Ein SFTP Server ist heutzutage eigentlich nichts besonderes mehr – kommt auf die Anforderungen an. Ich möchte in zwei Teilen erklären, wie man einen sicheren “SFTP only” Server aufbaut. Das ist an sich auch wirklich nicht so schwierig.

Wenn googelt wird man schnell sehen, dass es wahnsinnig viele Anleitungen gibt um sowas zu machen. “chrooted sftp” ist da das Stichwort und es sind diverse Patches notwendig. Allerdings sind die meisten dieser Anleitungen hinfällig, da die aktuellen Version von Openssh (5.3p) bereits alles mitbringt, was man benötigt.

Unter RHEL 5 gibt es zur Zeit Openssh Version 4.3p2 als aktuellstes Package. Damit kann man weder ein “Gefängnis” (Jail -> chrooted User) bauen, noch ist das Logging so, dass man damit auch im Problemfall etwas nachvollziehen kann. Da es sehr einfach ist, das Paket selbst zu bauen, bin ich auch gar nicht erst auf die Suche gegangen um irgendwo ein fertiges zu finden.

Quellen besorgen

Die Quellen für Openssh gibt es natürlich unter openssh.org – bzw. die Mirrorliste hier. Bei Erstellung war die aktuelle Version openssh-5.3p1.tar.gz

Prerequisites

yum install gcc openssl-devel pam-devel rpm-build

Auspacken und los

tar zxvf openssh-5.2p1.tar.gz

cp openssh-<VERSION>/contrib/redhat/openssh.spec /usr/src/redhat/SPECS/

cp openssh-<VERSION>.tar.gz /usr/src/redhat/SOURCES/

cd /usr/src/redhat/SPECS

# askpass wird nicht benoetigt

perl -i.bak -pe 's/^(%define no_(gnome|x11)_askpass)\s+0$/$1 1/'  openssh.spec

rpmbuild -bb openssh.spec

Fertige RPMs

Die fertigen RPMs sind dann unter

cd /usr/src/redhat/RPMS/`uname -i`

zu finden.

Vor der Installation sollten die alten (alle !) Pakete deinstalliert werden oder die neuen mit “rpm -U” als Update installieren.