Sadece Belirli Klasörlere Tutsak Edilen (Jail) SFTP Kullanıcısı Yaratmak
Diyelim ki sitenizin kodlarını editlemesi için birini kiraladınız. Ona sisteminizin kullanıcı adı ve şifresini verdiniz. Ama normal bir SSH yetkisi o kişinin 'cd ..' diyerek tüm linux dosyalarını kurcalamasını, /etc altındaki dosya yapılarını incelemesini olanaklı kılar.
Halbuki biz istiyoruz ki, sadece /var/www/site alanına hapsolsun (Jail) ve SSH ekranı olmasın, sadece WinScp gibi araçlarla dosya atabilsin.
Klasör İzin Altyapısı (Chroot)
İlk iş jail klasörümüzün sahibini root yapmamız gerekir çünkü SSH mekanizması zindanın sahibinin root olmasını katı kuralla ister.
chown root:root /var/www/site
Web tarafı için okuma izni falan vermeyi unutmayın.
SSH Konfigürasyonu
/etc/ssh/sshd_config dosyanızın en altına o sihirli bloğu ekleriz:
Match User yazilimci_kardes
ForceCommand internal-sftp
PasswordAuthentication yes
ChrootDirectory /var/www/site
PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
SSH servisini systemctl restart sshd diyerek yeniden başlattığımızda o gariban 'yazilimci_kardes' girmeye çalıştığında bir terminal göremeyecek. Sadece SFTP aracıyla girebilecek ve gördüğü en tepe nokta sizin onun için tasarladığınız siber zindanımız olacak.