Usando o rssh

Uma das limitações do ssh e do sftp é que, ao criar uma conta de usuário, ele tem acesso não apenas aos arquivos que deve modificar, mas acesso via shell ao servidor, que pode ser usado para rodar comandos diversos e até mesmo explorar brechas de segurança locais (onde um usuário restrito do sistema pode obter privilégios adicionais).

 

Você pode dar um espaço de armazenamento para um amigo, onde espera que ele guarde apenas alguns backups e descobrir mais tarde que ele andou saturando a banda do servidor baixando filmes e músicas via bittorrent.

 

O rssh é uma resposta para estes casos. Ele permite que o usuário tenha acesso ao servidor apenas via sftp ou scp, sem ter como executar comandos adicionais. A página do projeto é http://www.pizzashack.org/rssh/.

 

Comece instalando o pacote "rssh", que é encontrado na maioria das distribuições. Você pode instalar também baixando o pacote .tar.gz com os fontes, disponível na página.

 

No Debian ele está disponível via apt-get:

 

 

Abra agora o arquivo "/etc/rssh.conf" (ou "/usr/local/etc/rssh.conf", ao instalar a partir dos fontes) e descomente as linhas:

Elas especificam que os usuários remotos poderão usar o scp e sftp para transferir arquivos, mas nenhum outro comando.

 

Verifique também se o arquivo "/etc/shells" contém a linha "/usr/bin/rssh" e, caso necessário, adicione manualmente.

 

Crie agora o usuário que terá acesso, usando os passos de sempre:

 

 

Originalmente, o usuário criado teria acesso completo, via SSH e SFTP. Para limitá-lo ao SFTP, abra o arquivo "/etc/passwd", onde vai a configuração dos usuários do sistema e procure a linha referente ao usuário criado (que normalmente será última). Originalmente você verá algo como:

O "/bin/bash" indica o shell ao qual o usuário terá acesso. O pulo do gato é substituir o "/bin/bash" pelo "/usr/bin/rssh", fazendo com que ele fique restrito aos comandos scp e sftp que indicamos no arquivo "/etc/rssh.conf". Depois da alteração, a linha ficará assim:

Em algumas distribuições (e ao instalar a partir dos fontes), o rssh será instalado dentro da pasta "/usr/local/bin" e não "/usr/bin". Preste atenção para sempre indicar a localização correta.

 

Você pode alterar também o "/home/manuel", colocando o diretório onde ficam os arquivos que o usuário pode alterar. Se ele vai apenas alterar os arquivos de um site colocado na pasta "/var/www/manuel", por exemplo, você poderia usar:

Desta forma, ao conectar ele cai automaticamente na pasta correta, o que facilita as coisas.

 

Depois de verificar tudo, teste tentando acessar localmente, usando o usuário criado:

 

 

Você notará que, via SFTP você conseguirá acessar os arquivos normalmente. Mas, ao tentar acessar via SSH, você recebe um erro como:

 

Uma observação é que usando o rssh, você não conseguirá conectar usando o "fish://" do Konqueror, precisará conectar através de algum programa que use o SFTP "puro". Dois exemplos são o GFTP (no Linux) e o Filezilla (no Windows). Em ambos, procure pela opção que indica o protocolo usado e troque de "FTP" para "SSH2". Indique também a porta usada pelo servidor, que no SFTP é 22 e não 21.