ct

    Usando o rssh

    Dicas do Guia do Hardware

    Uma das limitações do ssh e do sftp é que, ao criar uma conta de usuário, ele tem acesso não apenas aos arquivos que deve modificar, mas acesso via shell ao servidor, que pode ser usado para rodar comandos diversos e até mesmo explorar brechas de segurança locais. O rssh é uma resposta para estes casos. Ele permite que o usuário tenha acesso ao servidor apenas via sftp ou scp, sem ter como executar comandos adicionais.Carlos E. Morimoto
    28/04/2006


    Uma das limitações do ssh e do sftp é que, ao criar uma conta de usuário, ele tem acesso não apenas aos arquivos que deve modificar, mas acesso via shell ao servidor, que pode ser usado para rodar comandos diversos e até mesmo explorar brechas de segurança locais (onde um usuário restrito do sistema pode obter privilégios adicionais).
     
    Você pode dar um espaço de armazenamento para um amigo, onde espera que ele guarde apenas alguns backups e descobrir mais tarde que ele andou saturando a banda do servidor baixando filmes e músicas via bittorrent.
     
    O rssh é uma resposta para estes casos. Ele permite que o usuário tenha acesso ao servidor apenas via sftp ou scp, sem ter como executar comandos adicionais. A página do projeto é http://www.pizzashack.org/rssh/.
     
    Comece instalando o pacote "rssh", que é encontrado na maioria das distribuições. Você pode instalar também baixando o pacote .tar.gz com os fontes, disponível na página.
     
    No Debian ele está disponível via apt-get:
     
    # apt-get install rssh
     
    Abra agora o arquivo "/etc/rssh.conf" (ou "/usr/local/etc/rssh.conf", ao instalar a partir dos fontes) e descomente as linhas:
    allowscp
    allowsftp
     
    Elas especificam que os usuários remotos poderão usar o scp e sftp para transferir arquivos, mas nenhum outro comando.
     
    Verifique também se o arquivo "/etc/shells" contém a linha "/usr/bin/rssh" e, caso necessário, adicione manualmente.
     
    Crie agora o usuário que terá acesso, usando os passos de sempre:
     
    # adduser manuel
     
    Originalmente, o usuário criado teria acesso completo, via SSH e SFTP. Para limitá-lo ao SFTP, abra o arquivo "/etc/passwd", onde vai a configuração dos usuários do sistema e procure a linha referente ao usuário criado (que normalmente será última). Originalmente você verá algo como:
    manuel:x:1005:1005:,,,:/home/manuel:/bin/bash 
    O "/bin/bash" indica o shell ao qual o usuário terá acesso. O pulo do gato é substituir o "/bin/bash" pelo "/usr/bin/rssh", fazendo com que ele fique restrito aos comandos scp e sftp que indicamos no arquivo "/etc/rssh.conf". Depois da alteração, a linha ficará assim:
    manuel:x:1005:1005:,,,:/home/manuel:/usr/bin/rssh 
    Em algumas distribuições (e ao instalar a partir dos fontes), o rssh será instalado dentro da pasta "/usr/local/bin" e não "/usr/bin". Preste atenção para sempre indicar a localização correta.
     
    Você pode alterar também o "/home/manuel", colocando o diretório onde ficam os arquivos que o usuário pode alterar. Se ele vai apenas alterar os arquivos de um site colocado na pasta "/var/www/manuel", por exemplo, você poderia usar:
    manuel:x:1005:1005:,,,:/var/www/manuel:/usr/bin/rssh 
    Desta forma, ao conectar ele cai automaticamente na pasta correta, o que facilita as coisas.
     
    Depois de verificar tudo, teste tentando acessar localmente, usando o usuário criado:
     
    $ sftp manuel@127.0.0.1
     
    Você notará que, via SFTP você conseguirá acessar os arquivos normalmente. Mas, ao tentar acessar via SSH, você recebe um erro como:
     
    This account is restricted by rssh.
    Allowed commands: scp sftp
    If you believe this is in error, please contact your system administrator.
    Connection to 127.0.0.1 closed.

    Uma observação é que usando o rssh, você não conseguirá conectar usando o "fish://" do Konqueror, precisará conectar através de algum programa que use o SFTP "puro". Dois exemplos são o GFTP (no Linux) e o Filezilla (no Windows). Em ambos, procure pela opção que indica o protocolo usado e troque de "FTP" para "SSH2". Indique também a porta usada pelo servidor, que no SFTP é 22 e não 21.

    gftp




    Blog:

    Add to Google

    » Gostou do texto?
    Veja nossos livros impressos:

    Smartphones | Linux | Hardware
    Redes | Servidores


    ... ou encontre o que procura usando a busca:

cb
ct
Atualizações



[19/03] Montando um DVD de vídeo na unha, via terminal (atualizado)
[18/03] Core i7: Gulftown e a era dos 6 núcleos
[17/03] Artigo: Primeiras impressões do Haiku (alfa)
[16/03] Criando um sistema de recuperação usando o SystemRescueCD
[15/03] Processadores AMD, parte 2: Phenom II e o Athlon II
[14/03] AMD 890GX
[13/03] Dica: kMyFirewall, um firewall gráfico para o KDE
[12/03] Processadores AMD, parte 1: o Phenom
[11/03] Artigo: Uma olhada no PC-BSD 8.0
[10/03] Artigo: Investigando os modelos do Eee PC
[09/03] Artigo: nVidia Optimus
[05/03] Artigo: Comparativo de desktops: Zenwalk, Salix OS e GoblinX
[03/03] Artigo: Meego: a fusão entre Maemo e Moblin
[02/03] Artigo: Uma breve análise do Linux Mint 8 'Helena'
[01/03] Processadores: Chipsets e placas para o Core 2 Duo, Quad e Celeron
[26/02] Tutorial: Criando um loop de vídeo com o Kino e o Audacity
Destaques



» Hardware o Guia Definitivo, disponível para leitura online
» Como um HD funciona: Head Switch Time
» Redes: TCP/IP, endereçamento e portas
» O básico para o Debian Lenny no desktop
» Configurando um servidor de rede local com o Ubuntu, fácil
» Uma breve análise do Linux Mint 8 'Helena'
» Programação Orientada a Objetos: uma introdução
» Smartphones: TCPMP e CorePlayer
» PCI Express: compatibilidade, linhas de dados e o PCIe 2.0
» Dual-SIM: Usando dois chips no mesmo aparelho
» Smartphones e telas: Tamanho e touchscreen
Receba as atualizações diariamente por e-mail:
Assine o RSS Veja todas as atualizações... Add to Google
cb
Livros de Carlos E. Morimoto Contato HOME