Problema creando servidor SSH-FTP (SFTP) enjaulado, no consigo conectar

GoldFran · #1 (**permalink**) 23/04/2012, 06:26

Buenas chicos

Estoy creando un servidor seguro SFTP enjaulado, para desde mi servidor poder actualizar WordPress con un usuario encerrado en ese directorio de WP, y no usar otros usuarios. Lo estoy haciendo a través de SSH-FTP, o lo que es lo mismo SFTP enjaulado

Tengo Ubuntu 11.10 Server x64

He realizado los siguientes pasos:

- Localizar el directorio "home" (jaula) para el nuevo usuario, que será /var/www/ (Carpeta de apache)
- Cambiar los permisos de /var/www/ a chmod 755
- Creo un grupo para la gestión del servicio SSH: groupadd sshusers
- Creo el usuario metiendolo en el grupo creado, dandole una shell y un home: useradd -g sshusers -s /bin/false -d /var/www/ sftpwp
- Le pongo pasword al usuario: passwd sftpwp
- Doy permisos de propietario a la carpeta de Wordpress: chown sftpwp:sshusers /var/www/wp

- Instalar SSH: aptitude install openssh-server openssh-client
- Edito /etc/ssh/sshd_config para cambiar el subsystem:

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

- Uso la directiva match para enjaular al usuario en el directorio "www":

UsePAM yes
Match user sftpwp
ChrootDirectory /var/www
ForceCommand internal-sftp

- Reseteo el servicio SSH: stop ssh | start ssh

Y nada, los resultados son:

- Vía ssh client: ssh -p 22 [email protected]
[email protected]'s password:
Write failed: Broken pipe

- Vía cliente SFTP el error es:
"could no open channel" (closing all channels)

No se que me he podido dejar por detrás o que me falta o los permisos...

¿Alguna idea?

PD: con mi usuario "ordinario" de Linux si que puedo usar el SSH tanto por SSH como por SFTP... Algo pasa :)

#2 (**permalink**) 23/04/2012, 09:29

No creo que sea eso, pero de entrada si estás reiniciando el servicio con stop ssh |start ssh, estás dando a 'start ssh' una entrada que no es la entrada estándar. Deberías usar && o simplemente ;

mcun · #3 (**permalink**) 23/04/2012, 09:32

Hay algunos errores de cncepto

1º quieres acceder con un usuario al que no le has dado una shell, pero lo intentas con el comando ssh usuario@host , cuando en su lugar deberías hacerlo con sftp usuario@host

Cita:

- Creo el usuario metiendolo en el grupo creado, dandole una shell y un home: useradd -g sshusers -s /bin/false -d /var/www/ sftpwp

2º Para enjaular efectivamente a los usuarios, la raíz de la jaula le debe pertenecer a un usuario distinto a quienes van a ser enjaulados, preferiblemente root, de lo contrario los usuarios se escaparan de la jaula.

Cita:

- Doy permisos de propietario a la carpeta de Wordpress: chown sftpwp:sshusers /var/www/wp

En principio eso ... luego veremos

GoldFran · #4 (**permalink**) 23/04/2012, 09:42

Cita:

Iniciado por AlvaroG

No creo que sea eso, pero de entrada si estás reiniciando el servicio con stop ssh |start ssh, estás dando a 'start ssh' una entrada que no es la entrada estándar. Deberías usar && o simplemente ;

Si cierto, lo he puesto mal, porque no recuerdo como lo hice pero vaya, eso no es problema porque se pone en otra línea y listo

#sudo stop ssh
#sudo start ssh

Cita:

Iniciado por mcun

Hay algunos errores de cncepto

1º quieres acceder con un usuario al que no le has dado una shell, pero lo intentas con el comando ssh usuario@host , cuando en su lugar deberías hacerlo con sftp usuario@host

Si, me he explicado mal, para probar el shell utilicé el "bin/bash" sustituido por el "bin/false" si no lógicamente no podría entrar vía SSH ya que no podría iniciar shell...

Cita:

2º Para enjaular efectivamente a los usuarios, la raíz de la jaula le debe pertenecer a un usuario distinto a quienes van a ser enjaulados, preferiblemente root, de lo contrario los usuarios se escaparan de la jaula.

Pues es lo que he echo, enjaular al usuario sftpwp en www que es de root y www/wp, si pertenece "chown" a el usuario sftpwp...

Volveré a repasar pero no se que está mal... Ya digo que los procesos no dan problemas, el problema es a la hora de realizar la conexión...

