Instalación y configuración de scponly para SFTP y SCP

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Instalación y configuración de scponly para SFTP y SCP

Carlos Montiers
Hola compañeros de OpenBSD, quiero configurar scponly para permitir conecciones via SFTP.

Y lo he hecho así hasta ahora:

cd /usr/local/src/tar
lynx http://sublimation.org/scponly/wiki/index.php/Download

# y me descargo la version 4.8

tar -xzvf scponly-4.8.tgz
cd scponly-4.8

mg setup_chroot.sh.in
#  y busco cut f-5
# y llego a linea 74 caracter 86 y cambio cut -f5 por cut -f7
# grabo y salgo de mg

./configure --enable-chrooted-binary --enable-winscp-compat --enable-sftp-logging-compat --enable-scp-compat -with-sftp-server=/usr/libexec/sftp-server

make
make install
make jail

# y proporciono el nombre de usuario, su directorio base (/var/usuario) y el nombre del directorio de escritura; y finalmente su contraseña.

mg /etc/ssh/sshd_config
#y descomento las lineas Port 22 y ListenAddress.


Pero cuando desde windows con WinSCP 4.0.6 coloco la ip del equipo, el puerto 22, protocolo SFTP y el nombre de usuario y la contraseña, intenta autentificarse, incluso sin colocar contraseña, pues la pide, pero al final me dice:

Cannot initialize SFTP protocol. Is the host running a SFTP server?

Alguien sería tan amable de ayudarme a configurar esto como la gente :D?


--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.
-~----------~----~----~----~------~----~------~--~---

Reply | Threaded
Open this post in threaded view
|

Re: Instalación y configuración de scponly para SFTP y SCP

Jorge Sanchez Pelaez
Hola, te hace falta una linea en el sshd_config para utilizar el sftp-server, yo lo tengo de esta forma

Port 22
Protocol 2
SyslogFacility AUTH
LogLevel INFO
PermitRootLogin no
Subsystem sftp    /usr/libexec/sftp-server

Saludos
Beto
www.CompumundoHypermegared.org


El día 14/02/08, Carlos Montiers <[hidden email]> escribió:
Hola compañeros de OpenBSD, quiero configurar scponly para permitir conecciones via SFTP.

Y lo he hecho así hasta ahora:

cd /usr/local/src/tar
lynx <a href="http://sublimation.org/scponly/wiki/index.php/Download" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://sublimation.org/scponly/wiki/index.php/Download

# y me descargo la version 4.8

tar -xzvf scponly-4.8.tgz
cd scponly-4.8

mg setup_chroot.sh.in
#  y busco cut f-5
# y llego a linea 74 caracter 86 y cambio cut -f5 por cut -f7
# grabo y salgo de mg

./configure --enable-chrooted-binary --enable-winscp-compat --enable-sftp-logging-compat --enable-scp-compat -with-sftp-server=/usr/libexec/sftp-server

make
make install
make jail

# y proporciono el nombre de usuario, su directorio base (/var/usuario) y el nombre del directorio de escritura; y finalmente su contraseña.

mg /etc/ssh/sshd_config
#y descomento las lineas Port 22 y ListenAddress.


Pero cuando desde windows con WinSCP 4.0.6 coloco la ip del equipo, el puerto 22, protocolo SFTP y el nombre de usuario y la contraseña, intenta autentificarse, incluso sin colocar contraseña, pues la pide, pero al final me dice:

Cannot initialize SFTP protocol. Is the host running a SFTP server?

Alguien sería tan amable de ayudarme a configurar esto como la gente :D?





--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.
-~----------~----~----~----~------~----~------~--~---

Reply | Threaded
Open this post in threaded view
|

Re: Instalación y configuración de scponly para SFTP y SCP

Carlos Montiers
Gracias Beto.
He comprobado que el sftp funciona, pues he añadido un usuario normal, y desde otro pc con OpenBSD, me conecto con sftp.

Al parecer el problema es de la configuración del scponly.
Te agradecería ayuda para solucionarlo, y dejar funcionando esto.

