Stell dir vor, du betreibst einen Server, auf dem Benutzer Dateien hochladen dürfen. Aber du willst nicht, dass sie in deinem ganzen System herumschnüffeln. Da hilft nur eins: Man sperrt sie in einen digitalen Kerker ein, auch Chroot genannt. Und wir zeigen dir, wie du diese sichere SFTP-Umgebung schaffst.
Zuallererst legen wir einen neuen Benutzer an. Den nennen wir einfach mal 'ftpuser'. Er wird unser Versuchskaninchen für den digitalen Kerker. Mit dem Befehl 'sudo adduser ftpuser' wird der Benutzer angelegt.
Jetzt geht's ans Eingemachte. Wir erstellen das Gefängnis - pardon, das Chroot-Verzeichnis. Mit 'sudo mkdir /home/ftpuser/ftp' erschaffen wir den dunklen Kerker für unseren 'ftpuser'. Damit er nicht vor Einsamkeit stirbt, verpassen wir ihm noch ein Upload-Verzeichnis mit 'sudo mkdir /home/ftpuser/ftp/uploads'.
Jetzt müssen wir nur noch sicherstellen, dass unser 'ftpuser' auch wirklich im Kerker bleibt. Dafür passen wir die SSH-Konfigurationsdatei etwas an. Mit 'sudo nano /etc/ssh/sshd_config' öffnen wir die Datei und fügen am Ende folgende Zeilen hinzu:
```
Match User ftpuser
ChrootDirectory /home/ftpuser/ftp
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
```
Mit diesen Zeilen sagen wir unserem Server, dass der 'ftpuser' bei einer SFTP-Verbindung ins Chroot-Verzeichnis '/home/ftpuser/ftp' gesperrt wird und nur SFTP-Befehle ausführen darf.
Aber Moment mal, wir haben doch das Upload-Verzeichnis vergessen! Da hat unser Benutzer doch gar keine Schreibrechte. Kein Problem, mit 'sudo chown ftpuser:ftpuser /home/ftpuser/ftp/uploads' übertragen wir die Rechte an unseren 'ftpuser'.
Jetzt müssen wir nur noch den SSH-Dienst neu starten, damit die Änderungen auch wirksam werden. Mit 'sudo service ssh restart' erledigen wir das im Handumdrehen.
Voilà, unser 'ftpuser' ist jetzt sicher im Chroot-Kerker eingesperrt und kann nur noch in seinem Upload-Verzeichnis Dateien hochladen. Jetzt kannst du dich entspannt zurücklehnen und deinen Kaffee genießen, während dein Server sicher vor neugierigen Benutzern ist.
Und das nächste Mal, wenn ein Kollege fragt, wie man einen sicheren SFTP-Server einrichtet, kannst du ihm einfach diesen Artikel zeigen und sagen: "Einfach den Benutzer in den Kerker werfen!" Denn so leicht kann IT-Sicherheit sein.