Saludos

mcun · #5 (**permalink**) 23/04/2012, 09:49

En el punto dos me referia a que le das la propiedad de la jaula al usuario y deberia ser de otro y el usuario deberis ser parte del grupo

osea

Código bash:

Ver originalchown root:grupo /ruta/alajaula
 
chmod 750  /ruta/aajaula

y el usuario acede porque es parte del grupo

aquí tienes una jaula sencilla

http://hpantaleev.wordpress.com/2012...rootdirectory/

Ahora no se que tanta seguridad requieras pero a cambio de mas esfuerzo obtienes mas seguridad.

http://www.howtoforge.com/restrictin...debian-squeeze

http://www.sdri.co.jp/rssh/CHROOT_en.html

GoldFran · #6 (**permalink**) 23/04/2012, 10:14

Mirad...

$sftp [email protected]
[email protected]'s password:
Write failed: Broken pipe
Connection closed

Con un cliente tipo Cyberduck o filezilla:

"could not open channel (closing all channels)"

mcun · #7 (**permalink**) 23/04/2012, 10:22

no se cual es el origen del problema ya que no tengo claro como están las cosas en tu sistema.

pero cualquiera de las tes guías que te pase debería solucionar tu problema.

En principio se me ocurre que estas mezclando distintas formas de hacer una jaula por lo que no funciona.

Hya unas que requieren recrear un entono chroot completo lo que requiere que copies los binarios y librerías necesarias en el entorno chroot.

Otras simplemente usan los binarios del sistema y no se ejecutan bajo un entorno chroot, para ellas el usuario debe tener una shell.

....

GoldFran · #8 (**permalink**) 23/04/2012, 10:27

Pues no se... He seguido una guía que ahora no encuentro y tal que así:

El archivo /etc/ssh/sshd_config tiene estos cambios:

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

UsePAM yes
Match user sftpwp
ChrootDirectory /var/www/
ForceCommand internal-sftp
X11Forwarding no
AllowTcpForwarding no

/var/www/ tiene el propietario root con permisos chmod 775
/var/www/wp/ tiene el propietario sftpwp
/var/www/wp/ es el home del usuario sftpwp

mcun · #9 (**permalink**) 23/04/2012, 10:46

Mira yo estoy programando una aplicación que usa una jaula chroot, creo que muy segura ..

te la paso es un script en python se ejecuta como root. y usa un script en bash

este lo guardas con el nombre makejail.py y lo ejecutas como root python makejail.py

funciona python 2.7 o cualquier 2.x

Código Python:

Ver original#!/usr/bin/python2
#-*-cuserjaulag: utf-8 -*
try:    
    import os
    import subprocess
    import re
except ImportError:
    platform_specific_module = None
 
"""Classes and functions related to the creation of chroot jail. """   
    
class MakeJailX:   
    """ MakeJail creates jail
        ======================
        
    - Create the directory tree
    - Set permissions
    - Copying the necessary binaries
    - Use chroot
    - Dependencies ** sys ssh rssh ** 
        
    Sets the type of OS and takes the route of the binary
    using script Written by nixCraft <http://www.cyberciti.biz/tips/>
    (c) 2006 nixCraft under GNU GPL v2.0+.tanks you nixCraft :).
    
    """
    
    def setJail(self):
        """ Set of directory  
            
        """
        os.system('groupadd userjaula')
        #tomo el parametro de user_available.conf
        os.system('useradd -g userjaula -s /bin/false -d /dev/null userjaula')
 
        userjaula = 'aqui el usuario o los usuarios separados por coma'
 
 
        adduseagroup = 'gpasswd -M ' + userjaula + ' userjaula'
        os.system(adduseagroup)
        userjaula2=userjaula.replace(","," ")
        os.system('mkdir -p /var/www/userjaula/')
        os.system('chown root.userjaula /var/www/userjaula/')
        os.system('chmod 710 /var/www/userjaula/')
        paths=os.system('pwd')
        paths = subprocess.Popen(['pwd'],
            stdout=subprocess.PIPE, stderr=subprocess.PIPE)
        out, error = paths.communicate()
        output_split_line = out.split('\n')
        os.chdir('/var/www/userjaula/')
        os.system('mkdir -p dev etc lib usr bin home var')
        os.chdir('/var/www/userjaula/home/')
        os.system('mkdir -p '+usersuserjaula2)
        os.chdir('/var/www/userjaula/var/')
        os.system('mkdir -p log')
        os.chdir('/var/www/userjaula/usr/')
        os.system('mkdir -p bin')
        