El día 15/02/08, Beto <[hidden email]> escribió:
Hola, te hace falta una linea en el sshd_config para utilizar el sftp-server, yo lo tengo de esta forma

Port 22
Protocol 2
SyslogFacility AUTH
LogLevel INFO
PermitRootLogin no
Subsystem sftp    /usr/libexec/sftp-server

Saludos
Beto
<a href="http://www.CompumundoHypermegared.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">www.CompumundoHypermegared.org


El día 14/02/08, Carlos Montiers <[hidden email]> escribió:
Hola compañeros de OpenBSD, quiero configurar scponly para permitir conecciones via SFTP.

Y lo he hecho así hasta ahora:

cd /usr/local/src/tar
lynx <a href="http://sublimation.org/scponly/wiki/index.php/Download" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://sublimation.org/scponly/wiki/index.php/Download

# y me descargo la version 4.8

tar -xzvf scponly-4.8.tgz
cd scponly-4.8

mg setup_chroot.sh.in
#  y busco cut f-5
# y llego a linea 74 caracter 86 y cambio cut -f5 por cut -f7
# grabo y salgo de mg

./configure --enable-chrooted-binary --enable-winscp-compat --enable-sftp-logging-compat --enable-scp-compat -with-sftp-server=/usr/libexec/sftp-server

make
make install
make jail

# y proporciono el nombre de usuario, su directorio base (/var/usuario) y el nombre del directorio de escritura; y finalmente su contraseña.

mg /etc/ssh/sshd_config
#y descomento las lineas Port 22 y ListenAddress.


Pero cuando desde windows con WinSCP 4.0.6 coloco la ip del equipo, el puerto 22, protocolo SFTP y el nombre de usuario y la contraseña, intenta autentificarse, incluso sin colocar contraseña, pues la pide, pero al final me dice:

Cannot initialize SFTP protocol. Is the host running a SFTP server?

Alguien sería tan amable de ayudarme a configurar esto como la gente :D?






--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.
-~----------~----~----~----~------~----~------~--~---

Reply | Threaded
Open this post in threaded view
|

Re: Instalación y configuración de scponly para SFTP y SCP

Carlos Montiers
Por fin. Gracias Beto por tu guía, me sirvió mucho.
También leí otra guía e hice lo sgte:

chroot /var/usuario/ /usr/libexec/sftp-server
# y me decia que null no estaba configurado.

cat /dev/MAKEDEV | grep null
# M null c 2 2

cd /var/usuario
mkdir dev
mknod -m 666 dev/null c 2 2

#y finalmente, lo que faltaba, borrar nodev en /etc/fstab

Gracias por la guía Beto, si no escribes lo de nodev en fstab y lo de las columnas adicionales que añadieron al comando ldd, no lo podría haber hecho.

El día 15/02/08, Carlos Montiers <[hidden email]> escribió:
Gracias Beto.
He comprobado que el sftp funciona, pues he añadido un usuario normal, y desde otro pc con OpenBSD, me conecto con sftp.

Al parecer el problema es de la configuración del scponly.
Te agradecería ayuda para solucionarlo, y dejar funcionando esto.

El día 15/02/08, Beto <[hidden email]> escribió:
Hola, te hace falta una linea en el sshd_config para utilizar el sftp-server, yo lo tengo de esta forma

Port 22
Protocol 2
SyslogFacility AUTH
LogLevel INFO
PermitRootLogin no
Subsystem sftp    /usr/libexec/sftp-server

Saludos
Beto
<a href="http://www.CompumundoHypermegared.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">www.CompumundoHypermegared.org


El día 14/02/08, Carlos Montiers <[hidden email]> escribió:
Hola compañeros de OpenBSD, quiero configurar scponly para permitir conecciones via SFTP.

