SSH je servis bez kojeg je nezamisliv radni dan svakog sistemca. Secure FTP dio je istog paketa, omogućava siguran/kriptiran prijenos datoteka. Implementira se na dva načina, kao sftp-server, ili kao in-process server koji ne zahtijeva dodatnu podršku kada se koristi s ChrootDirectory.
Ovako bi nekako trebala izgledati konfiguracija:
Subsystem sftp internal-sftp
Match Group sftp
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
Ako korisnike treba pustiti nekamo izvan njihova direktorija, zadajemo to ovako:
Subsystem sftp internal-sftp -d /var/www
Dodatna zaštita može se postići parametrom -R koji korisnicima daje samo read only prava, kako ne bi mogli mijenjati sadržaj direktorija u koji su usmjereni.
Ako administrator zaboravi konfigurirati chroot, omogućio je korisnicima pristup cijelom filesystemu, pa i /proc direktoriju, što se može zloupotrebljavati za različite maštovite napade.
Postoje grafički klijenti koji omogućavaju prijenos datoteka klikanjem, bez zadavanja naredbi na komandnoj liniji. Time je i širem krugu korisnika omogućen pristup dijelovima datotečnog sustava u koje ne bi smjeli zalaziti.
Objavljen je i kod za proof-of-concept [1], pa se radoznalci mogu poigrati s njime. Time je opasnost još veća. Ranjive su verzije OpenSSH <= 6.6, pa preporučujemo da odmah provjerite konfiguraciju i što prije instalirate OpenSSH 6.7, u kojem je greška ispravljena.