Configuración Segura de Servidores SFTP en Linux: Una Guía Exhaustiva

By /

La configuración de un servidor SFTP (Protocolo Seguro de Transferencia de Archivos) en Linux es fundamental para garantizar la transferencia segura de datos. SFTP, que opera sobre el protocolo SSH (Secure Shell), cifra toda la comunicación, protegiendo la integridad y confidencialidad de la información transmitida. A diferencia del antiguo protocolo FTP, SFTP ofrece una robusta capa de seguridad, siendo la opción recomendada para cualquier transferencia de archivos sensible. Esta guía detallada abordará desde los conceptos básicos hasta la implementación práctica, incluyendo la administración de usuarios y la configuración para acceso remoto.

Diagrama conceptual de SFTP sobre SSH

¿Qué son SFTP y SSH? Comprendiendo los Fundamentos

Antes de adentrarnos en la configuración, es crucial entender las tecnologías subyacentes:

  • SFTP (Secure File Transfer Protocol): Es un protocolo de transferencia de archivos que opera sobre una conexión SSH. Todo el tráfico de datos, incluyendo credenciales y archivos, se cifra, protegiendo contra interceptaciones y manipulaciones. Se considera una alternativa superior al FTP clásico y a FTPS (FTP sobre SSL/TLS), ya que SFTP es un protocolo independiente y no una extensión del FTP. Utiliza el puerto 22 por defecto, el mismo que SSH.

  • SSH (Secure Shell): Es un protocolo de red criptográfico que permite la operación remota segura de un servicio de red. Proporciona una conexión cifrada a la shell del servidor, lo que permite ejecutar comandos en el servidor web y administrarlo de forma remota. SFTP se beneficia de la seguridad que proporciona SSH para la autenticación y el establecimiento de la conexión.

  • SFTP + SSH: Un acceso combinado que permite tanto la transferencia de archivos a través de SFTP como el acceso a la terminal del servidor mediante SSH. Si solo se requiere la transferencia de archivos, SFTP es suficiente.

Instalación y Preparación del Entorno en Linux

La base para un servidor SFTP funcional en Linux es el paquete OpenSSH. En la mayoría de las distribuciones de servidores Linux, estos paquetes ya vienen instalados por defecto. Para verificar su instalación, se puede ejecutar:

dpkg -s openssh-server openssh-client

Si el paquete no está instalado, se puede añadir utilizando el gestor de paquetes de la distribución. Por ejemplo, en sistemas basados en Debian/Ubuntu:

sudo apt updatesudo apt install openssh-server openssh-client

En sistemas basados en Red Hat/CentOS/Fedora:

sudo yum updatesudo yum install openssh-server openssh-client

Una vez asegurada la instalación de OpenSSH, el siguiente paso crucial es la configuración del archivo de configuración del demonio SSH (sshd_config).

Captura de pantalla de un terminal mostrando la instalación de OpenSSH

Configuración del Servidor SFTP: Creación de Usuarios y Grupos

Para una gestión segura y granular, se recomienda crear un grupo dedicado para los usuarios de SFTP y luego añadir usuarios específicos a este grupo. Esto permite aislar el acceso SFTP y restringir el acceso SSH para estos usuarios, mejorando la seguridad.

  1. Crear un grupo SFTP:

    sudo groupadd sftpusers

  2. Crear un usuario SFTP:

    sudo useradd -g sftpusers -s /sbin/nologin -d /home/sftpuser sftpuser
    • -g sftpusers: Asigna el usuario al grupo sftpusers.
    • -s /sbin/nologin: Impide que el usuario acceda a la shell de comandos del sistema, limitando su funcionalidad a SFTP.
    • -d /home/sftpuser: Define el directorio de inicio del usuario.

  3. Establecer una contraseña para el usuario:bashsudo passwd sftpuserSe le pedirá que introduzca y confirme la contraseña.

