Делал это уже довольно давно, на тот момент существующие решения не устраивали.
Так что сильно не пинайте, если че не так.За основу брал OpenSSH.
cd /usr/ports/security/openssh
make patch
потом в файле work/ssh/sftp-server.c функцию майн привожу к такому виду
(первые-последние строки там уже есть, привел для привязки):
int
main(int ac, char **av)
{
fd_set *rset, *wset;
int in, out, max;
ssize_t len, olen, set_size;
char *chrootdir;
struct passwd *pw;
char *name;
/* XXX should use getopt */
handle_init();
if ((name = getenv("USER")) == NULL) {
error("USER not set");
exit(11);
}
log( "user %s logged in", name );
//printf( "%s\n", name);
if ((pw = getpwnam(name)) == NULL) {
error("getpwname");
exit(11);
}
if (chroot(pw->pw_dir) < 0)
{
error("chroot");
exit(11);
}
log( "chrootted to %s", pw->pw_dir );
/* set permissions */
if (setgid(pw->pw_gid) < 0)
{
error("setgid");
exit(11);
}
if (setuid(pw->pw_uid) < 0)
{
error("setuid");
exit(11);
}
in = dup(STDIN_FILENO);
out = dup(STDOUT_FILENO);
тут можно еще, к примеру, вставить проверку на, скажем, наличие точки в пути к дому и только в тогда chroot-ить. Но у меня рутятся все
Дальше
make install
файлик work/ssh/sftp-server/sftp-server переписываю в /root
владелец его рут + суид (иначе не даст сделать чрут)
кому надо заходить по сфтп с чрутом - ставлю шеллом /root/sftp-wrapper
его содержимое:
#!/bin/sh
host=`/bin/echo $SSH_CLIENT | awk '{print $1}'`
date=`/usr/bin/env LANG=C /bin/date "+%Y-%b-%d %H:%M:%S"`
/bin/echo $date user \'$USER\' log in from $host >> /root/sftp-log
exec /root/sftp-server
все, доступ идет через стандартный sshd, шеллом запускается патченный сфтп от рута,
делает чрут и выставляет правильных юзера/группу, дальше работать можно только
по протоколу стфп (т.е. командой строки нет) и в папках не выше дома.
в last этих заходов не видно, но враппером пишутся в /root/sftp-log