SFTP служба забезпечує безпечний механізм доступу і передачі файлів через тунель SSH. Якщо ви налаштовуєте SFTP сервер, доступ до якого матимуть безліч користувачів, то вам потрібно налаштувати захист не тільки від зовнішніх загроз для захисту користувачів SFTP, але і для захисту від загроз від легітимних, але (потенційно) зловмисних користувачів. Це досягається ізолюванням оточення індивідуальних користувачів SFTP.
У цій інструкції я покажу, як налаштувати безпечний SFTP сервер на Linux. Це буде досягнуто захистом SFTP сервера від SFTP користувачів і ізолюванням індивідуальних SFTP користувачів один від одного. Цю мету можна досягти багатьма способами, але я опишу як це зробити способом, заснованому на застосуванні MySecureShell.
MySecureShell - це SFTP сервер, заснований на OpenSSH, особливістю його є ряд функцій безпеки:
Установка MySecureShell на Linux
Для більшості популярних дистрибутивів MySecureShell поширюється у вигляді скомпільованих бінарних файлів. Але не для всіх вони включені в офіційні репозиторії.
Для користувачів свіжої версії Debian все просто - ставимо з офіційного репозиторію.
Debian 8 (Jessie)
Download 50k # ліміт швидкості завантаження для всіх з'єднань
Upload 0 # необмежена швидкість аплоаду для всіх з'єднань
StayAtHome true # обмежити користувача його / її домашнім каталогом
LimitConnectionByUser 1 # максимальне число з'єднань на один обліковий запис
LimitConnectionByIP 1 # максимальну кількість з'єднань на один IP для кожної облікового запису
IdleTimeOut 300 # від'єднати користувача при занадто довгою неактивності (в секундах)
HideNoAccess true # заховати файл / каталог до яких користувач не має доступу