1. Dator och IT
  2. Programvara: övriga operativsystem

Säker sFTP-server via VPN

Svara
2009-11-21, 13:56
  #1
YouSuck
Medlem
YouSucks avatar
Hej på er! Nu är det så att jag funderar på en sFTP-server för mina nära, kära och bekanta.

Har ett par frågor. Jag betalar för en VPN och vill därför att ALL trafik, då menar jag ALL trafik, ska gå via VPN:en vilket betyder att skulle VPNen gå ner/dö/driftstoppas ska all traffik sluta DIREKT och starta igen när VPNen är uppe igen.

Detta borde väl gå att konfigureras med hjälp av IPTables men det var säkert 10 år sedan jag höll på med det senast. Antar att någon har gjort någon liknande som skulle kunna ge förslag på uppbyggnad av detta?

Har även en ytterligare fråga. Hur lägger man till användare till en sFTP-server som bara kan ladda upp till "Upload" men tanka från resten osv osv (ni fattar).

Disten just nu är Ubuntu 9.10.
Citera
2009-11-21, 14:46
  #2
bradstronger
Medlem
En bra guide, du kan skippa första delen eftersom openssh är redan i rätt version.

http://ubuntuforums.org/showthread.php?t=858475
__________________
Senast redigerad av bradstronger 2009-11-21 kl. 14:46. Anledning: stavfel
Citera
2009-11-21, 15:37
  #3
-rwxr-x
Bannlyst
Citat:
Ursprungligen postat av bradstronger
En bra guide, du kan skippa första delen eftersom openssh är redan i rätt version.

http://ubuntuforums.org/showthread.php?t=858475


Det var väl inte riktigt det han fråga efter, d v s en chrootad användare som kör sftp.

Du skaffar en router där du kan köra VPN Site-TO-Site lösning mot den andra VPN-servern.
Detta innebär att all din trafik går ner om VPN-anslutningen slutar fungera.
Givetvis skall du routa allt riktigt.

Om du har detta på routernivå, kommer detta även inkludera all annnan trafik från ditt LAN.
Citera
2009-11-21, 15:53
  #4
YouSuck
Medlem
YouSucks avatar
Citat:
Ursprungligen postat av -rwxr-x
Det var väl inte riktigt det han fråga efter, d v s en chrootad användare som kör sftp.

Du skaffar en router där du kan köra VPN Site-TO-Site lösning mot den andra VPN-servern.
Detta innebär att all din trafik går ner om VPN-anslutningen slutar fungera.
Givetvis skall du routa allt riktigt.

Om du har detta på routernivå, kommer detta även inkludera all annnan trafik från ditt LAN.

Min router som jag har är precis nyinköpt i samband med en flytt och eftersom jag räknas som låginkomsttagare är att köpa nytt inget alternativ för mig, annars hade det varit en kanonidé. Med tanke på detta scenario är väl IPTables det bästa alternativet och billigaste alternativet. Frågan är bara hur
Citera
2009-11-21, 21:27
  #5
dunkenbergman
Medlem
dunkenbergmans avatar
Citat:
Ursprungligen postat av YouSuck
Min router som jag har är precis nyinköpt i samband med en flytt och eftersom jag räknas som låginkomsttagare är att köpa nytt inget alternativ för mig, annars hade det varit en kanonidé. Med tanke på detta scenario är väl IPTables det bästa alternativet och billigaste alternativet. Frågan är bara hur

Du vill alltså att alla trafik ska brytas när VPNen dör?

Du kan ju binda sshd till den ip som du har genom VPN-tunneln, när tunneln går ner så skulle sshd dö.

Du kan ju döda all trafik som inte kommer till/från VPN-tunneln i IPtables, men jag har ingen aning om hur.
Citera
2009-11-21, 22:49
  #6
bradstronger
Medlem
Citat:
Ursprungligen postat av -rwxr-x
Det var väl inte riktigt det han fråga efter, d v s en chrootad användare som kör sftp.

Du skaffar en router där du kan köra VPN Site-TO-Site lösning mot den andra VPN-servern.
Detta innebär att all din trafik går ner om VPN-anslutningen slutar fungera.
Givetvis skall du routa allt riktigt.

