Asegurando nuestro servidor con Chroot

por:

Asegurando nuestro servidor con Chroot guia
Uno de los problemas más comunes que podemos tener en materia de seguridad son las cuentas de FTP o SFTP. En algunos casos estas cuentas se dejan a colaboradores para poder subir algunos archivos o imágenes al servidor, sin implementar en ellas las medidas de seguridad oportunas.

El problema de una cuenta de FTP mal configurada

En el caso de que tengamos una cuenta de FTP mal configurada, cualquier usuario al que le diéramos acceso (o lo consiguiera) podría copiar, borrar y modificar los archivos que tengamos en nuestro servidor. Esto podría dañar seriamente nuestra página.

Aunque muchas personas creen que teniendo bien configurados los permisos ya está todo el problema resuelto, la verdad es que se equivocan. Porque el usuario podría navegar entre las distintas carpetas ya que en muchos casos tendremos que tener amplios permisos para que funcione nuestra web.

Aumentando la seguridad con Chroot

Chroot nos va a permitir indicar a un usuario cual es su directorio root, en lugar de el directorio root del equipo (/). Lo que va a limitar en gran medida las posibilidades de que ese usuario nos cause un problema en nuestra página. Ejemplo:

  • Si no se usa chroot, el directorio de un usuario por defecto cuando se conecte por ftp podría ser /home/pedro y ese usuario podría hacer un cd /tmp sin ningún problema.
  • Si usamos chroot, el directorio del usuario seguiría siendo /home/pedro, pero ese usuario no podría hacer cd /tmp ya que, para él el directorio / no es la raíz del sistema de ficheros, sino la carpeta home y en esa carpeta no existe el directorio tmp.

Como se puede deducir del ejemplo, con este sistema conseguimos encapsular a nuestro usuario en un directorio, de manera que no pueda ni conocer la estructura de nuestros directorios, ni moverse libremente por ellos.

Un buen tutorial que yo seguí para implementarlo fue este .

Un saludo y espero que este post sea de vuestro agrado y que os sirva para mejorar la seguridad de vuestros servidores.

Deja una Respuesta