Y lo he hecho así hasta ahora:

cd /usr/local/src/tar
lynx <a href="http://sublimation.org/scponly/wiki/index.php/Download" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://sublimation.org/scponly/wiki/index.php/Download

# y me descargo la version 4.8

tar -xzvf scponly-4.8.tgz
cd scponly-4.8

mg setup_chroot.sh.in
#  y busco cut f-5
# y llego a linea 74 caracter 86 y cambio cut -f5 por cut -f7
# grabo y salgo de mg

./configure --enable-chrooted-binary --enable-winscp-compat --enable-sftp-logging-compat --enable-scp-compat -with-sftp-server=/usr/libexec/sftp-server

make
make install
make jail

# y proporciono el nombre de usuario, su directorio base (/var/usuario) y el nombre del directorio de escritura; y finalmente su contraseña.

mg /etc/ssh/sshd_config
#y descomento las lineas Port 22 y ListenAddress.


Pero cuando desde windows con WinSCP 4.0.6 coloco la ip del equipo, el puerto 22, protocolo SFTP y el nombre de usuario y la contraseña, intenta autentificarse, incluso sin colocar contraseña, pues la pide, pero al final me dice:

Cannot initialize SFTP protocol. Is the host running a SFTP server?

Alguien sería tan amable de ayudarme a configurar esto como la gente :D?






--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.
-~----------~----~----~----~------~----~------~--~---

Reply | Threaded
Open this post in threaded view
|

Re: Instalación y configuración de scponly para SFTP y SCP

matecocido
Carlos, yo te doy otra alternativa para el uso de sftp y que los usuarios no tengan shell.

En un caso similar lo que hice (todo con el mismo OpenSSH de OpenBSD, es decir, no instalé ninguna aplicación) fue hacer una copia del archivo de configuración, para dedicarla al sftp ya que al archivo de configuración default de ssh le deshabilito el sftp (no lo uso) y le asigno un puerto alto para evitar ataques de contraseñas por ssh.
Luego de esto le asigne un puerto específico sólo para sftp (siempre teniendo en cuenta que en el archivo de sftp tiene que estar descomentada la línea "Subsystem sftp    /usr/libexec/sftp-server", que es la que habilita el sftp), le deshabilito el root login, que sólo permita la autenticación de un grupo especial que voy a crear luego y configuro algunas cosas adicionales que ya dependen del gusto de cada uno (leer el man de sshd).
Luego creo el grupo y los usuarios para el sftp como lo hacemos habitualmente, pero definiendo en el home la carpeta que tendrá que utilizar para el sftp (a gusto de cada uno9 y como shell definir "/usr/libexec/sftp-server" (con esto logramos que no tenga shell, solo puede usar el sftp).
Luego configuramos minuciosamente los permisos de las carpetas (y aplicamos chroot si lo creemos conveniente) y listo.
Así tenemos algo similar usando solamente el OpenSSH nativo del OpenBSD.

Creo que es lo mismo en cuando a funcionalidad, nunca probé el scponly, pero a mi no me gusta mucho instalar aplicaciones si lo puedo hacer con lo que ya tiene el SO (esta mas que claro la superioridad del código).

No lo tengo documentado en wiki.openbsderos.org, pero creo que lo podría hacer dada la necesidad.

Saludos,
Hernán


2008/2/15 Carlos Montiers <[hidden email]>:
Por fin. Gracias Beto por tu guía, me sirvió mucho.
También leí otra guía e hice lo sgte:

chroot /var/usuario/ /usr/libexec/sftp-server
# y me decia que null no estaba configurado.

cat /dev/MAKEDEV | grep null
# M null c 2 2

cd /var/usuario
mkdir dev
mknod -m 666 dev/null c 2 2

#y finalmente, lo que faltaba, borrar nodev en /etc/fstab

Gracias por la guía Beto, si no escribes lo de nodev en fstab y lo de las columnas adicionales que añadieron al comando ldd, no lo podría haber hecho.

El día 15/02/08, Carlos Montiers <[hidden email]> escribió:
Gracias Beto.
He comprobado que el sftp funciona, pues he añadido un usuario normal, y desde otro pc con OpenBSD, me conecto con sftp.

Al parecer el problema es de la configuración del scponly.
Te agradecería ayuda para solucionarlo, y dejar funcionando esto.

