Serveur sftp, shell réduit (rssh) et chroot

Trucs et Astuces
#81

Le umask ptet ?
De retour vers minuit :wink:

#82

Peux-tu m’envoyer le retour de :

#grep machin /etc/passwd #grep machin /home/sftp/etc/passwd #cat /etc/ssh/sshd_config

[edit] Quelle méthode utilises-tu pour te connecter : mot de passe ou clé ?

#83

ricardo@serveur:~$ sudo grep machin /etc/passwd machin:x:1002:1002:,,,:/home/machin:/usr/bin/rssh

ricardo@serveur:~$ sudo grep machin /home/sftp/etc/passwd machin:x:1002:1002:,,,:/home/machin:/usr/bin/rssh

[quote]ricardo@serveur:~$ cat /etc/ssh/sshd_config

Package generated configuration file

See the sshd(8) manpage for details

What ports, IPs and protocols we listen for

Port xxxxxxxx

Use these options to restrict which interfaces/protocols sshd will bind to

#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2

HostKeys for protocol version 2

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

Lifetime and size of ephemeral version 1 server key

KeyRegenerationInterval 3600
ServerKeyBits 768

Logging

SyslogFacility AUTH
LogLevel INFO

Authentication:

LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

Don’t read the user’s ~/.rhosts and ~/.shosts files

IgnoreRhosts yes

For this to work you will also need host keys in /etc/ssh_known_hosts

RhostsRSAAuthentication no

similar for protocol version 2

HostbasedAuthentication no

Uncomment if you don’t trust ~/.ssh/known_hosts for RhostsRSAAuthentication

#IgnoreUserKnownHosts yes

To enable empty passwords, change to yes (NOT RECOMMENDED)

PermitEmptyPasswords no

Change to yes to enable challenge-response passwords (beware issues with

some PAM modules and threads)

ChallengeResponseAuthentication no

Change to no to disable tunnelled clear text passwords

#PasswordAuthentication yes

Kerberos options

#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

GSSAPI options

#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

Allow client to pass locale environment variables

AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

utilisateurs autorises

AllowUsers ricardo
AllowUsers xxxxxx
AllowUsers machin
[/quote]

#84

Il n’y a pas que Ricardo qui peut se connecter: moi aussi j’y arrive (t’avais créé un compte pour moi, et il fonctionne tjs: j’en viens (au fait, tu connais Troll de troy ?) )
Mais quelle est la différence entre Ricardo, moi et machin ?? That’s the question…on va bien finir par trouver.

#85

J’ai failli reposter pour une autre impossibilité de connexion avec un nouvel ‘user’.
J’y arrivais en ligne mais impossible avec FilleZilla.
Tout bêtement une erreur de MDP que j’avais mal recopié :unamused:
Tout ça pour dire que le tuto est parfait.
Pour moi, il faut en plus que je place les utilisateurs dans le groupe ad-hoc.

#86

Pourquoi le fil est remonté ?

#87

Parce que ricardo a posté dessus pour dire que ton tuto était super.

#88

Bah non: tu penses bien que je me souviens de ce post (j’en suis encore tout fier), et je peux t’assurer qu’il date de qques mois.

#89

C’est moi qui l’ai remonté artificiellement :wink: (bricolage d’admin, faut pas l’dire) .
Je suis content ce te lire Yan car j’ai un problème avec sftp.
J’ai changé de box V5 ==> révolution et j’ai eu pas mal de problèmes qui sont tous résolus sauf sftp via FileZilla.
Je peux en local en ligne mais quand je passe par FZ, il me refuse l’accès.
Certainement une histoire de port ou de parefeu.
Pourtant, le 21 est bien ouvert sur les deux .
Si tu as une idée.
J’ai vérifié tout le reste et je n’ai rien rencontré comme erreur.

Si tu peux tester Yan et Michel aussi, si vous n’avez pas perdu le pass.

#90

Effectivement, j’ai testé et il me refuse la connexion.
Qd tu dis que tu peux en local en ligne, tu veux dire: que tu fais le test directement sur ton serveur ou à partir d’un autre ordi de ton réseau local ?
Et que disent les logs qd ça ne marche pas ?

[quote]Certainement une histoire de port ou de parefeu.
Pourtant, le 21 est bien ouvert sur les deux .[/quote]Les deux ? : serveur et routeur ? Sur le routeur, tu as bien redirigé le port vers le serveur ? Et puis rappelle toi que normalement, ce n’est pas le port 21 sur ton serveur (on l’avait changé si je ne m’abuse ?). Mais bon, comme tu y arrives en local, je pense que tu fais les tests avec le bon port.