        os.system('mknod -m 666 /var/www/userjaula/dev/null c 1 3')
        os.system('cp -R /etc/ld* /var/www/userjaula/etc/')
        os.system('cp /etc/nsswitch.conf /var/userjaula/etc/')
        os.system('cp /etc/hosts /var/www/userjaula/etc')
        ## !! no integrar lko que no se decee
        os.system('cp /usr/bin/rssh /var/www/userjaula/usr/bin/')
        os.system('cp /bin/bash /var/www/userjaula/bin/')
        os.system('chown -R userjaula /var/www/userjaula/*')
        os.system('chgrp -R userjaula /var/www/userjaula/*')
        os.system('chmod -R  710 /var/www/userjaula/*')
        os.system('chown '+usersuserjaula2+ ' /var/www/userjaula/home/'+userjaula2)
        os.system('chmod -R  710 /var/www/userjaula/home/'+userjaula2)
        os.chdir(output_split_line[0])
        os.system('pwd')
        # !!! cambiar la ruta al sshd_config del sisema
        f = open ("/etc/ssh/sshd_config", "a")
        f.write("""\n# Set Jail 
Match group userjaula
    ChrootDirectory /var/www/userjaula/
    X11Forwarding no
    AllowTcpForwarding no \n""")
        f.close()       
        os.system("sh l2chroot.sh /bin/bash")
    
    #!! REINICIAR EL DEMONIO SSH LUEGO DE INSTALR O NO FUNCIONA LA JAULA
 
# instantiate
if __name__ == "__main__":
    print "Is not shown if import"
    jail = MakeJailX()
    jail.setJail()
    print " enjoy "

Guardas este script en el mismo lugar que el anterior con este nombre --> l2chroot.sh

Código bash:

Ver original#!/bin/bash
# Use this script to copy shared (libs) files to Apache/Lighttpd chrooted 
# jail server.
# ----------------------------------------------------------------------------
# Written by nixCraft <http://www.cyberciti.biz/tips/>
# (c) 2006 nixCraft under GNU GPL v2.0+
# + Added ld-linux support
# + Added error checking support
# ------------------------------------------------------------------------------
# See url for usage:
# http://www.cyberciti.biz/tips/howto-setup-lighttpd-php-mysql-chrooted-jail.html
# -------------------------------------------------------------------------------
# Set CHROOT directory name
BASE="/var/www/userjaula"
 
if [ $# -eq 0 ]; then
  echo "Syntax : $0 /path/to/executable"
  echo "Example: $0 /usr/bin/php5-cgi"
  exit 1
fi
 
[ ! -d $BASE ] && mkdir -p $BASE || : 
 
# iggy ld-linux* file as it is not shared one
FILES="$(ldd $1 | awk '{ print $3 }' |egrep -v ^'\(')"
 
echo "Copying shared files/libs to $BASE..."
for i in $FILES
do
  d="$(dirname $i)"
  [ ! -d $BASE$d ] && mkdir -p $BASE$d || :
  /bin/cp $i $BASE$d
done
 
# copy /lib/ld-linux* or /lib64/ld-linux* to $BASE/$sldlsubdir
# get ld-linux full file location 
sldl="$(ldd $1 | grep 'ld-linux' | awk '{ print $1}')"
# now get sub-dir
sldlsubdir="$(dirname $sldl)"
 
if [ ! -f $BASE$sldl ];
then
  echo "Copying $sldl $BASE$sldlsubdir..."
  /bin/cp $sldl $BASE$sldlsubdir
else
  :
fi

tal vez tenga cosas que no te sirvan, por lo que te toca modificarlo, si tienes algún problema me avisas.

Con ese script el usuario solo tiene acceso a sftp

GoldFran · #10 (**permalink**) 23/04/2012, 10:59

Este tuto he usado

http://www.esdebian.org/wiki/enjaulado-sftp

mcun · #11 (**permalink**) 23/04/2012, 11:10

si te fijas en ese tuto debes remplazar el usuario por el que tu quiera y respetar los niveles de profundidad de las rutas tullas.

igual me parece poco segura creo que el usuario se escaparía de esa jaula...

no se que mas decirte, te pase tres buenas guías y un script que seguro funciona...

suerte

GoldFran · #12 (**permalink**) 23/04/2012, 11:17

Vale... Siguiendo el tutorial a pies juntillas, vaya con sus ejemplos sin cambiar nada, me funciona xDDDDD

Lo que signifnica que soy un zoquete de cojones interpretando :)

GoldFran · #13 (**permalink**) 23/04/2012, 11:18

con un cliente SFTP como filezilla, no puede escapar de dicha jaula :)

mcun · #14 (**permalink**) 23/04/2012, 11:20

eso si usa filezilla pero el puede usar lo que se le antoje y lo mas seguro que use metasploit framework XD

GoldFran · #15 (**permalink**) 23/04/2012, 11:38

Buenas ya por fin!!!