El día 15/02/08, Beto <[hidden email]> escribió:
Hola, te hace falta una linea en el sshd_config para utilizar el sftp-server, yo lo tengo de esta forma

Port 22
Protocol 2
SyslogFacility AUTH
LogLevel INFO
PermitRootLogin no
Subsystem sftp    /usr/libexec/sftp-server

Saludos
Beto
www.CompumundoHypermegared.org


El día 14/02/08, Carlos Montiers <[hidden email]> escribió:
Hola compañeros de OpenBSD, quiero configurar scponly para permitir conecciones via SFTP.

Y lo he hecho así hasta ahora:

cd /usr/local/src/tar
lynx http://sublimation.org/scponly/wiki/index.php/Download

# y me descargo la version 4.8

tar -xzvf scponly-4.8.tgz
cd scponly-4.8

mg setup_chroot.sh.in
#  y busco cut f-5
# y llego a linea 74 caracter 86 y cambio cut -f5 por cut -f7
# grabo y salgo de mg

./configure --enable-chrooted-binary --enable-winscp-compat --enable-sftp-logging-compat --enable-scp-compat -with-sftp-server=/usr/libexec/sftp-server

make
make install
make jail

# y proporciono el nombre de usuario, su directorio base (/var/usuario) y el nombre del directorio de escritura; y finalmente su contraseña.

mg /etc/ssh/sshd_config
#y descomento las lineas Port 22 y ListenAddress.


Pero cuando desde windows con WinSCP 4.0.6 coloco la ip del equipo, el puerto 22, protocolo SFTP y el nombre de usuario y la contraseña, intenta autentificarse, incluso sin colocar contraseña, pues la pide, pero al final me dice:

Cannot initialize SFTP protocol. Is the host running a SFTP server?

Alguien sería tan amable de ayudarme a configurar esto como la gente :D?










--
# /dev/hdc
-> OpenBSDeros.org
hdc [at] openbsderos [dot] org
--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.
-~----------~----~----~----~------~----~------~--~---

Reply | Threaded
Open this post in threaded view
|

Re: Instalación y configuración de scponly para SFTP y SCP

matecocido
Ahora parecer que ya no va a ser necesario configurar el chroot de manera adicional... ya va a venir en el OpenSSH....les dejo el link
http://www.undeadly.org/cgi?action=article&sid=20080220110039

Saludos

2008/2/15 HDC <[hidden email]>:
Carlos, yo te doy otra alternativa para el uso de sftp y que los usuarios no tengan shell.

En un caso similar lo que hice (todo con el mismo OpenSSH de OpenBSD, es decir, no instalé ninguna aplicación) fue hacer una copia del archivo de configuración, para dedicarla al sftp ya que al archivo de configuración default de ssh le deshabilito el sftp (no lo uso) y le asigno un puerto alto para evitar ataques de contraseñas por ssh.
Luego de esto le asigne un puerto específico sólo para sftp (siempre teniendo en cuenta que en el archivo de sftp tiene que estar descomentada la línea "Subsystem sftp    /usr/libexec/sftp-server", que es la que habilita el sftp), le deshabilito el root login, que sólo permita la autenticación de un grupo especial que voy a crear luego y configuro algunas cosas adicionales que ya dependen del gusto de cada uno (leer el man de sshd).
Luego creo el grupo y los usuarios para el sftp como lo hacemos habitualmente, pero definiendo en el home la carpeta que tendrá que utilizar para el sftp (a gusto de cada uno9 y como shell definir "/usr/libexec/sftp-server" (con esto logramos que no tenga shell, solo puede usar el sftp).
Luego configuramos minuciosamente los permisos de las carpetas (y aplicamos chroot si lo creemos conveniente) y listo.
Así tenemos algo similar usando solamente el OpenSSH nativo del OpenBSD.

Creo que es lo mismo en cuando a funcionalidad, nunca probé el scponly, pero a mi no me gusta mucho instalar aplicaciones si lo puedo hacer con lo que ya tiene el SO (esta mas que claro la superioridad del código).

