Serveur sftp, shell réduit (rssh) et chroot

Trucs et Astuces
#181

[quote=“kri2sis”]vous pourriez développer que je comprenne svp ?? (notamment le compte à part…)

j’ai copié le raid vers /home/raid5/raid5/medias
si je suis le tuto je mets le dossier sftp et ses dépendances dans /home/raid5/raid5/medias ?
de cette façon le user arrive dans le meme repertoire que le raid …

je crains de faire une betise…

je recherche unmax de sécurité pour moi et les users[/quote]

Le tuto, tu ne l’as pas suivi :

[quote]III Création du chroot

Nous allons “chrooter” nos futurs utilisateurs du serveur sftp dans un dossier, nous nous servirons dans notre cas de /home/sftp:
Code:
#mkdir /home/sftp[/quote]

#182

Non, ce n’est pas aussi restrictif. C’est plutôt l’inverse de ce que vous décrivez.
On peut toujours se connecter en ssh (la preuve, je le fais tous les jours). Sauf que, certains utilisateurs, s’ils se connectent en ssh, sont tout de suite déconnecté, car leur shell est /bin/false (ils n’en ont pas). La seule chose qu’ils ont le droit, c’est de faire du sftp.

Et moi, comme je ne me suis pas mis le shell /bin/false, je peux faire du ssh et du sftp.

#183

[quote="Ricardo, avec un large sourire colgate qui lui va à ravir :stuck_out_tongue: "]Alors :
1/ les “authorizeds” doivent appartenir au groupe ‘sftp’ et non au groupe ‘0’
2/ les droits doivent être ainsi :
drwxr-xr-x 8 root root 4096 22 janv. 01:51 .
drwxr-xr-x 15 root root 4096 4 janv. 2012 …
drwxr-xr-x 2 root root 4096 11 oct. 18:15 dev
drwx–x— 2 root sftp 4096 26 nov. 2010 etc
drwx–x— 2 root sftp 4096 26 nov. 2010 lib
drwx–x— 2 root sftp 4096 26 nov. 2010 lib64
drwx–x— 5 root sftp 4096 27 nov. 2010 usr[/quote]

mais je comprends bien… non c’est faux ^^, je dois faire ça comment parce que je ne sais meme pas a quoi correspondent ces chiffres

ps : pour le reste c’est nikel merci a vous :023

#184

[quote=“thuban”]Non, ce n’est pas aussi restrictif. C’est plutôt l’inverse de ce que vous décrivez.
On peut toujours se connecter en ssh (la preuve, je le fais tous les jours). Sauf que, certains utilisateurs, s’ils se connectent en ssh, sont tout de suite déconnecté, car leur shell est /bin/false (ils n’en ont pas). La seule chose qu’ils ont le droit, c’est de faire du sftp.

Et moi, comme je ne me suis pas mis le shell /bin/false, je peux faire du ssh et du sftp.[/quote]

thuban tu avais mis ForceCommand internal-sftp dans ton tuto, c ‘était pour cela… je l’ ai commenté donc oui ces deux méthodes se valent mais n’ est ce pas plus sécurisé avec rssh ?

#185

[quote=“nykoos”]
thuban tu avais mis ForceCommand internal-sftp dans ton tuto, c ‘était pour cela… je l’ ai commenté donc oui ces deux méthodes se valent mais n’ est ce pas plus sécurisé avec rssh ?[/quote]
Oui, mais seulement pour les utilisateurs membre du groupe “sftpusers”.

Le niveau de sécurité entre ma méthode et l’utilisation de rssh, je ne sais pas (et j’aimerais bien avoir une réponse) lequel est le plus sécurisé.

#186

Je ne connais pas exactement ta méthode, j’ai toujours pratiqué selon le présent fil, plus quelques bricoles personnelles, sans importance.
Ce que je sais, c’est qu’avec le présent tuto, il est impossible à un membre de sftp de remonter plus haut que son /home perso, qui est très réduit.
S’il en est de même avec ta méthode, la sécurité est identique.

#187

[quote=“ricardo”]Je ne connais pas exactement ta méthode, j’ai toujours pratiqué selon le présent fil, plus quelques bricoles personnelles, sans importance.
Ce que je sais, c’est qu’avec le présent tuto, il est impossible à un membre de sftp de remonter plus haut que son /home perso, qui est très réduit.
S’il en est de même avec ta méthode, la sécurité est identique.[/quote]
Oui c’est la même chose. C’est en fait le principe d’un chroot : coincer l’utilisateur dans un répertoire qu’il considère comme /

Ma méthode n’utilise pas rssh, mais le sftp et chroot inclut à ssh. Et pous s’assurer que seulement sftp peut être utilisé, les utilisateurs du groupe sftpusers (géré à la main) on le shell /bin/false.