Om du har detta på routernivå, kommer detta även inkludera all annnan trafik från ditt LAN.
Glömde bort att nämna att mitt inlägg var riktat mot hur man sätter upp mapparn för upload och shared.
Citera
2009-11-22, 01:54
  #7
YouSuck
Medlem
YouSucks avatar
Citat:
Ursprungligen postat av dunkenbergman


Du vill alltså att alla trafik ska brytas när VPNen dör?

Du kan ju binda sshd till den ip som du har genom VPN-tunneln, när tunneln går ner så skulle sshd dö.

Du kan ju döda all trafik som inte kommer till/från VPN-tunneln i IPtables, men jag har ingen aning om hur.

Precis, ALLT trafik. Ditt förslag gör väl att bara traffik från SSH-tunneln dör, right? Tanken är också att den ska stå som Torrent-server, inte ens minsta lilla ping ska ut. Tror jag har det på G nu. Ska posta hur jag gjorde sen om jag kommer ihåg

Citat:
Ursprungligen postat av bradstronger
Glömde bort att nämna att mitt inlägg var riktat mot hur man sätter upp mapparn för upload och shared.

Ditt inlägg var guld värt eftersom det mer eller mindre svarade helt på en av mina frågor! Tackar så ödmjukast!
Citera
2009-11-22, 05:42
  #8
YouSuck
Medlem
YouSucks avatar
Om det nu kan vara till någon hjälp för någon så knåpade jag ihop ett script av den guiden för att lägga till och ta bort användare till sFTP-servern. Egentligen är det copy-paste men så slipper någon annan göra samma sak

Modifiera efter eget behov!

Lägga till användare, sftpadd.sh:
Kod: 
#!/bin/bash
# Add sFTP-user with pre file dirs

if [[ $EUID -ne 0 ]]; then
        echo "You is not teh 1337 root" 2>&1
        exit 1
else
        read -p "Enter username : " user
        read -s -p "Enter password : " pass

#START CREATE
#basics
#       mkdir /home/$user
        useradd -m -p $pass $user
        chown root:$user /home/$user
        chmod 755 /home/$user
        usermod -d /home/$user $user #just in case

#no shell access
        usermod -s /bin/false $user

        echo    "
        #$user
        Match User $user
             ChrootDirectory /home/$user
             ForceCommand internal-sftp" >> /etc/ssh/sshd_config

#give upload
        mkdir /home/$user/upload
        chown $user:$user /home/$user/upload
        chmod 755 /home/$user/upload

#add file dirs
                mkdir /home/$user/archive1
                mount -r --bind /mnt/disk /home/$user/archive1
                mkdir /home/$user/archive2
                mount -r --bind /mnt/disk /home/$user/archive2
                echo "Copy and add mounts to rc.local
mount -r --bind /mnt/disk /home/$user/archive2"
fi
#ALL DONE

Ta bort, sftpdel.sh

Kod: 
#!/bin/bash
# Add sFTP-user with bindnings-script

if [[ $EUID -ne 0 ]]; then
        echo "You is not teh 1337 root" 2>&1
        exit 1
else
        read -p "Enter username : " user

#STARTING DELETE
		userdel $user
		rm -rf /home/$user
		echo "Edit /etc/ssh/sshd_config"
		echo "Success"
fi
#ALL DONE


Nackdelen är när man vill lägga till en till hårddisk/mapp till samtliga användare blir det jobbigt om man har ett par stycken. Eller har jag missuppfattat allt om att man inte kan ha flera användare på samma hemmapp?
__________________
Senast redigerad av YouSuck 2009-11-22 kl. 05:59.
Citera
2009-11-22, 05:51
  #9
Riisen
Medlem
Riisens avatar
du kan jue göra grupper så att dom som är i gruppen sFTPnormal har vissa mappar och dom i gruppen sFTPvips har samma mappar + nån till och dom i samma grupp ska kunna ha samma hem mapp.. tror till och med att man ska kunna ha samma hem mapp annars också fast vet inte säkert :P ..
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in