El problema estaba en la terminación de los directorios... No en la jerarquía de los permisos... Es decir:

ChrootDirectory /var/www/ no está bien es ChrootDirectory /var/www

Igual que al aplicar los permisos a las ../ finales no los aplicaba correctamente los chmod 775 o los chown... Me he ayudado del Xfce para corroborarlo

A sido lo único que he cambiado y ya tira

Me enjaula en "www" y puedo modificar wp que es el directorio donde el usuario tiene permisos

Así que a falta de pruebas se puede dar por resuelto

Me gustaría más que la jaula estuviera en wp pero no puedo ya que este tiene que ser propiedad de root si no me equivoco... Y si es así, a menos que no enjaule a root en este directorio no podría hacerlo pero paso, no voy a comprometer al usuario root para esto... Ya que en principio la única función que tiene ahora es la de actualizar Wordpress en remoto

mcun · #16 (**permalink**) 23/04/2012, 11:41

me alegro por ti

GoldFran · #17 (**permalink**) 23/04/2012, 11:47

Y llegados a este punto...

Que es mejor, SFTP o FTPS con vsftpd? o más bien más seguro

mcun · #18 (**permalink**) 23/04/2012, 11:57

sftp es mas seguro por que el trafico se hace cifrado. pero eso no asegura el comportamiento del usuario dentro del sistema una vez logeado. y ademas teniendo un servicio como ssh o sftp corriendo no puedes asegurarte que no haya alguien que intente conectarse y que no este autorizado.

por ello rssh es el mas seguro ya que dispone solo de las funciones básicas para subir un fichero y poco mas...

los demás permitirían incluso ejecutar un script python bash o un software en c, ya que pueden da acceso a una shell completa la que incluye todos los binarios del sistema. ... imagínate XD

pero si presisas de lago mas que rssh lo mas seguro es recrear un entorno chroot completo el que incluye copiar los binarios al que va a tener acceso e usuario.el ejemplo es el link que te pase y mi script

GoldFran · #19 (**permalink**) 23/04/2012, 12:05

Ajá, entiendo.

Es que viendo vsftpd, me está tentando más, no porque pueda usar TSL/SSL que a fin de cuentas... Si te lo autofirmas no tiene gracia pero vaya, es más manejable que el SFTP o al menos más intuitivo y veo que le dan bastante valoración a este software (vsftpd)

La información ya te digo... va a ser para que WP se actualice que con un usuario sin posibilidad de iniciar shell y encerrado en WP, poca cosa va a hacer... Y usuarios que se bajen de la plataforma Moodle algunos contenidos pero vaya... No es mucho material comprometido...

mcun · #20 (**permalink**) 23/04/2012, 12:15

Por lo de intuitivo no veo la diferencia dado que clientes como filezilla soportan le protocol sftp ...
y luego de configurado no lo tocas nunca mas, así que ...

Cita:

Ajá, entiendo.

No, creo que no entiendes lo sustancial

Los segundo poco importa si guardas la fórmula de la cocacola o la foto del papa. un servidor comprometido sirve para muchas cosas mas que bajarse los ficheros que almacene y te puede traer problemas legales serios.

Es un error grave estipular el riesgo desde la perspectiva de lo que te puedan "robar" , que tal si alguien toma el servidor y lo usa como warez para almacenar pornografía infantil... explícale luego al juez que tu no tenias nada que ver ...

GoldFran · #21 (**permalink**) 23/04/2012, 12:43

Ya bueno... Es que si escogemos ir por esa tesitura nada es infalible, SSH tiene sus ataques si no cambiamos de puerto para despistar... con tracerouter o tcptracerouter nos pueden llegar a nuestro servidor principal e incluso con paquetes ACK saltarse el firewall y poco importa que tengamos o no SFTP o SSH o lo que queramos, si no lo tenemos securizado nos va a dar lo mismo...

El asunto está en saber gestionar y buscar un equilibrio entre lo seguro y lo funcional o buen rendimiento... Es decir en mi caso, yo necesito un usuario FTP o FTPS que es lo compatible en principio con WP y para material para mi plataforma e-learning...

