Gironzolando in attesa che il caffè uscisse, borbottando dalla caffettiera, ho letto un articolo su come creare un ambiente chroot per gli utenti che si connettono tramite SSH.
Piccola premessa: SSH (Secure Shell) è lo strumento più usato per i login remoti su macchine Unix e non solo. Visto che si tratta di un mezzo estremamente potente (basti pensare alla facilità con cui ci si fanno passare anche i trasferimenti di file e le sessioni XWindow) può essere necessario limitare il campo di azione degli utenti remoti, per evitare che un eventuale aggressore possa raggiungere i punti nevralgici del sistema. Chroot serve proprio a questo: crea un ambiente ristretto che contiene tutto il necessario all´utente, che non vede al di là dell´ambiente stesso. Proprio per questo un environment chroot viene anche chiamato Jail, ovvero prigione.
L´articolo pubblicato su Linux.com propone di applicare una patch (SSHjail, letteralmente una prigione per SSH) direttamente ai sorgenti di OpenSSH, uno dei server Secure Shell più utilizzato e sicuri. Secondo l´autore questa soluzione ha il vantaggio di non necessitare di alcuna modifica alla configurazione di OpenSSH e proprio per questo sarebbe da preferire all´utilizzo del modulo pam_chroot come invece illustrato in un altro documento (valido per Debian, ma facilmente adattabile).
A me sembra molto più invasivo modificare i file sorgente che i file di configurazione, ma potrei anche sbagliarmi.
E voi, quanto vi fidate degli utenti remoti?