La nuova Ubuntu 8.10 Intrepid Ibex ha adottato l’ultimissima versione di OpenSSH, la 5.1, che ha una feature interessantissima: la possibilità di automatizzare il chroot di una sessione SFTP.
In pratica, l’utente che effettua il login tramite SFTP avrà la possibilità di vedere soltanto la sua home directory (o la directory impostata come chroot), senza poter risalire le directory fino alla root, come invece accade normalmente.
Utilissimo nel caso in cui si voglia dare la possibilità ad un utente di effettuare degli upload su una directory accessibile anche dal web, ma non gli si vuole lasciare la libertà di girovagare per tutto il sistema.
Con le versioni precedenti di OpenSSH, per fare la stessa cosa, era necessaria una procedura lunghissima.
Andiamo all’how-to:
1) installare il server SSH, se non è già installato$ sudo apt-get install openssh-server $ sudo vim /etc/ssh/sshd_config
2) modificare il file di configurazione in questo modo:
Subsystem sftp internal-sftp
# Queste righe andranno aggiunte alla *fine* del file di configurazione
Match Group uploaders
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
3) creare un utente uploader ed aggiungerlo al gruppo uploaders:
sudo adduser --home /var/www/uploads --no-create-home \
--ingroup uploaders \
--shell /bin/false \
uploader
4) controllare che il proprietario della home directory del nuovo utente (e delle directory che risalgono il percorso, fino alla radice) sia root e che nessun altro utente o gruppo abbia permessi di scrittura su tale directory (impostarli a 755 con chown). Se questa condizione non viene soddisfatta, il login SFTP fallirà.
Risultato: l’utente uploader potrà entrare via SFTP e operare soltanto sulla sua home directory; il login SSH invece non sarà possibile.
PS: purtroppo questo metodo non è implementato sulla versione di OpenSSH presente sull’ultima LTS di Ubuntu, la 8.04 Hardy Heron… significa che i più prudenti dovranno attendere fino al 2010 per la prossima LTS.
