sftp w klatce

Udostępnianie katalogu dla użytkownika stwarza problemy w bezpieczeństwie. Zakładamy mu konto, podpinamy tam WWW i dajemy SSH i SFTP - przynajmniej ja tak robiłem. Aby użytkownik nie chodził mi po katalogach innych (nie miałem takich) i nie zaglądał do konfiguracji bardzo restrykcyjnie ustawiałem prawa do katalogów i plików. Nie da mu się wyłączyć powłoki, bo sftp przestanie działać.

Trzeba to naprawić i użyć klatki, czyli jail!

Cenna dokumentacja: sshd_config

W konfiguracji sshd ustawiamy:

Subsystem sftp internal-sftp


Match User admin
ChrootDirectory /home/jail/%u
Banner /etc/issue_my.net

W /home/jail/ tylko root może zapisywać, tworzymy w nim katalogi dla użytkowników, również tylko root może tam zapisywać - tak jak w katalogu głównym /. Baner może być indywidualny, jak w przykładanie dla dopasowania do użytkownika admin.

Dzięki internal-sftp możemy już zabrać dla użytkownika powłokę i wstawić /usr/sbin/nologin. W ten sposób sprawę z logowaniem przez ssh mamy załatwioną, a indywidualny baner go o tym poinformuje.

Aha, w katalogu użytkownika tworzymy np. katalog www i jego właścicielem robimy dopiero użytkownika, będzie mógł zapisywać w nim.

Dlatego nie używam serwera FTP.