Kanpo Web Erabiltzaileak

Kanpo web erabiltzaile berri bat sortzeko lehen pausua SFTP erabiltzaile mugatu berri bat sortzea da. Adibide honetan webuser erabiltzaile izena erabiliko da.

Behin prozesua amaituta hurrengo urratsa web orrialdearen gordailua sortzea da. Kasu honetan web orrialdeak /var/www direktorioan gordeko dira. Beraz:

sudo mkdir /var/www/webuser
sudo chown webuser:webuser /var/www/webuser
sudo chmod 755 /var/www/webuser

webuser erabiltzailea SFTP erabiltzaile mugatu da, beraz ez du /var/www direkotorioa atzizeko modurik. Atzipena ahalbidetzeko ezinbestekoa da direktorio binding-a egitea. Lehenik erabiltzaileran home-an www izeneko direkotorioa sortu beharra dago:

sudo mkdir /home/webuser/www

ondoren direktorio biak binding prozesuaz linkatu:

sudo mount /var/www/webuser /home/webuser/www -o bind

horrela erabiltzaileak /var/www/webuser direktorioaren edukia atzigarri izango du /home/webuser/www direktorioaren bitartez. Prozesu hau ordea ez da behin betikoa. Zerbitzaria berabiatzearakoan komando bera exekutatu beharko da berriz ere. Hori dela eta /etc/rc.local script-ean lerro hori gehitzea gomendatzen da (Kasu honetan azken script horretan exekutatzen den azpi-script batean gehitu da /home/myuser/bin/mount-binds.sh-an alegia).

Azkenik, web erabiltzaile askok mysql datu basera atzipena beharrezkoa izaten dute. Horretarako phpmyadmin bezalako tresna bat erabiltzea gomendatze da. Prozesuan honako puntuak izan beharko dira kontuan:

  • Sortutako erabiltzailearen izen eta pasahitza sistemakoaren berak izatea gomendatzen da.
  • Erabiltzaileari baimen global guztiak ezabatu behar zaizkio (zerbitzariko beste edozein datu base atzitu ez dezan).
  • Erabiltzaile izen berbera izango duen datu base berria sortzea.
  • Erabiltzaileari bere datu base propioari beharrezko baimenak ematea.

Atzipen ez onartuak ekiditeko, garrantzi handikoa da sortutako erabiltzailearen baimenak egiaztatzea,

SFTP Erabiltzaile Mugatuak

Sftp protokoloa erabiltzen denean erabiltzaileak libreki nabiga dezakete sistemako direktorien hartean. Askatasun horrek arazoak eman ditzazke erabiltzaileen kontrola norbanakoaren home direktoriora mugatu nahi den kasuetan. Arazoa ekiditeko chroot bidezko sftp sistema erabiltzea besterik ez dago.

OpenSSH Zerbitzuaren Konfigurazioa

Zerbitzariak erabiltzaile mugatuak onartu ditzan /etc/ssh/sshd_config konfigurazio fitxategia editatu beharra dago.

  • Sftp exekutagarria definitzen duen lerroa iruzkindu
#Subsystem sftp /usr/lib/openssh/sftp-server
  • eta beste honegatik ordezkatu
Subsystem sftp internal-sftp
  • Fitxategiaren amaieran erabiltzaile mugatuentzako konfigurazio espezifikoa ezarri
Match Group sftp    
    ChrootDirectory %h
    ForceCommand internal-sftp
    AllowTcpForwarding no

non sftp taldea sftp zerbitzaria erabiliko duten erabiltzaile mugatuen talde komuna den. Kontuan izan talde honen ordez beste edozein talde-izen erabili daitekeela.

Talde berria sortu

Aurreko atalean ikusi den bezala talde berri bat definitu behar da erabiltzaile mugatuentzat. Horretarako honako komandoa erabiliko da:

sudo addgroup sftp

Erabiltzaile berria

Lehenik eta behin erabiltzailearen home direktorioa eraiki behar da.

sudo mkdir /home/sftpuser
sudo mkdir /home/sftpuser/data

kontuan izan home direktorioaren erroa root erabiltzailearen kontrolpean egon behar duela (chroot egin ahal izateko) eta beraz erabiltzaileak ez duela idazketa baimenik edukiko. Erabiltzaileak idazketak egin ahal izan ditzan data azpi direktorioa sortu eta bi direktorioei beharrezko baimenak ezarri behar zaizkie

sudo useradd sftpuser
sudo chown root:root /home/sftpuser
sudo chmod 755 /home/sftpuser
sudo chown sftpuser:sftpuser /home/sftpuser/data

azkenik erabiltzaile berria sortu eta konfiguratu beharra dago.

sudo passwd sftpuser
sudo usermod -s /bin/false sftpuser
sudo usermod -d /home/sftpuser sftpuser

kontuan izan erabiltzailearen komando interpretatzailetzat /bin/false ezarri dela. Modu honetan erabiltzaile mugatuen ssh bidezko kautotzea ekiditen da. Azkenik erabiltzaile berria sftp taldera gehitzea besterik ez da gelditzen.

sudo adduser sftpuser sftp