@kri2sis : Alors pour les droits, ça se gère avec chmod (et chown). Mais là, je fais exprès de ne pas t’en dire plus. Il va vraiment falloir que tu lises le manuel (man chmod) ou la documentation sur internet par toi même, car c’est un point essentiel sous debian (et Unix, Linux en général)

#188

merci chef ^^ j’avais réglé le probleme hier soir :smiley: :smiley:

#189

je viens juste me rendre compte de quelque chose… lorsque les users rrive dans leur chroot, il y a la partie du raid destinée au partage de données, et j’y avait ajouter un repertoire www pour la création des différents sites. or il y a en fait qu’un seul et meme repertoire www et non comme je le désirais 1 par utilisateur… du coup c’est pas bon la méthode Thuban ? ou c’est moi encore ?

#190

Je ne pratique pas le Raid et donc, je ne connais pas, donc, je m’abstiens dans ces réponses.
Pour les droits, Thuban a raison, c’est une chose primordiale qu’il faut maitriser, donc apprendre par soi-même.

#191

non mais le “raid”, n’est qu’un détail, il s’agit là d’un dossier dans lequel sont des données partageable (telechargeable) entre les users et comme ils passent par le sftp… enfin bref passons

si j’applique un chown en mettant le groupe sftpusers “root”, ça reviendra au meme que j’ai actuellement (le repertoire “www” et ses sous-repertoires ont un chmod 755). ils sont regroupés dans le même chroot commun…

est-ce que si je suis le tuto ici présent chacun de mes users pourra ne voir que ses dossiers, les créer et avoir un lien avec ce dossier de partage commun ? c’est pour moiprimordial d’avoir cette combinaison
svp merci

#192

À toi d’adapter les tutoriels à tes besoins.
Oui, ce que tu veux est tout à fait possible. Pour que ce dossier www soit accessible à tous, alors il faut que les droits sur ce dossier permette à tous les utilisateurs (par exemple du groupe sftpusers) d’y accéder.
Une possiblité (sachant que je ne connais pas exactement quel est le plus pratique pour toi, donc à adapter là aussi!) :

chown sftpusers -R chemin/vers/www chmod g+rwx chemin/vers/www
Puis pour chaque utilisateur, si tu veux leur mettre un raccourci vers le www dans leur répertoire :

#193

donc un utilisateur chrooter dans /home pourra aller dans /media/home/raid5 par le biais d’un lien symbolique (ln -s)

ln -s /home/… /media/home/raid5 ???

bon je vais tester ca coute rien

bon beh voilà c’est parfait merci a tous et spécialement à thuban pour ta patience et ton tuto :clap:

#194

Bon bah depuis une journée je suis toujours bloqué au même endroit :
/lib/libnss_files.so.2 le fichier n’existe pas
Ici j’ai vu qu’on le trouve dans /lib/x86_64-linux-gnu
est-ce que je peux faire
cp /lib/x86_64-linux-gnu/libnss_files.so.2 /home/sftp/lib
au lieu de :
cp /lib/libnss_files.so.2 /home/sftp/lib

Ca risque de poser un problème ?

#195

Il faut que tu gardes la même arborescence. Donc, tu dois copier /lib/x86_64-linux-gnu/libnss_files.so.2 dans /lib/x86_64-linux-gnu/ de ton chroot.

#196

Merci :wink:
Faudrait mettre à jour le tuto non ?

#197

oui m’sieur le directeur, je vais mettre à jour ! :wink:

#198

Efficace et pas cher…
Merci, pour moi c’est trop tard mais si ça peut éviter à d’autres de tourner en rond comme moi, c’est déjà ça.
Tant que j’y suis il manquerait la position où mettre le Script “copie binaire”, Mine de rien les n00bs comme moi se posent plein de questions quand ils voient ça.

Si ça t’embête pas je finis le tuto et je te dit ce qui m’a manqué.

Encore merci pour ton tuto.

#199

ça ne m’embête pas.

#200

salut, j’ai essayé de suivre le tuto, mais je bloque au niveau du chroot :
on me demande un mot de passe mais je ne lis nulle part dans le tuto comment en entrer un…

de l’aide svp

merci par avance