Lo que yo no puedo hacer es un script "legendario" para dar permisos a estos si, a estos no a estos también... Damos por echo que nuestra seguridad perimetral y nuestra seguridad de servidor está lo suficientemente estable y correctamente configurada para evitar en la mayor proporción posible los ataques de este tipo

Aunque creas que no, entiendo lo que dices, pero lo que no puedo entender es el funcionamiento de TODO lo que nos rodea, ni yo ni nadie...

Y te entiendo fundamentalmente porque soy casi auditor de seguridad acreditado así que se de que va la cosa, y estoy pendiente del hardening de mis servidores, la LOPD, anular ataques por penetración, traceo, escaneo de puertos, por DNS o por metadatos... Vamos, que de sistemas y ataques de seguridad entiendo un poco...

Y bueno sobre el ejemplo me parece un poco exagerado, bastante peliculero, y sobre todo un ejemplo donde si alguien en mi servidor no autorizado, vía SSH o en cualquier agujero de seguridad consiguiese escribir en mi sistema... Primero que me enteraría y segundo que cualquier foto con aplicar la forénsica a los metadatos de las fotos... Pero bueno un ejemplo a fin de cuentas...

El problema es como digo, que no puedo conocer ni yo ni nadie, como funcionan todos los sistemas o servicios... Yo no puedo saber si SFTP me va a ser más seguro que FTPS porque es algo que no he trabajado con X programas... Para eso están los servidores que no están en producción, para probarlos y hacer ataques para comprobar las vulnerabilidades pero claro... Es un tiempo brutal en invertir

En principio si los programas que te he comentado sea SSH o el otro para FTPS tienen una configuración en seguridad buena, y sobre todo no tienen vulnerabilidades conocidas, no tiene porqué ocasionarnos disgustos

mcun · #22 (**permalink**) 23/04/2012, 13:50

Entones sabrás de sobra que "lo que no este permitido debe estar prohibido"

Dado esto y que el único servicio, que quieres brindar es, permitir el acceso para subir un fichero tu mejor opción es rssh.

Lo demás corre por cuenta tulla ya que son tullos los riesgos.....

GoldFran · #23 (**permalink**) 23/04/2012, 14:13

indagaré rssh y te cuento :)

mcun · #24 (**permalink**) 23/04/2012, 14:38

Igual yo capas que sea demasiado paranoico ... no me des bola..

no se, trato de apegarme a esa regla, si algo se me escapa es por ignorante no por desprevenido. en el script que posteo el usuario enjaulado siquiera puede hacer un ls en le directorio superior... e fin, cada loco con su tema

GoldFran · #25 (**permalink**) 23/04/2012, 15:00

mcun que va está de coña hombre. La retroalimentación es lo que importa :) yo no cnocía RSSH ni siquiera y parece interesante cíertamente

mcun · #26 (**permalink**) 23/04/2012, 15:06

Un amigo siempre me decía

-No trates de evitar los males que te puedan ocurrir, ya que estos son inimaginables, procura siempre, que te ocurra, solo lo que te deba ocurrir-

GoldFran · #27 (**permalink**) 23/04/2012, 16:15

Yo tengo otra :)

"no me castigo por no hacer bien una cosa, simplemente he descubierto muchas formas de ver como no se hacen"

PD: estoy teniendo problemas con el dichoso wordpress... En un hosting todo es muy fácil, pero en local o VPS no veas la tabarra que da...

mcun · #28 (**permalink**) 23/04/2012, 16:18

tal vez sea pos los permiso de la jaula, si mal no recuerdo ww-data ( el usuario de apache) debe tener permiso sobre la carpeta el directorio ,

GoldFran · #29 (**permalink**) 23/04/2012, 16:34

Cita:

Iniciado por mcun

tal vez sea pos los permiso de la jaula, si mal no recuerdo ww-data ( el usuario de apache) debe tener permiso sobre la carpeta el directorio ,

Nada lo de la jaula y el ssh va a parte, es cosa de los permisos de las carpetas de Wordpress según veo...

Con Moodle no me pasa curiosamente, pero WP se ve que requiere de permisos en ciertas carpetas, y encima para subir archivos necesita no se que conexión FTP o usar el módulo de php SuPHP o algo así...

Desde las 9:50 de esta mañana hasta estas horas, mucha tralla le estoy dando, creo que mi cerebro necesita un reposo

Es que estoy bastante intranquilo porque tengo que poner en producción el servidor antes de Septiembre, y hasta que no tenga algo estable no puedo por ejemplo crear el blog de la empresa, no puedo crear los cursos, si solo veo problemas

:)

mcun · #30 (**permalink**) 25/04/2012, 11:00

y en que quedo el asunto ??