Restringir acesso de um usuário a seu diretório home usando o ProFTP já virou carne-de-vaca, então vou colocar um dica diferente aqui: Como manter seus usuários restritos usando SFTP. Atenção: Não estou falando de FTPS (FTP over SSL).
O primeiro requisito é ter um servidor OpenSSH pelo menos na versão 4.9p1. Tanto meu Ubuntu 8.10 quanto meu OpenSuSE 11.1 vieram com pacotes superiores a essa versão, mas infelizmente o Red Hat Enterprise 5.3 não.
No seu arquivo de configuração do ssh (normalmente /etc/ssh/sshd_config) edite a seguinte linha:
Subsystem sftp /usr/libexec/openssh/sftp-server
E substitua por:
Subsystem sftp internal-sftp
E também adicione as seguintes linhas no final do arquivo:
Match Group restrito
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
A primeira linha indica que se o usuário pertencer ao grupo “restrito” ele está sujeito às regras que vem a seguir e é logo na próxima linha que determinamos a restrição do usuário ao seu home directory indicado pelo “%h”
Agora basta configurar o usuário adequadamente. Reparem que esta parte é mandatória. Tentei configurar o servidor sem configurar o usuário sem sucesso:
Mar 5 09:08:10 server sshd[12760]: fatal: bad ownership or modes for chroot directory "/home/linuxman"
Então configure o usuário e seu diretório de acordo:
Tenho na minha caixa Solaris o HD do sistema operacional – IDE 8GB -, dois HDs IDE de 2GB e dois HDs SCSI também de 2GB, identificados através do comando format:
root@nexenta:/# format
Searching for disks...done
AVAILABLE DISK SELECTIONS:
0. c0d0 <DEFAULT cyl 4092 alt 2 hd 128 sec 32>
/pci@0,0/pci-ide@7,1/ide@0/cmdk@0,0
1. c0d1 <VMware V-0000000000000000-0001-2.00GB>
/pci@0,0/pci-ide@7,1/ide@0/cmdk@1,0
2. c1d1 <VMware V-0000000000000000-0001-2.00GB>
/pci@0,0/pci-ide@7,1/ide@1/cmdk@1,0
3. c2t0d0 <VMware,-VMware Virtual S-1.0-2.00GB>
/pci@0,0/pci1000,30@10/sd@0,0
4. c2t1d0 <VMware,-VMware Virtual S-1.0-2.00GB>
/pci@0,0/pci1000,30@10/sd@1,0
Specify disk (enter its number): ^C
A rede mundial de computadores tem mais de 10 botnets. Todas dominadas por crackers armados até os dentes. É só nego de nmap, nessus, tcpdump e por ai vai.
No resto do mundo são softwares de auditoria. Na internet, são as armas do crime.
Um 0-day attack atravessa um firewall como se fosse papel. É burrice pensar que numa rede assim os daemons, mesmo atualizados, não vão ser crackeados apenas para fazer valer a lei.
E Linux também tem bug amigo, Linux também tem falha de segurança.
É por isso que nessa rede todo administrador tem que escolher: Ou se corrompe, ou se omite, ou vai pra guerra.
Encaremos a realidade: A maior parte das empresas utiliza Active Directory da Microsoft.
E não sem motivo, já que é um produto excelente e integra facilmente com diversas aplicações e produtos de terceiros.
Mas se você já precisou autenticar com Linux contra um AD sabe que isso é um parto. É preciso instalar suporte a kerberos, samba, winbind e configurar um bocado de arquivos manualmente. Não é missão impossível, mas é fonte de dor de cabeça, frustração e até motivo para empresas desistirem de investir mais a fundo no Linux.
Felizmente uma empresa chamada Likewise Software parece estar resolvendo este problema. Seu produto principal – o LikeWise – tem duas versões: Open e Enterprise.
Melhor ainda, o Ubuntu Hardy Heron (8.04) já vem com o pacote open no seu repositório e a instalação e configuração não poderiam ser mais simples:
