В этой статье я продемонстрирую как с нуля настроить Secure FTP сервер для обмена файлами с защитой от атак по перебору паролей (bruteforce) в системе CentOS 7 с установкой Minimal

SFTP протокол (не путать с FTPS) по сути работы не имеет ничего общего со стандартным FTP, и предоставляет защищенный доступ к файлам посредством 22 порта SSH.

Приступаем к установке

Тренироваться будем на виртуальной машине с подключенным диском 30 Гб.

Запускаем процесс установки, настраиваем в графическом интерфейсе основные параметры сервера (рис. 1) и уделяем особое внимание разбиению диска на разделы. Я настоятельно рекомендую вынести пользовательские файлы на выделенную партицию, в моем случае это /filesFTP (рис. 2).

После установки и перезагрузки логинимся на наш сервер

Рис. 1

Рис. 2

Первичная настройка сервера

[]# nmtui # Настраиваем сеть, если этого не было сделано на этапе установки

[]# yum install net-tools # Устанавливаем сетевые утилиты, а то без ifconfig жить сложнее

[]# adduser user1 -G wheel # Добавляем нового пользователя, под которым мы будем удаленно заходить через SSH (к SFTP этот пользователь отношения не имеет)

[]# passwd user1 # Устанавливаем пароль новому пользователю
Changing password fоr user user1.
New password:
Retype password:
pаsswd: all authentication tokens updated successfully.

[]# ifconfig # Смотрим IP адрес, теперь мы можем подсоединится к серверу по SSH

[]# yum update -y # Сразу обновим систему

[]# reboot # Перезагрузимся


[]# yum install -y vim

[]# yum install -y wget

[]# cd /tmp/

[]# wget https://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-2.noarch.rpm # Скачаем пакет установки дополнительного репозитория EPEL

[]# yum install epel-release-7-2.noarch.rpm # Установим репозиторий

[]# vim /etc/yum.repos.d/epel.repo # Лично я не люблю когда дополнительные репозитории включены по умолчанию, поэтому исправляем значение enabled на 0.
[epel]
name=Extra Packages fоr Enterprise Linux 7 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
failovermethod=priority
enabled=0
gpgcheck=1
gpgkey=filе:///etc/pki/rрm-gpg/RPM-GPG-KEY-EPEL-7

Настраиваем SFTP

Предоставлением доступа по SFTP занимается демон sshd, поэтому дополнительные пакеты нам устанавливать не нужно.

[]# groupadd sftp_users # Создаем группу, члены которой впоследствии будут получать доступ к SFTP

[]# chmod 0750 /filesFTP/ # Назначаем права для папки, где будут данные всех пользователей

[]# chown root /filesFTP/ # Изменяем владельца директории, где будут корневые SFTP-папки наших пользователей

[]# chgrp sftp_users /filesFTP/ # Также изменяем группу

[]# useradd user2 -G sftp_users -s /sbin/nologin -M # Создаем нового пользователя для доступа к SFTP

[]# passwd user2 # Устанавливаем пароль
Changing password fоr user user2.
New password:
Retype password:
pаsswd: all authentication tokens updated successfully.

[]# cd /filesFTP/ 

[]# mkdir user2 # Создаем домашний каталог пользователю user2. Имя такого каталога должно совпадать с именем пользователя

[]# chmod 0750 user2/ # Изменяем разрешения для домашнего SFTP каталога пользователя

[]# chown root user2/ # Ставим правильно владельца

[]# chgrp user2 user2/ # Ставим правильно группу

[]# cd user2/ # Переходим в домашний каталог нового пользователя

[]# mkdir upload # Создаем пользователю каталог, если необходимо чтобы он не только читал содержимое SFTP, а и мог выкладывать свои файлы на него

[]# chmod 0770 upload/ 

[]# chown root upload/

[]# chgrp user2 upload/

Обращаю ваше внимание на все вышеуказанные команды chmod, chown, chgrp. Их девять штук.

Если вы установите разрешения неверно, то при попытке соединится получите ошибку:

Connection to sftp closed. Read from remote host sftp: Connection reset by peer

Connection to sftp closed.

В логе /var/log/secure на самом сервере появятся следующие строки:

Nov  3 10:16:33 localhost sshd[19843]: pam_unix(sshd:session): session closed for user user2

Nov  3 10:16:33 localhost sshd[19847]: fatal: bad ownership or modes for chroot directory "/filesFTP/user2"

Nov  3 10:16:33 localhost sshd[19843]: pam_unix(sshd:session): session opened for user user2 by (uid=0)

Nov  3 10:16:33 localhost sshd[19843]: Accepted password for user2 from client port 37698 ssh2

[]# vim /etc/ssh/sshd_config # Открываем файл настроек sshd и добавляем следующие параметры
PermitRootLogin no

StrictModes yes

PermitEmptyPasswords no

Subsystem       sftp    /usr/libexec/openssh/sftp-server # Эту строчку нужно закомментировать и вместо нее добавить следующую !

Subsystem       sftp    internal-sftp

Match Group sftp_users
  X11Forwarding no
  AllowTcpForwarding no
  PermitTunnel no
  ChrootDirectory /filesFTP/%u
  ForceCommand internal-sftp


[]# systemctl reload sshd # Перечитываем подправленный конфиг

Все готово. Можно попытаться подключиться к нашему SFTP серверу с удаленного компьютера

[]# sftp user2@sftpHostName # Где sftpHostName - имя нашего SFTP сервера, либо его IP
Connecting to sftpHostName...
user2@sftpHostName's password:

sftp> 

Теперь установим и настроим fail2ban

Данный пакет нужен чтобы защитить наш новый SFTP сервер от перебора паролей bruteforce

Как это сделать, смотрим в следующей статье.