Configuración Avanzada: Chroot Jails y Permisos

Para aumentar la seguridad, se pueden implementar "chroot jails" para limitar a los usuarios SFTP a sus directorios de inicio o a subdirectorios específicos. Esto evita que los usuarios naveguen por el sistema de archivos del servidor.

  1. Modificar el archivo de configuración de SSH (/etc/ssh/sshd_config):Se deben añadir o modificar las siguientes líneas:

    Subsystem sftp internal-sftpMatch Group sftpusers ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no
    • Subsystem sftp internal-sftp: Configura el subsistema SFTP para que sea gestionado internamente por SSH.
    • Match Group sftpusers: Aplica las siguientes directivas solo a los miembros del grupo sftpusers.
    • ChrootDirectory %h: Encierra a los usuarios en su directorio de inicio (%h).
    • ForceCommand internal-sftp: Fuerza el uso del subsistema SFTP interno.
    • AllowTcpForwarding no y X11Forwarding no: Deshabilitan el reenvío de puertos y X11, respectivamente, para limitar las capacidades del usuario.

  2. Configurar permisos para el ChrootDirectory:El directorio raíz utilizado para el ChrootDirectory (en este caso, el directorio de inicio del usuario, /home/sftpuser) debe ser propiedad del usuario root y no debe ser escribible por ningún otro usuario.

    sudo chown root:root /home/sftpusersudo chmod 755 /home/sftpuser

    Dentro de este directorio raíz, se puede crear un subdirectorio donde el usuario SFTP sí tenga permisos de escritura.

    sudo mkdir /home/sftpuser/uploadsudo chown sftpuser:sftpusers /home/sftpuser/uploadsudo chmod 755 /home/sftpuser/upload

    En este escenario, el usuario sftpuser estará "enjaulado" en /home/sftpuser pero podrá escribir y leer archivos dentro de la carpeta upload.

  3. Reiniciar el servicio SSH:Para que los cambios en sshd_config surtan efecto, se debe reiniciar el servicio SSH:

    sudo systemctl restart sshd

    o

    sudo service ssh restart

Como crear ambiente ssh chroot y sftp al mismo tiempo en Linux

Conexión al Servidor SFTP: Herramientas y Métodos

Una vez configurado el servidor, los usuarios pueden conectarse utilizando diversos clientes SFTP.

Conexión mediante Línea de Comandos (sftp)

La herramienta sftp está disponible en la mayoría de los sistemas Linux y es una forma directa de conectarse.

sftp sftpuser@your_server_ip_or_hostname

Se le solicitará la contraseña del usuario. Una vez conectado, se pueden utilizar comandos como ls para listar archivos, cd para cambiar de directorio, put para subir archivos y get para descargar archivos.

  • Comandos básicos de sftp:
    • help: Muestra la ayuda.
    • pwd: Muestra el directorio actual en el servidor remoto.
    • lcd [directorio_local]: Cambia el directorio de trabajo en el sistema local.
    • lpwd: Muestra el directorio actual en el sistema local.
    • ls: Lista los archivos y directorios en el servidor remoto.
    • lls: Lista los archivos y directorios en el sistema local.
    • cd [directorio_remoto]: Cambia el directorio en el servidor remoto.
    • put [archivo_local] [archivo_remoto]: Sube un archivo local al servidor remoto.
    • get [archivo_remoto] [archivo_local]: Descarga un archivo remoto al sistema local.
    • mkdir [directorio_remoto]: Crea un directorio en el servidor remoto.
    • rm [archivo]: Elimina un archivo en el servidor remoto.
    • rmdir [directorio]: Elimina un directorio en el servidor remoto.
    • exit o quit: Cierra la conexión SFTP.

Captura de pantalla de una sesión SFTP en la línea de comandos

Conexión mediante Clientes Gráficos (FileZilla)

Clientes como FileZilla (disponible en filezilla-project.org) ofrecen una interfaz gráfica intuitiva para la gestión de transferencias SFTP.