No lo tengo documentado en wiki.openbsderos.org, pero creo que lo podría hacer dada la necesidad.

Saludos,
Hernán


2008/2/15 Carlos Montiers <[hidden email]>:

Por fin. Gracias Beto por tu guía, me sirvió mucho.
También leí otra guía e hice lo sgte:

chroot /var/usuario/ /usr/libexec/sftp-server
# y me decia que null no estaba configurado.

cat /dev/MAKEDEV | grep null
# M null c 2 2

cd /var/usuario
mkdir dev
mknod -m 666 dev/null c 2 2

#y finalmente, lo que faltaba, borrar nodev en /etc/fstab

Gracias por la guía Beto, si no escribes lo de nodev en fstab y lo de las columnas adicionales que añadieron al comando ldd, no lo podría haber hecho.

El día 15/02/08, Carlos Montiers <[hidden email]> escribió:
Gracias Beto.
He comprobado que el sftp funciona, pues he añadido un usuario normal, y desde otro pc con OpenBSD, me conecto con sftp.

Al parecer el problema es de la configuración del scponly.
Te agradecería ayuda para solucionarlo, y dejar funcionando esto.

El día 15/02/08, Beto <[hidden email]> escribió:
Hola, te hace falta una linea en el sshd_config para utilizar el sftp-server, yo lo tengo de esta forma

Port 22
Protocol 2
SyslogFacility AUTH
LogLevel INFO
PermitRootLogin no
Subsystem sftp    /usr/libexec/sftp-server

Saludos
Beto
www.CompumundoHypermegared.org


El día 14/02/08, Carlos Montiers <[hidden email]> escribió:
Hola compañeros de OpenBSD, quiero configurar scponly para permitir conecciones via SFTP.

Y lo he hecho así hasta ahora:

cd /usr/local/src/tar
lynx http://sublimation.org/scponly/wiki/index.php/Download

# y me descargo la version 4.8

tar -xzvf scponly-4.8.tgz
cd scponly-4.8

mg setup_chroot.sh.in
#  y busco cut f-5
# y llego a linea 74 caracter 86 y cambio cut -f5 por cut -f7
# grabo y salgo de mg

./configure --enable-chrooted-binary --enable-winscp-compat --enable-sftp-logging-compat --enable-scp-compat -with-sftp-server=/usr/libexec/sftp-server

make
make install
make jail

# y proporciono el nombre de usuario, su directorio base (/var/usuario) y el nombre del directorio de escritura; y finalmente su contraseña.

mg /etc/ssh/sshd_config
#y descomento las lineas Port 22 y ListenAddress.


Pero cuando desde windows con WinSCP 4.0.6 coloco la ip del equipo, el puerto 22, protocolo SFTP y el nombre de usuario y la contraseña, intenta autentificarse, incluso sin colocar contraseña, pues la pide, pero al final me dice:

Cannot initialize SFTP protocol. Is the host running a SFTP server?

Alguien sería tan amable de ayudarme a configurar esto como la gente :D?










--
# /dev/hdc
-> OpenBSDeros.org
hdc [at] openbsderos [dot] org



--
# /dev/hdc
-> OpenBSDeros.org
hdc [at] openbsderos [dot] org
--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.
-~----------~----~----~----~------~----~------~--~---

Reply | Threaded
Open this post in threaded view
|

Re: Instalación y configuración de scponly para SFTP y SCP

Francisco Valladolid H.
Tambien lei la nota y me parece algo muy bueno, complementa este thread. Era la demanda de varios.

Saludos.

2008/2/22 HDC <[hidden email]>:
Ahora parecer que ya no va a ser necesario configurar el chroot de manera adicional... ya va a venir en el OpenSSH....les dejo el link
http://www.undeadly.org/cgi?action=article&sid=20080220110039

Saludos

2008/2/15 HDC <[hidden email]>:
Carlos, yo te doy otra alternativa para el uso de sftp y que los usuarios no tengan shell.

