Ограничиваем пользователя в OpenSSH (chroot)

По ходу дела понадобилось ограничивать SSH-пользователей в перемещении по файловой системе сервера и использовании системных утилит. Оказалось, что подобный функционал («запирание» пользователя в отдельной директории) не доступен в OpenSSH 4.3, идущем в поставке с CentOS, и появился лишь в пятой версии программы.

Не откладывая дела надолго, пятая версия (openssh-5.2p1) была скачана с официального сайта и подвергнута экспериментам. В процессе на нее были наложены патчи, рекомендованные RedHat (список патчей был скорректирован по содержимому SRPM-пакетов для Fedora 10,11). Конфигурация «pam» была приведена в соответствие с версией, входящей в RHEL5/CentOS.

Была собрана полноценная рабочая версия openssh-5.2 под CentOS, но я на этом не успокоился Сам метод организации «chroot»-а, основанный на коде проекта chrootssh, мне не понравился по ряду причин. Я начал искать альтернативы, которые явились в виде патчей проекта sshjail.

В итоге, на основе спецификаций для Fedora была сделана собственная сборка openssh-5.2 под CentOS c рекомендованными патчами от RedHat и изменениями, которые я посчитал нужным внести. Краткое руководство по его использованию находится здесь. Технические детали по сборке смотрите здесь.

Как всегда, скачать пакеты можно отсюда.