Brugeren må ikke kunne browse til rod mappen på serveren i FTP

jeg anvender ssh /sftp for at have sikker passwords i ftp - men det medfører at alle har read adgang til andre filer på serveren.

Det understøtter i at brugeren bliver låst til sin homefolder med denne kommando i .conf filen

Documentrooot ~

Hvad gør jeg så ?

Jeg kan se at der er mogle løsninger f.x
http://www.linuxquestions.org/questions/linux-security-4/ssh-chroot-jails-452905/

Men er der ikke en nemmere måde at gøre det på ?

Hejsa,

Opensshd har nu indbygget understøttelse for det.
Diverse chroot hacks som du nævner, er noget rod og umligt at vedligeholde.

Punkt 1: Opgrader til den nyeste openssh server, hvis du ikke allerede har gjort det.

Punkt 2: Kopiér /etc/ssh/sshd_config til /etc/ssh/sshd_config_sftp

Punkt 3: sæt din normale sshd  i /etc/ssh/sshd_config til at køre på en anden port ved at ændre denne linie:
Port 22
til
Port 2222 (for at køre på port 2222)

Punkt 4: genstart sshd (burde ikke smide dig af)

Punkt 5: Tilføj følgende linier i den nye /etc/ssh/sshd_config_sftp:

Subsystem sftp internal-sftp
ForceCommand internal-sftp
ChrootDirectory /home/%u

Punkt 6: Start den nye instans af sshd ved at specificere stien til config:
/usr/sbin/sshd -f /etc/ssh/sshd_config_sftp

Voilá. Når folk nu forbinder via sftp, ser de kun deres eget homedir og kan ikke gå "opad". %u erstattes med deres brugernavn, så du kan pege dem hvor som helst hen.

I din normale ssh-server kan du tilføje følgende:

DenyGroups sftponly

oprette gruppen sftponly og proppe dine brugere i den. Det vil sige at hvis de skulle bruge at logge ind med en shell eller sftp.klient på port 2222 hvor den "rigtige" ssh-server kører, vil de blive afvist.

Det skønneste er at det nu er en kernefunktionalitet. Det vil sige at når du opdaterer opensshd, vil begge instanser opdateres.

Mvh,
Michael

Kanon - det ser lovende ud - vil se på det så snart jeg får tid.

Det er ikke blot lovende. Det er i drift på adskillige servere hos mig :)

Ellers er du da velkommen til at bruge mig som host ;)

Mvh,
Michael

Nej ellers tak - men tak for det gode input - glæder mig til at komme igang med en god løsning.