En un caso similar lo que hice (todo con el mismo OpenSSH de OpenBSD, es decir, no instalé ninguna aplicación) fue hacer una copia del archivo de configuración, para dedicarla al sftp ya que al archivo de configuración default de ssh le deshabilito el sftp (no lo uso) y le asigno un puerto alto para evitar ataques de contraseñas por ssh.
Luego de esto le asigne un puerto específico sólo para sftp (siempre teniendo en cuenta que en el archivo de sftp tiene que estar descomentada la línea "Subsystem sftp    /usr/libexec/sftp-server", que es la que habilita el sftp), le deshabilito el root login, que sólo permita la autenticación de un grupo especial que voy a crear luego y configuro algunas cosas adicionales que ya dependen del gusto de cada uno (leer el man de sshd).
Luego creo el grupo y los usuarios para el sftp como lo hacemos habitualmente, pero definiendo en el home la carpeta que tendrá que utilizar para el sftp (a gusto de cada uno9 y como shell definir "/usr/libexec/sftp-server" (con esto logramos que no tenga shell, solo puede usar el sftp).
Luego configuramos minuciosamente los permisos de las carpetas (y aplicamos chroot si lo creemos conveniente) y listo.
Así tenemos algo similar usando solamente el OpenSSH nativo del OpenBSD.

Creo que es lo mismo en cuando a funcionalidad, nunca probé el scponly, pero a mi no me gusta mucho instalar aplicaciones si lo puedo hacer con lo que ya tiene el SO (esta mas que claro la superioridad del código).

No lo tengo documentado en wiki.openbsderos.org, pero creo que lo podría hacer dada la necesidad.

Saludos,
Hernán


2008/2/15 Carlos Montiers <[hidden email]>:

Por fin. Gracias Beto por tu guía, me sirvió mucho.
También leí otra guía e hice lo sgte:

chroot /var/usuario/ /usr/libexec/sftp-server
# y me decia que null no estaba configurado.

cat /dev/MAKEDEV | grep null
# M null c 2 2

cd /var/usuario
mkdir dev
mknod -m 666 dev/null c 2 2

#y finalmente, lo que faltaba, borrar nodev en /etc/fstab

Gracias por la guía Beto, si no escribes lo de nodev en fstab y lo de las columnas adicionales que añadieron al comando ldd, no lo podría haber hecho.

El día 15/02/08, Carlos Montiers <[hidden email]> escribió:
Gracias Beto.
He comprobado que el sftp funciona, pues he añadido un usuario normal, y desde otro pc con OpenBSD, me conecto con sftp.

Al parecer el problema es de la configuración del scponly.
Te agradecería ayuda para solucionarlo, y dejar funcionando esto.

El día 15/02/08, Beto <[hidden email]> escribió:
Hola, te hace falta una linea en el sshd_config para utilizar el sftp-server, yo lo tengo de esta forma

Port 22
Protocol 2
SyslogFacility AUTH
LogLevel INFO
PermitRootLogin no
Subsystem sftp    /usr/libexec/sftp-server

Saludos
Beto
www.CompumundoHypermegared.org


El día 14/02/08, Carlos Montiers <[hidden email]> escribió:
Hola compañeros de OpenBSD, quiero configurar scponly para permitir conecciones via SFTP.

Y lo he hecho así hasta ahora:

cd /usr/local/src/tar
lynx http://sublimation.org/scponly/wiki/index.php/Download

# y me descargo la version 4.8

tar -xzvf scponly-4.8.tgz
cd scponly-4.8

mg setup_chroot.sh.in
#  y busco cut f-5
# y llego a linea 74 caracter 86 y cambio cut -f5 por cut -f7
# grabo y salgo de mg

./configure --enable-chrooted-binary --enable-winscp-compat --enable-sftp-logging-compat --enable-scp-compat -with-sftp-server=/usr/libexec/sftp-server

make
make install
make jail

# y proporciono el nombre de usuario, su directorio base (/var/usuario) y el nombre del directorio de escritura; y finalmente su contraseña.

mg /etc/ssh/sshd_config
#y descomento las lineas Port 22 y ListenAddress.


