Enjaular usuario en sus directorios para SCP y SFTP por medio de SSH

Scponly es una Shell alternativa para los administradores de sistemas que desean dar acceso remoto a usuarios para leer y escribir archivos locales sin proporcionar ningún tipo de privilegio de ejecución remota.

Es como decir que se trata de una envoltorio dónde se permite el testeo.

Su uso mas común, es la creación de una cuenta semi-pública al estilo cuenta anónima de ftp. Esto permite a un administrador compartir archivos de la misma forma que una configuración ftp anónima empleando la protección que ofrece ssh. Esto es especialmente útil cuando se realizan conexiones atravesando redes públicas, ya que en las conexiones ftp el formato de transferencia es texto plano.

Instalando scponly (basado en Linux Ubuntu 9.xx)
Para ello, abriremos el terminal y teclearemos:
$ sudo apt-get install scponly

Configurando scponly
Ubuntu 9 ya se configura automáticamente pero por si las dudas hay que confirmar lo siguiente:

Primero confirmar que en el fichero /etc/shells esté incluida la nueva shell scponly llamada “/usr/bin/scponly”, de lo contrario incluirla.

Ahora deberemos crear un usuario para la shell de scponly. Este permitirá que el usuario pueda utilizar la cuenta SCP para la transferencia de archivos, pero no permitirá el acceso a la shell interactivo. Para ello:

$ sudo useradd -d /home/scponly/ -s /usr/bin/scponly -p [password] [nombre_usuario]

Chroot SFTP – Creando la jaula para las conexiones scponly

En este momento debemos reconfigurar scponlyc para poder activar la jaula. La jaula, nos permite, crear un entorno que simula el sistema operativo “completo” dentro de un directorio, esto hace que el usuario que se conecte parezca que este en el directorio raíz del sistema, con las aplicaciones disponibles que nosotros creamos convenientes, pero que realmente, esta dentro de un directorio /home/user/ que hayamos indicado, manteniendo de este modo, nuestros ficheros del sistema a salvo. Para ello abriremos un terminal y teclearemos:
$ sudo dpkg-reconfigure -plow scponly

Responderemos “Si/Yes“. Ahora debemos indicar que se use la jaula para el usuario scponly mediante el script setup_chroot incluido para ello. En caso de no haber creado el usuario para la conexión, el script lo creará por nosotros.

Por lo que, ahora, en un terminal, teclearemos lo siguiente:
$ cd /usr/share/doc/scponly/setup_chroot
$ sudo gunzip setup_chroot.sh.gz
$ sudo chmod +x setup_chroot.sh
$ sudo ./setup_chroot.sh

Si aceptamos las respuestas por defecto, se usará/configurará el usuario “scponly” y se creara su carpeta de inicio. Al final, deberemos especificar una contraseña para scponly.

Terminado esto, para realizar la conexión deberemos realizar desde un terminal/consola:
$ sftp scponly@[nombre_servidor o IP]
Si aparece el login, habremos terminado con éxito.

Hasta aquí ya creamos un usuario llamado “scponly” que lo puemos usar como jaula general, pero podemos crear más usuarios con sus propias jaulas.

Agregar nuevos usuarios para acceso SFTP enjaulados en su propio directorio de trabajo

Siempre debemos de crear el usuario con el script de scponly.
$ cd /usr/share/doc/scponly/setup_chroot
$ sudo ./setup_chroot
Ahí le indicaremos el nombre del usuario, el directorio donde podrá escribir y la contraseña del usuario.

Referencia:
http://linuxsan.wordpress.com