Сначала опишу отчасти задачи, которые надо выполнить, может то что навертел я неразумно и это все можно сделать по-другому.
Итак, есть некоторое подобие сервака на котором вертится мускуль, и некая тулса запускаемая раз в 5 секунд.
На серваке есть n штук юзерских акаунтов с некими хом-каталогами.
На виндовых машинах есть софтина написанная на коленке и юзающая pscp, высылающая в хомкаталог юзера какое-то произвольное файло, ну и соответственно сливающая сие добро обратно после некоторой обработки тулсы.
Все это работает. Но моя паранойа сильна: каждый имеющий юзеракаунт может шастать непривелегированным юзером по серверу. Читать там всякое разное. Раздражает
Поэтому круг прогулок юзверя нужно сократить до его хом-каталога.
Выставлять права на всем остальном как-то тупо. Или нет?
Я пробовал при создании юзверя указать там --shell /bin/false | /bin/true | /dev/null и т.д, но поскольку либо sshd, либо pscp, либо sftp юзает /bin/sh, я получил доской по морде:
Using username "lilo_panic".
Keyboard-interactive authentication refused
Sent password
Access granted
Opened channel for session
Started a shell/command
Server sent command exit status 0
Using SFTP
Connected to 6x.xxx.xxx.xx
Disconnected: All channels closed
unable to initialise SFTP: could not connect
Что по идее разумно, так, для пущей уверенности
Можно, конечно потратить пару месяцев на разработку авторского-дебилистически-кастрированного шелла, позволяющего только выполнять логин и r/w, но что-то не радует перспектива.
Итак, цель: сузить свободу перемещений юзера до своего домашнего каталога, чтобы что-то прочитать или записать он мог только и исключительно в свой домашний каталог. Выполнение чего угодно тоже запрещено)