Pero cuando desde windows con WinSCP 4.0.6 coloco la ip del equipo, el puerto 22, protocolo SFTP y el nombre de usuario y la contraseña, intenta autentificarse, incluso sin colocar contraseña, pues la pide, pero al final me dice:

Cannot initialize SFTP protocol. Is the host running a SFTP server?

Alguien sería tan amable de ayudarme a configurar esto como la gente :D?










--
# /dev/hdc
-> OpenBSDeros.org
hdc [at] openbsderos [dot] org



--
# /dev/hdc
-> OpenBSDeros.org
hdc [at] openbsderos [dot] org




--
Francisco Valladolid H.
-- http://bsdguy.net - Jesus Christ follower.
--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.
-~----------~----~----~----~------~----~------~--~---

Reply | Threaded
Open this post in threaded view
|

Re: Instalación y configuración de scponly para SFTP y SCP

Carlos Montiers
In reply to this post by matecocido

Gracias Hernan por la información, tu idea me parece mejor. Disculpa
por la tardanza en agradecer.

HDC ha escrito:

> Ahora parecer que ya no va a ser necesario configurar el chroot de manera
> adicional... ya va a venir en el OpenSSH....les dejo el link
> http://www.undeadly.org/cgi?action=article&sid=20080220110039
>
> Saludos
>
> 2008/2/15 HDC <[hidden email]>:
>
> > Carlos, yo te doy otra alternativa para el uso de sftp y que los usuarios
> > no tengan shell.
> >
> > En un caso similar lo que hice (todo con el mismo OpenSSH de OpenBSD, es
> > decir, no instal� ninguna aplicaci�n) fue hacer una copia del archivo de
> > configuraci�n, para dedicarla al sftp ya que al archivo de configuraci�n
> > default de ssh le deshabilito el sftp (no lo uso) y le asigno un puerto alto
> > para evitar ataques de contrase�as por ssh.
> > Luego de esto le asigne un puerto espec�fico s�lo para sftp (siempre
> > teniendo en cuenta que en el archivo de sftp tiene que estar descomentada la
> > l�nea "Subsystem sftp    /usr/libexec/sftp-server", que es la que habilita
> > el sftp), le deshabilito el root login, que s�lo permita la autenticaci�n de
> > un grupo especial que voy a crear luego y configuro algunas cosas
> > adicionales que ya dependen del gusto de cada uno (leer el man de sshd).
> > Luego creo el grupo y los usuarios para el sftp como lo hacemos
> > habitualmente, pero definiendo en el home la carpeta que tendr� que utilizar
> > para el sftp (a gusto de cada uno9 y como shell definir
> > "/usr/libexec/sftp-server" (con esto logramos que no tenga shell, solo puede
> > usar el sftp).
> > Luego configuramos minuciosamente los permisos de las carpetas (y
> > aplicamos chroot si lo creemos conveniente) y listo.
> > As� tenemos algo similar usando solamente el OpenSSH nativo del OpenBSD.
> >
> > Creo que es lo mismo en cuando a funcionalidad, nunca prob� el scponly,
> > pero a mi no me gusta mucho instalar aplicaciones si lo puedo hacer con lo
> > que ya tiene el SO (esta mas que claro la superioridad del c�digo).
> >
> > No lo tengo documentado en wiki.openbsderos.org, pero creo que lo podr�a
> > hacer dada la necesidad.
> >
> > Saludos,
> > Hern�n
> >
> >
> > 2008/2/15 Carlos Montiers <[hidden email]>:
> >
> > Por fin. Gracias Beto por tu gu�a, me sirvi� mucho.
> > > Tambi�n le� otra gu�a e hice lo sgte:
> > >
> > > chroot /var/usuario/ /usr/libexec/sftp-server
> > > # y me decia que null no estaba configurado.
> > >
> > > cat /dev/MAKEDEV | grep null
