OpenSSH: Diferença entre sftp interno e sftp-server

Ambos sftp-servere internal-sftpfazem parte do OpenSSH. O sftp-serveré um binário autônomo. O internal-sftpé apenas uma palavra-chave de configuração que diz sshdpara usar o código do servidor SFTP embutido no sshd, em vez de executar outro processo (o que normalmente seria o sftp-server).

O internal-sftpfoi adicionado muito mais tarde (OpenSSH 4.9p1 em 2008?) do que o sftp-serverbinário autônomo. Mas é o padrão até agora. O sftp-serveragora é redundante e é mantido provavelmente para compatibilidade com versões anteriores.

Acredito que não há razão para usar o sftp-serverpara novas instalações.

Do ponto de vista funcional, os sftp-servere internal-sftpsão quase idênticos. Eles são construídos a partir do mesmo código-fonte.

A principal vantagem do internal-sftpé que ele não requer arquivos de suporte quando usado com a ChrootDirectorydiretiva .

Citações da sshd_config(5)página man :

• Para Subsystemdiretiva :

  O comando sftp-serverimplementa o subsistema de transferência de arquivos SFTP.

  Como alternativa, o nome internal-sftpimplementa um servidor SFTP em processo. Isso pode simplificar as configurações usando ChrootDirectorypara forçar uma raiz diferente do sistema de arquivos nos clientes.

• Para ForceCommanddiretiva :

  Especificar um comando de internal-sftpforçará o uso de um servidor SFTP em processo que não requer arquivos de suporte quando usado com ChrootDirectory.

• Para ChrootDirectorydiretiva :

  O ChrootDirectorydeve conter os arquivos e diretórios necessários para suportar a sessão do usuário. Para uma sessão interativa, isso requer pelo menos um shell, normalmente sh, e /devnós básicos como null, zero, stdin, stdout, stderre ttydevices. Para sessões de transferência de arquivos usando SFTP, nenhuma configuração adicional do ambiente é necessária se o servidor sftp em processo for usado, embora as sessões que usam logging possam exigir /dev/logdentro do diretório chroot em alguns sistemas operacionais (consulte sftp-serverpara obter detalhes).

Outra vantagem do internal-sftpé um desempenho, pois não é necessário executar um novo subprocesso para ele.

Pode parecer que o sshdpode usar automaticamente o internal-sftp, quando encontra o sftp-server, pois a funcionalidade é idêntica e o internal-sftptem até as vantagens acima. Mas há casos extremos, onde há diferenças.

Alguns exemplos:

• O administrador pode contar com uma configuração de shell de login para impedir que determinados usuários efetuem login. Alternar para o internal-sftpignoraria a restrição, pois o shell de login não está mais envolvido.

• Usando o sftp-serverbinário (sendo um processo autônomo), você pode usar alguns hacks, como executar o SFTP emsudo .

• Para SSH-1 (se alguém ainda o estiver usando), a Subsystemdiretiva não está envolvida. Um cliente SFTP usando SSH-1 informa explicitamente ao servidor qual binário o servidor deve executar. Portanto, os clientes SSH-1 SFTP herdados têm o sftp-servernome codificado.

Existem implementações alternativas de SFTP que podem ser usadas em conjunto com o OpenSSH:

• http://www.greenend.org.uk/rjk/sftpserver/
• https://github.com/mysecureshell/mysecureshell

Você pode bloquear uma chave_autorizada para o servidor sftp externo.

command="/usr/libexec/openssh/sftp-server" ssh-rsa AAAA…== [email protected]

Quando você faz isso, seu usuário pode sftp, mas não pode scp ou ssh:

$ sftp host:/etc/group /tmp
Conectando ao host...
Buscando /etc/group para /tmp/group
/etc/group 100% 870 0,9 KB/s 00:00

Tentar fazer qualquer outra coisa irá apenas travar:

$ scp host:/etc/group /tmp
Morto pelo sinal 2.

$ tempo de atividade do host ssh
Morto pelo sinal 2.

Infelizmente, não há uma maneira fácil de uma chave ser bloqueada em um chroot, a menos que o sshd_config seja modificado. Isso seria muito legal para um usuário poder fazer sem a intervenção do gerente do sistema.

Se tudo o que você quer fazer é bloquear uma conta para usar apenas SFTP, apenas dê à conta o shell padrão /sbin/nologin