  1. Abrir el Gestor de Sitios en FileZilla: «Archivo» → «Gestor de Sitios» → «Nuevo sitio».
  2. Configurar los detalles de la conexión:
    • Protocolo: SFTP - SSH File Transfer Protocol.
    • Servidor: La dirección IP o nombre de host de su servidor Linux.
    • Puerto: 22 (por defecto para SFTP/SSH).
    • Modo de acceso: Normal.
    • Usuario: El nombre de usuario SFTP creado (ej. sftpuser).
    • Contraseña: La contraseña definida para el usuario SFTP.
  3. Conectar: Al primer intento, FileZilla mostrará una advertencia sobre la huella digital del servidor (Host Key). Confirme para establecer la confianza y continuar.
  4. Transferencia de archivos: La interfaz muestra los archivos locales en el panel izquierdo y los archivos del servidor remoto en el panel derecho. Simplemente arrastre y suelte archivos entre los paneles para subir o descargar.

Consejo para solucionar problemas de conexión con FileZilla: Verifique que el usuario, la contraseña, el nombre del servidor y el puerto sean correctos. Asegúrese de haber seleccionado SFTP como protocolo y no FTP o FTPS.

Mostrar Archivos Ocultos

Para ver archivos que comienzan con un punto (como .htaccess), en FileZilla puede activar la opción «Forzar mostrar archivos ocultos» en el menú «Servidor».

Gestión de Accesos SFTP

En entornos donde se gestionan múltiples accesos SFTP, es importante tener un sistema para administrarlos.

  • Crear accesos separados: Para diferentes proyectos o usuarios, cree accesos SFTP individuales con sus propios directorios de inicio y contraseñas únicas.
  • Cambiar contraseñas: Si un usuario olvida su contraseña, puede restablecerla a través de la interfaz de administración del servidor o utilizando el comando passwd en la terminal.
  • Eliminar accesos: Cuando un acceso ya no sea necesario, elimínelo para mantener la seguridad y el orden.

Usos Comunes de un Servidor SFTP

Los servidores SFTP son versátiles y se utilizan en una variedad de escenarios:

  • Transferencias Corporativas Seguras: Para compartir archivos grandes de forma segura con clientes, diseñadores gráficos o empleados.
  • Copias de Seguridad Web: Subir de forma segura archivos de sitios web y realizar copias de seguridad periódicas.
  • Nube Personal: Crear una solución de almacenamiento personal para acceder a archivos desde cualquier lugar sin depender de servicios de terceros que puedan comprometer la privacidad.
  • Desarrollo y Administración de Sitios Web: Permite a los desarrolladores transferir y modificar archivos de sitios web de manera segura.

Consideraciones Adicionales de Seguridad

  • Contraseñas Robustas: Utilice contraseñas largas, complejas y únicas para cada usuario SFTP.
  • Autenticación Basada en Clave SSH: Para una seguridad aún mayor, considere implementar la autenticación mediante claves SSH en lugar de contraseñas. Esto implica generar un par de claves (pública y privada) y transferir la clave pública al servidor.
  • Firewall: Configure un firewall en el servidor Linux para permitir solo el tráfico SFTP (puerto 22) desde direcciones IP de confianza si es posible.
  • Monitoreo: Revise regularmente los registros del servidor SSH (/var/log/auth.log o similar) para detectar intentos de acceso sospechosos.

La configuración de un servidor SFTP en Linux es una tarea esencial para cualquier administrador de sistemas que necesite garantizar la transferencia segura de datos. Al seguir estos pasos y comprender los principios de seguridad, se puede establecer un entorno robusto y confiable para la gestión de archivos.

tags: #servidor #sftp #linux

Publicaciones populares:

  • Acceso al Cisco DPC3825
  • Conectividad de la Placa Madre
  • Cómo hacer pruebas unitarias de componentes Angular con Ignite UI
  • Problemas de audio HDMI
  • Problemas de conexión a Internet: D-Link y Huawei