> > > # M null c 2 2
> > >
> > > cd /var/usuario
> > > mkdir dev
> > > mknod -m 666 dev/null c 2 2
> > >
> > > #y finalmente, lo que faltaba, borrar nodev en /etc/fstab
> > >
> > > Gracias por la gu�a Beto, si no escribes lo de nodev en fstab y lo de
> > > las columnas adicionales que a�adieron al comando ldd, no lo podr�a haber
> > > hecho.
> > >
> > > El d�a 15/02/08, Carlos Montiers <[hidden email]> escribi�:
> > >
> > > > Gracias Beto.
> > > >
> > > > He comprobado que el sftp funciona, pues he a�adido un usuario normal, y desde otro pc con OpenBSD, me conecto con sftp.
> > > >
> > > > Al parecer el problema es de la configuraci�n del scponly.
> > > > Te agradecer�a ayuda para solucionarlo, y dejar funcionando esto.
> > > >
> > > > El d�a 15/02/08, Beto <[hidden email]> escribi�:
> > > > >
> > > > > Hola, te hace falta una linea en el sshd_config para utilizar el
> > > > > sftp-server, yo lo tengo de esta forma
> > > > >
> > > > > Port 22
> > > > > Protocol 2
> > > > > SyslogFacility AUTH
> > > > > LogLevel INFO
> > > > > PermitRootLogin no
> > > > > Subsystem sftp    /usr/libexec/sftp-server
> > > > >
> > > > > Saludos
> > > > > Beto
> > > > > www.CompumundoHypermegared.org
> > > > >
> > > > >
> > > > > El d�a 14/02/08, Carlos Montiers <[hidden email]> escribi�:
> > > > > >
> > > > > > Hola compa�eros de OpenBSD, quiero configurar scponly para
> > > > > > permitir conecciones via SFTP.
> > > > > >
> > > > > > Y lo he hecho as� hasta ahora:
> > > > > >
> > > > > > cd /usr/local/src/tar
> > > > > > lynx http://sublimation.org/scponly/wiki/index.php/Download
> > > > > >
> > > > > > # y me descargo la version 4.8
> > > > > >
> > > > > > tar -xzvf scponly-4.8.tgz
> > > > > > cd scponly-4.8
> > > > > >
> > > > > > mg setup_chroot.sh.in
> > > > > > #  y busco cut f-5
> > > > > > # y llego a linea 74 caracter 86 y cambio cut -f5 por cut -f7
> > > > > > # grabo y salgo de mg
> > > > > >
> > > > > > ./configure --enable-chrooted-binary --enable-winscp-compat
> > > > > > --enable-sftp-logging-compat --enable-scp-compat
> > > > > > -with-sftp-server=/usr/libexec/sftp-server
> > > > > >
> > > > > > make
> > > > > > make install
> > > > > > make jail
> > > > > >
> > > > > > # y proporciono el nombre de usuario, su directorio base
> > > > > > (/var/usuario) y el nombre del directorio de escritura; y finalmente su
> > > > > > contrase�a.
> > > > > >
> > > > > > mg /etc/ssh/sshd_config
> > > > > > #y descomento las lineas Port 22 y ListenAddress.
> > > > > >
> > > > > >
> > > > > > Pero cuando desde windows con WinSCP 4.0.6 coloco la ip del
> > > > > > equipo, el puerto 22, protocolo SFTP y el nombre de usuario y la contrase�a,
> > > > > > intenta autentificarse, incluso sin colocar contrase�a, pues la pide, pero
> > > > > > al final me dice:
> > > > > >
> > > > > > Cannot initialize SFTP protocol. Is the host running a SFTP
> > > > > > server?
> > > > > >
> > > > > > Alguien ser�a tan amable de ayudarme a configurar esto como la
> > > > > > gente :D?
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > > > > > > >
> > > > >
> >
> >
> > --
> > # /dev/hdc
> > -> OpenBSDeros.org
> > hdc [at] openbsderos [dot] org
>
>
>
>
> --
> # /dev/hdc
> -> OpenBSDeros.org
> hdc [at] openbsderos [dot] org
--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.

-~----------~----~----~----~------~----~------~--~---