> ldd sftp-server2

Ldd: sftp-server2: not a dynamic executable

Приведенный выше ответ является правильным, если вместо него появляется что-то типа:

> ldd sftp-server2:

        libm.so.2 => /usr/lib/libm.so.2 (0x280bb000)

        libcrypt.so.2 => /usr/lib/libcrypt.so.2 (0x280d7000)

        libutil.so.3 => /usr/lib/libutil.so.3 (0x280f0000)

        libncurses.so.5 => /usr/lib/libncurses.so.5 (0x280f9000)

        libc.so.4 => /usr/lib/libc.so.4 (0x2813b000)

значит, это динамически собранный исполняемый файл, и он не годится. На самом деле его тоже можно использовать. Но для этого придется создать /usr/libexec в домашнем каталоге пользователя rmbackup, перенести туда ls-elf.so, создать /usr/lib и поместить туда все библиотеки, перечисленные в выводе ldd, создать /var/run/ld-so.hints командой ldconfig. С моей точки зрения, пересобрать программу значительно проще.

В каталог /etc помещаются файлы group и master.passwd. Из файла group удаляются все реальные пользовательские группы, важно, чтобы там присутствовала группа, прописанная как ChrootGroup в конфигурационном файле SSH-сервера. Из файла master.passwd удаляются все пользователи с паролями, пароль root заменяется на «*». После чего создаются файлы passwd, pwd.db и spwd.db командой:

>pwd_mkdb -p -d . master.passwd

Теперь файл master.passwd можно стереть. Кроме того, в конфигурационном файле SSH-сервера указывается группа, к членам которой будет применяться chroot (по умолчанию это группа sftp):

ChRootGroups     sftp,guest

Кроме того, проследите, чтобы параметр AllowedAuthentications содержал publickey, а RequiredAuthentications не содержал password. Еще лучше, чтобы он был удален или закомментирован. Как убедиться в том, что сессия идет в chroot? В файле регистрационного журнала SSH-сервера об этом делается специальная отметка:

connection from "192.168.1.1"                                              

Public key /usr/local/share/rmbackup/.ssh2/rmbackup_mybox.pub used.     

Public key authentication for user rmbackup accepted.