Hoje apeteceu-me vestir a farda de Administrador do Paradigma e instalar uma solução tendo em vista a segurança.O Paradigma possuí um grupo de utilizadores que se designou por "webusers" que não possuíem shell e apenas podem usufruir do serviço de FTP de modo a transferirem os ficheiros que posteriormente o Apache se encarrega de servir ao público. Esta abordagem possuí o problema de que toda a informação que 'viaja' pelo protocolo FTP não vai cifrada e portanto é trivial para um sniffer apanhar o login e pass do utilizador.
Existiam duas soluções para contornar este problema, ou instalava o daemon de FTP com mais uma camada de SSL e obrigava os utilizadores a usarem clientes de FTP que suportassem este mecanismo ou então instalava uma shell que apenas permitisse acesso SFTP ou SCP e avisava os utilizadores para usarem um cliente de SSH/SFTP normal. Optei pela segunda solução e instalei o Rssh num ambiente Chroot de modo a limitar a exploração de bugs do mesmo e também para restringir os utilizadores á sua própria "home".
Parece estar tudo a funcionar como o pretendido, mas o acesso FTP continuará activo durante mais uns tempos até porque o "problema" se resolve com os backups das homes dos users já que não me parece que a segurança do sistema esteja posta em causa mesmo com estranhos a aceder ao FTP, trata-se do vsftpd que se tem revelado realmente "very secure", em 5(?) anos que o uso não me lembro de instalar um patch de segurança.
