF gratuito) (República tecnológica)

Cómo configurar SSH

Abra el archivo de configuración del demonio SSH con el siguiente comando:

sudo nano /etc/ssh/sshd_config

Busque la línea (cerca de la parte inferior):

Subsystem sftp /usr/lib/openssh/sftp-server

Cambia esa línea a:

Subsystem sftp internal-sftp

En la parte inferior del archivo, agregue lo siguiente:

Match group restricted
ChrootDirectory /home/
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no

Guarde y cierre el archivo. Reinicie SSH con el siguiente comando:

sudo systemctl restart ssh

Ahora, regrese a la otra máquina e intente conectarse por SSH al servidor con ese usuario, por ejemplo:

ssh [email protected]

Verá la advertencia:

This service allows sftp connections only.
Connection to 192.168.1.147 closed.

Para que cualquier usuario del grupo restringido pueda iniciar sesión en el servidor, debe usar sftp como este:

sftp USERNAME@SERVER

donde USERNAME es el nombre de usuario y SERVIDOR es la dirección IP o dominio del servidor. Después de iniciar sesión con éxito, usarán los comandos put y get en el indicador de sftp para transferir archivos de un lado a otro. Esos usuarios restringidos solo pueden cargar archivos en su directorio de inicio. Cuando los usuarios limitados inicien sesión inicialmente, estarán en el directorio /home. Por lo tanto, para cargar con éxito, deben cambiar su directorio de inicio con el siguiente comando:

cd olivia

Una vez en su directorio de inicio, pueden emitir comandos como:

put file1

Siempre que el archivo esté en el directorio de trabajo actual de la máquina en la que inician sesión en el servidor, se cargará bien. Si estos usuarios solo quisieran descargar el archivo a su máquina local, usarían un comando como:

get file1

Me doy cuenta de que esta es una configuración muy limitada con casos de uso muy limitados, pero en algún momento de su carrera como administrador de Linux se encontrará con una instancia en la que debe restringir que los usuarios inicien sesión en una cárcel chroot. Esta es una forma.

Suscríbete a Tecnopedia Cómo hacer que la tecnología funcione en YouTube Obtenga los últimos consejos técnicos para profesionales de negocios de Jack Wallen.

data center server security
Imagen: Producción Perig/Shutterstock

LEER  Los mecanismos antirrobo de Windows y UEFI reducen la seguridad del sistema

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba