[sftp]SFTPの設定

出先での作業など公共のwifi環境を使う必要があるとき、
大事なクライアントサーバに生FTPで繋ぐと何があるか分かりませんので、、
FTPの暗号方式の一つ、SFTPを導入しています。

SCPは使った事あるんですが、そもそもmacで作業してるので、winSCPが使えません。
なので、macでも使えるFileZillaが扱える暗号化方式のSFTPを使用しています。

基本SSHなので、注意すべき点は、
・ポートの設定がSSHで設定したポートになる。
・SFTP用アカウントでSFTPのみしか使わせないように制限する事

以下はSFTP用アカウントの機能制限の方法です。
/etc/ssh/sshd_configを変更します。

標準のsftp-serverからsshd内部のinternal-sftpに変更

#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem       sftp    internal-sftp

ユーザ又はグループ毎に制限追記

Match User designer
    ChrootDirectory /var/www
    ForceCommand internal-sftp

[注意]
上の方法でChrootDirectoryをしないと、SFTP接続時にchrootされません。
/home/hogeにchrootする場合は、/home/hogeを必ずroot:rootにしてパーミッション755に設定して、FTP接続時、SFTP接続時の両方でchrootされるようにします。

以上です。

Read More

[ubuntu][vsftp] vsftpd 3.0.2で500 OOPS: priv_sock_get_cmdがでた場合

vsftpd 2.3.5がユーザ毎のchroot周りがバグがあるらしく、

ユーザ毎のchrootをしようとすると、

500 OOPS: vsftpd: refusing to run with writable root inside chroot ()

って出て困ってました。

で、その問題を解消する為にvsftpの拡張版があったり、3.0からあたらしい設定項目ができたりしてて、

allow_writeable_chroot=YES

とすれば細かい事気にせずユーザ毎のchrootをしてくれるらしいので、
vsftpdを3.02にアップグレードしてみました。

するとまたエラー

500 OOPS: priv_sock_get_cmd

何じゃこりゃと思っていたら、これはvsftpd3系のよくあるバグらしく

seccomp_sandbox=NO

としたら解消されました。

[疑問点]
allow_writeable_chrootを設定したら、user_config_dirが無効になってしまいます。
これはバグなのか、自分がミスってるだけなのか・・・
vsftpdめんどくさいです。

以上です！

参考にしたサイト
VSFTPD: "500 OOPS: priv_sock_get_cmd" - ChemDroid.net
vsftpdでFTPユーザーごとのルートディレクトリを設定する方法 | Weblogy
Wheezyのvsftpdへのログイン先をchrootディレクトリに変更する。labunix's blog

Read More

vsftpdでパッシブを許可する設定

手順

======================
1./etc/vsftpd.confに追記
2.portを開ける(今回はaws)
======================

1./etc/vsftpd.confに追記

pasv_enable=YES
pasv_min_port=60000
pasv_min_port=60010

pasv_enable=YESについてはデフォルトらしいけど一応書く。


2.portを開ける(今回はaws)
あとはawsでセキュリティグループのportを開けるだけです。



楽ちんね。

Read More