Per poter effettuare sftp è necessario avere una shell valida, per evitare di dare accesso shell completo si può utilizzare rssh, una shell ridotta che dovrebbe consentire solo scp, sftp, cvs, rsync e rdist.

In teoria l'utente rssh potrebbe essere confinato in una directory con un chroot, ma questo richiede una configurazione abbastanza complessa, inoltre il programma /usr/lib/rssh/rssh_chroot_helper deve essere SUID…

Nel file di configurazione /etc/rssh.conf si indicano quali comandi si possono eseguire nella shell, la configurazione predefinita Debian impedisce qualunque azione. Ecco un esempio per consentire sftp e scp ad un singolo utente:

user=loginname:011:000110: # Allow sftp and scp, no chroot.

Dopo aver installato il programma, si esegue ssh-host-config per configurare il servizio.

L'utente con cui gira il servizio sshd deve avere i seguenti permessi:

Control Panel → Administrative Tools → Local Security Policy → Local Policies, click su User Rights Assignment

• Adjust memory quotas for a process
• Create a token object
• Logon as a service
• Replace a process level token

Su Windows 2003 Server i permessi devono essere assegnati manualmente. La procedura ssh-host-config crea l'utente sshd, ma crea anche l'utente cyg_server e suggerisce di usare quello per il servizio.

Se si vuole eseguire ssh-host-config una seconda volta conviene eliminare gli utenti sshd e cyg_server ed eliminare il servizio sshd. Per eliminare gli utenti editare /etc/passwd ed eliminare gli utenti, quindi rimuovere gli utenti anche dal pannello gestione utenti di Windows. Per eliminare manualmente il servizio sshd:

sc \\server_name delete sshd