Hallo zusammen,
da ich darauf aufmerksam gemacht wurde, dass FTP wohl nicht mehr Zeitgemäß für den Datenaustausch über das Internet ist, versuche ich mich nun an der Einrichtung eines sftp Zugangs.
Ich hangle mich dabei an dem Thread (1) und dieser Anleitung (2), sowie dem hier (3) entlang.
Ich möchte dabei die Sicherheit meines Servers auch nicht leichtfertig aushöhlen, deshalb liste ich euch mal nachfolgend meine schritte auf (mit der Bitte um korrektur bzw. Kommentar, falls ich was falsch mache oder noch vergessen habe) 😉
Um es mal Schritt für Schritt durch zu gehen:
openSSH server war bereits installiert.
Als nächstes habe ich mir die /etc/ssh/sshd_config vorgenommen und dort
unter # Authentication: das auskomentiert: #PermitRootLogin without-password und dafür folgendes ergänzt: PermitRootLogin no
auf PasswordAuthentication no verzichte ich allerdings, da ich (und die user) nicht immer einen SSH-key benutzen können/wollen.
unter (1) wird empfohlen: #Subsystem sftp /usr/lib/openssh/sftp-server durch: Subsystem sftp internal-sftp zu ersetzen. Mir erschließt sich jedoch der Sinn daraus (bzw. die Auswirkungen) nicht so ganz. 😕 Kann mich hier jemand erleuchten?
Danach kommen die User dran...
Dazu als erstes mittels sudo mkdir /home/kollege ein Benutzerverzeichnis angelegt.
mittels sudo useradd kollege einen neuen User angelegt.
danach mittels sudo chown root:kollege /home/kollege den Besitzer des Userverzeichnisses auf root gesetzt.
nun durch sudo chmod 755 /home/kollege die Rechte angepasst.
jetzt mit sudo usermod -s /bin/false kollege verhindern, dass sich der user regulär auf der Shell anmelden kann.
Jetzt noch mal zur /etc/ssh/sshd_config und dort folgendes ergänzen
Match User maria ChrootDirectory /home/maria ForceCommand internal-sftp
Nach einem Neustart des Systems (nur mittels sudo /etc/init.d/ssh restart den openSSH neu zu starten geht schief wenn man selbst via SSH auf dem Server ist 😉 ) bin ich tatsächlich auch via sftp kollege@123.456.789.012 auf den Server gekommen und konnte auch files nach "upload" hochladen.
Nun die Frage an euch experten, geht das so in Ordnung? passt die Koniguration? oder habe ich dabei etwas wichtiges vergessen?
Ich freue mich auf eure Antworten.
viele Grüße und einen schönen Abend
DaZeller