====== sftp ======

sftp ftp ssl tls

Comentario comun a todos lo articulos:

  * El directorio especificado en "ChrootDirectory" debe tener exactamente estos permisos:

  drwxr-xr-x 4 root root 4096 Nov 17 12:02 www

Es decir, pertenecer al usuario y grupo "root" y permisos 755. En caso contrario al intentar hacer el sftp se obtiene el siguiente error:

<code>  
packet_write_wait: Connection to 172.17.0.2 port 22: Broken pipe
Couldn't read packet: Connection reset by peer
</code>

===== Restringir sftp a un usuario y a una IP, solo lectura =====

Queremos que el usuario "ftp_user" solo se pueda ejecutar sftp (y no iniciar una sesion ssh normal) en el servidor remoto y ademas que solo lo pueda hacer desde una IP conocida, en este ejemplo la 10.0.0.15

1. Crear el usuario "ftp_user"

  sudo adduser ftp_user
  
Contestar a todas las preguntas. Recordar la contrasenya

2. Crear el directorio al que se podra conectar:

  sudo mkdir -p /srv/ftp/usuario_ftp
  sudo chmod 0755 /srv/ftp/usuario_ftp
  
3. Editar:

  sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak 
  sudo vim /etc/ssh/sshd_config
  
Y anyadir o editar las siguientes lineas:

<code>
Subsystem sftp internal-sftp

Match User ftp_user Address 10.0.0.15
    PasswordAuthentication yes
    ChrootDirectory /srv/ftp/ftp_user
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand internal-sftp
</code>

===== Restringir sftp a un usuario con escritura =====

**NOTA** Procedimiento revisado 22/10/2018. Sospecho que otras secciones en este artículo deben ser revisados

1. Crear el usuario "ftp_user"

  sudo adduser ftp_user
  
Contestar a todas las preguntas. Recordar la contrasenya

2. Crear el punto de montaje:

  sudo mkdir -p /srv/ftp/ftp_user/ftp
  sudo chmod 0755 /srv/ftp/ftp_user/
  
3. Crear el directorio al cual se podrá conectar:

  sudo mkdir -p /home/ftp_user/ftp
  sudo touch /home/ftp_user/ftp/test_file_to_be_seen
  sudo chown ftp_user:ftp_user /home/ftp_user/*
  
4. Montarlo de forma persistente:

  sudo cp /etc/fstab /etc/fstab.bak; sudo vim /etc/fstab

Con la siguiente linea:

  /home/ftp_user/ftp /srv/ftp/ftp_user/ftp       none    bind    0    0

5. Editar:

  sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak 
  sudo vim /etc/ssh/sshd_config
  
Y anyadir o editar las siguientes lineas:

<code>
Subsystem sftp internal-sftp

Match User ftp_user
    PasswordAuthentication yes
    ChrootDirectory /srv/ftp/ftp_user
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand internal-sftp
</code>

6. Reiniciar ssh

  sudo service ssh restart
  
7. Probar desde el cliente:

  sftp ftp_user@maquina_remota
  cd ftp
  put local_file.txt
  
**NOTA** Para que funcione, y esto hay que revisarlo, el directorio padre tiene que pertener a root y el hijo al usuario ftp:

^ Directorio ^ Propietario ^
| /srv/ftp/ftp_user | root |
| /srv/ftp/ftp_user/dir1 | usuario |

===== Acceso escritura usuario www-data =====

Es un parche para que se puedan subir archivos vía SFTP o a través de la aplicación web (por ejemplo Wordpress) sin que haya colisión de permisos:

1. Editar el archivo original:

  sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak 
  sudo vim /etc/ssh/sshd_config
  
Y anyadir al final:

  AllowUsers www-data

2. Editar:

  sudo cp /etc/passwd /etc/passwd.bak 
  sudo vim /etc/passwd
  
Y dejar la linea del usuario 'www-data' así:

  www-data:x:33:33:www-data:/var/www:/bin/bash

3. Asignar una contraseña al usuario 'www-data':

  sudo passwd www-data
  
4. Probar:

  sftp www-data@ip_servidor