Or donc:
-> vérifier que le routeur redirige bien la demande vers le serveur.
-> disséquer les logs

#91

Pour éviter les doublons de réponses, voila le lien où je règle mes différents problèmes dus à la migration FreeBox V5 ==> “révolution” :
https://www.debian-fr.org/suite-migration-freebox-revolution-probleme-ip-ou-apache-t36243.html
Je n’ai donc plus de routeur, la nouvelle box faisant fonction de.
Elle est paramétrée comme tel avec redirections vers le serveur sur les ports :
80 = web
143 = imap
25 = smtp
"1000" = ssh (1000 étant l’exemple, le bon, celui que tu as :wink:
J’ai même ajouté le 21 mais je pense que ça n’a pas lieu d’être ???
Toujours sur serveur, les mêmes ports sont ouverts sur iptables

Sur la machine appelante, redirection vers :
ssh "1000"
21 (besoin pour liason ftp - Free ??? )
631 (Cups donc rien à voir)

J’ai aussi placé une redirection “1000” vers cette machine appelante.

J’espère que c’est à peu près clair mais je suis prêt pour d’autres explications.

#92

Je ne comprends pas. Tu as redirigé les demandes sur le port ssh (1000) vers deux machines différentes : le serveur et une autre ??
Et oui, le port 21 n’a rien à voir avec notre histoire.
Et qd tu testes le serveur à partir d’une autre machine, est-ce que cette demande apparaît dans les logs du serveur ?

#93

J’ai l’impression que je dois reprendre tout mon système d’ouverture ports parefeu et de redirections de ports, je me mélange les pédales.
Je vais poser des questions qui me feront ptet mieux piger car mon neurone est particulièrement fatigué ces jours-ci.
Donc, on part du principe que je n’ai rien modifié au niveau du sftp sur le serveur, qui fonctionnait parfaitement avant le changement (box V5 + routeur) ==> box révolution en mode routeur (donc plus de routeur à part).
Au niveau de la redirection de ports sur cette nvelle box, que dois-je mettre, sachant que mon serveur fait :
web (80)
postfix (143)
smtp (25)
ssh et sftp (1000)

Est-ce suffisant ?

#94

pour le ssh (et sftp donc), rediriger uniquement le port 1000 vers l’IP du serveur est suffisant. Je ne t’affirmerai rien pour les autres, car je n’en suis pas sûr.
Mais on peut être sûr que tu as un pb de redirection de port (pour le sftp), si, lorsque tu fais un test de connexion à partir d’une machine autre que le serveur, l’IP de l’ordi concerné n’apparaît pas dans les logs du serveur (ie il n’a reçu aucune demande, donc la requête n’a pas été relayée à ton serveur => pb de redirection de port).

#95

Tu dois faire ce nat précis dans la freebox server :

Port entrée 80 => protocole TCP => Ip locale Ip de ta debian => port sortie 80

Tu fais la même chose pour les autres.

ôte moi d’un doute. Tu parlais d’un adresse local en classe A en 10.0.0.0 etc…

Comme tu as remplacé ton routeur par la freebox, celle ci prend le rôle de ton ancien routeur. D’ailleurs quel était ton adressage réseau derrière ce routeur ?

Quand est-il ?

Merci

#96

Oui, c’est revenu à l’ancienne mode 192.168.0.x (avant j’étais en 192.168.1.x) j’ai bien vérifié ça partout.
Seconde question : pour les uatres machines, dois-je laisser le port ssh inchangé, donc en 22 ? doit-on le préciser dans ~/.ssh config ? et dasn /etc/sshd_config ?

#97

Yan, tu peux tester de l’extérieur ?
Je pense que ça devrait aller.

#98

c’est ok.
pour les autres machines (qui ne te servent donc pas de serveur sftp), le port par défaut pour le ssh est le 22. Comme c’est par défaut, t’as rien à préciser dans la conf du serveur ssh de ces machines (ce qui n’est pas le cas pour le serveur sftp, car on a changé le port par défaut).

#99

Merci, c’est ce que j’avais pensé faire mais je n’en étais pas sûr.
Ma connerie était donc d’avoir cru devoir effectuer la redirection du “1000” pour toutes les machines.
Décidément, je suis assez nul.
Je vais écrire tout ça noir sur blanc de façon à ne pas recommencer une autre fois.
Amitiés à toi et à tous ceux qui m’ont aidés.
:006

#100

Bonjour a tous ,
je voudrai savoir si la solution rssh + chroot et plus efficace au niveaux sécurité que cette autre méthode qui marche très biens je trouve ?