Tohle uz bylo diskutovany (na anglicky mluvicich mailing listech) opravdu hodnekrat a je to ostuda, ze to nejde nejak rozumne udelat.
Ja bych jeste vice ocenil, kdyby bylo mozny usera chrootnout do jeho homu, bohuzel to neni bezpecne a OpenSSH chrootovani do adresare, kam ma user pravo zapisu nepripusti... (BTW da se tusim revertnout ten patch, kterej do openssh ochranu proti chrootnuti do takovyho adresare pridava a pak pripadne to zkusit nejak doresit treba pomoci apparmoru).
Bohuzel si myslim ze tohle je vec, ktera brani OpenSSH, aby masove nahradilo FTP servery, ktery problem s bezpecnosti chrootu jednim z nasledujicich zpusobu:
- ignoruji ho a chrootnou se kamkoliv
- ve skutecnosti se nechrootnou, ale jen chroot predstiraji na urovni sveho kodu
- po prihlaseni jen zmeni adresar a na chroot kaslou
- nejak jinak, coz nam ale stejne nepomuze
A tak diky zabezpeceni OpenSSH stale vsichni pouzivaji FTP(S)
Ja verim, ze chlapci z OpenSSH jednou prijdou na nejake rozumne reseni pro hostingove stroje. Napiste jim mail, poslete jim pytel kafe a prosebnou pohlednici. Uz nevim kolik hodin sem bezvysledne stravil vymejslenim ruznejch klicek jak to obejit (nejsem fanouskem scponly a podobnych a nehodlam je zavadet). Pro me je problem uz jen to, ze kazdy home by mel byt zanoren v dalsi urovni, je to oskliva prasarna, kterou nezachrani ani automaticka zmena adresare po prihlaseni (jestli neco takoveho vubec v tomhle protokolu jde).