Закрыть пользователя в home каталоге ssh

[butteff]

Есть Ubuntu сервер 12.10
Есть сайты.

Создал несколько пользователей, каждый имеет имя такое же, как сайт.
Домашняя папка у каждого пользователя - папка сайта. (задал ручками через usermod -d)
По ftp пользователя закрыл, выше домашнего каталога выйти не может (proftpd в конфиге включил)
а вот как быть с ssh? Для работы над сайтами привлекаются люди и не хочу, чтобы они лазили по серверу всему и видели код других проектов. как закрыть доступ им?

Я нагуглил jailkit, но он черутит в директурию jail, что в корне, а мне надо в директорию с сайтами. Создавать для каждой папки свое отдельное jail окружение - не лучший вариант.
Нагуглил про selinux, вернее на одном форуме написано было, что через него можно реализовать. Но я не нагуглил как. Вообще не понимаю, что делать с selinux, вроде это опция ядра? ну поставил, дальше что?

В общем помогите мне, пожалуйста.

[victor00000]

пример пользоваtель "test1" и "test2" - закрыть доступа.
ssh конф.
/etc/ssh/sshd_config добав

Код: [Выделить]

DenyUsers test1 test2===============================
а профтп непопробувал, только ftpd
создать /etc/ftpusers или добав

Код: [Выделить]

test1
test2


[censor]

man sshd_config

Код: [Выделить]

ChrootDirectory
             Specifies the pathname of a directory to chroot(2) to after
             authentication.  All components of the pathname must be root-
             owned directories that are not writable by any other user or
             group.  After the chroot, sshd(8) changes the working directory
             to the user's home directory.

             The pathname may contain the following tokens that are expanded
             at runtime once the connecting user has been authenticated: %% is
             replaced by a literal '%', %h is replaced by the home directory
             of the user being authenticated, and %u is replaced by the user‐
             name of that user.

             The ChrootDirectory must contain the necessary files and directo‐
             ries to support the user's session.  For an interactive session
             this requires at least a shell, typically sh(1), and basic /dev
             nodes such as null(4), zero(4), stdin(4), stdout(4), stderr(4),
             arandom(4) and tty(4) devices.  For file transfer sessions using
             “sftp”, no additional configuration of the environment is neces‐
             sary if the in-process sftp server is used, though sessions which
             use logging do require /dev/log inside the chroot directory (see
             sftp-server(8) for details).

             The default is not to chroot(2).
не?

[fisher74]

А зачем им ssh? Пусть ftp довольствуются. Что можно сделать с сайтом по ssh и нельзя сделать через ftp?

[shumtest]

Что можно сделать с сайтом по ssh и нельзя сделать через ftp?

Например создать симлинк

[jura12]

я тоже столкнулся с этой проблемой. jailkit беспощадно глючит, а с ссш цшрут не разобрался.

[drako]

В /etc/ssh/sshd_config

Код: [Выделить]

match group ГруппаВебЮзеров
chroot /директория_с_сайтами
Выставить права на папки с сайтами, чтоб в чужие не заходили.

[butteff]

В /etc/ssh/sshd_config

Код: [Выделить]

match group ГруппаВебЮзеров
chroot /директория_с_сайтами
Выставить права на папки с сайтами, чтоб в чужие не заходили.

Тогда сразу вопросы:
1. А как задать права такие, чтобы даже смотреть не могли? chmod xxx... что в xxx?
2. Как сменить владельца всех файлов в папке?

В общем даже так не получается. При подключении по ssh выдает ошибку.
Нагуглил похожие статьи, прям копирую один в один, меняя на свои папки - не работает схема почему-то.

[ArcFi]

butteff, чтобы только владелец имел доступ:

Код: [Выделить]

chmod -R u=rwX,g=,o= /dirЧтобы сменить владельца:

Код: [Выделить]

man chown

[butteff]

man sshd_config

Код: [Выделить]

ChrootDirectory
   
не?

Ну вроде бы это то, что нужно.
Но сколько не пытался вписать в конфиге эту директиву, не работает.
Есть готовые примеры конфига для копипаста?

[censor]

Ну вроде бы это то, что нужно.
Но сколько не пытался вписать в конфиге эту директиву, не работает.
Есть готовые примеры конфига для копипаста?

гуугле же ж - http://www.opennet.ru/openforum/vsluhforumID3/51165.html