empecher de remonter les repertoires

[tizef]

Bonjour,

Quand je me connect en ssh sur mon serveur de l'exterieure ssh toto@mondomaine.org
j'accede bien a mon repertoire perso, mais je peux aussi remonter les repertoires
j'usqu'a la racine.
ya t'il moyen d'empecher cela ?

[pulsergene]

Quel droit a ton utilisateur ?
parce que s il a des droits root cela peut expliquer que tu puisses remonter jusqu a la racine

[Gaston]

Bonjour,
entant qu'utilisateur du système Unix, tu as les droits associés à l'utilisateur càd pouvoir "naviguer dans tous les répertoires qui sont "exécutable" par toi, ton groupe, le reste du monde.

Si tu veux empêcher de remonter :
- metrre /sbin/rsh en tant que shell, mais c'est vraiment très restrictif
- chrooter ton home directory au login :

Code: Tout sélectionner

user:x:500:500:my chrooted user:/home/user/./home/user:/bin/sh

attention j'ai pas vérifier sous linux

G.

[edit] a priori il y a même des choses plus complètes : http://www.brandonhutchinson.com/chroot_ssh.html ... à voir [/edi]t
voir aussi : http://www.tjw.org/chroot-login-HOWTO/

[tizef]

sur sme6 les utilisateurs on sshell, moi j'ai mis bash c'est peut-etre la que j'ai fait une $%#&!, dans ce cas, donc ca veut dire que on peut pas faire:

ssh toto@server ? mais seulement ssh server on peut ce connecter quand root

[Gaston]

on s'est pas compris !

o De base les users ne peuvent pas se connecter à la SME
o Il existe une contrib qui te permet de changer cela (dundog je crois)
o Je t'ai donné une réponse générique (je l'ai dailleurs indiqué) donc le shell indiqué en fin de ligne n'est qu'indicatif (j'ai pas envie de lancer un troll là dessus)

Après je vois pas pourquoi ça serait pas possible parce que c'est une SME.

Soit tu *veux* donner accès au serveur à tes utilisateurs et :
o tu considères qu'il peuvent se déplacer dans l'arborescence du système, selmon les droits Unix, il ne pourrons pas y faire plus de mal que sur une autre distrib,
o tu veux leur restreindre l'accès, et tu vois si *vraiment* le chroot est incompatible avec la SME, vraiment je ne vois pas la raison - mais j'ai pas essayé, je ne me connecte qu'en root pour des usages qui nécéssitent les droits root ...

G.

[tizef]

Merci Gaston

Bon je remet sshell et comme ca c'est reglé, normalement les utilisateurs n'ont rien a faire
sur le serveur, a part en mode X ou il peut acceder a son repertoire perso c'est tout
Bon c'est vrai que si il veut ce connecter sur le serveur sur son compte, d'une machine
distante en ssh il ne peut pas ?

e-smith securité ne rien changer sauf si on sait ce quon fait

merci

[Gaston]

Bonjour,
j'espère répondre mais se suis pas sur d'avoir compris si c'est une quetsion ou une remarqiue

Bon c'est vrai que si il veut ce connecter sur le serveur sur son compte, d'une machine
distante en ssh il ne peut pas ?

les connexions distantes par ssh ne sont possibles que si tu as cohé la bonne option dans le server manager.
A prtir de là, tout utilisateur qui peut accéder à une session ssh du LAN devrait aussi pouvoir de le faire de l'extérieur.

G.

[tizef]

Salut Gaston

non l'utilisateur ne peut pas se connecter avec ssh si son shell est sshell
si quelqun peut confirmé
a+

[Gaston]

Effectivement, mais si tu lui met un shell valide ...

Code: Tout sélectionner

sytem_wan: /home/pic>  ssh pic@my_domaine.org
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@       WARNING: HOST IDENTIFICATION HAS CHANGED!         @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the host key has just been changed.
Please contact your system administrator.
Add correct host key in //.ssh/known_hosts to get rid of this message.
Agent forwarding is disabled to avoid attacks by corrupted servers.
X11 forwarding is disabled to avoid attacks by corrupted servers.
Are you sure you want to continue connecting (yes/no)? yes
pic@my_domain.org's password:
Last login: Fri Jul 23 13:25:45 2004 from system_wan.current_domain.com
Welcome to the Mitel Networks SME Server.
bash-2.05a$ uname -n
srv75
bash-2.05a$ grep pic /etc/passwd
pic:x:5008:5008:pi c:/home/e-smith/files/users/pic:/bin/bash
bash-2.05a$


sshell est juste un programme qui renvoie un message d'erreur sur la sortie standard

Code: Tout sélectionner

mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x40014000
write(1, "\33[H\33[2J\n", 8

)            = 8
write(1, "\n", 1
)                       = 1
write(1, "-------------------------\n", 26-------------------------
) = 26
write(1, "Mitel Networks SME Server\n", 26Mitel Networks SME Server
) = 26
write(1, "-------------------------\n", 26-------------------------
) = 26
write(1, "\n", 1
)                       = 1
write(1, "\n", 1
)                       = 1
write(1, "Standard user login services hav"..., 49Standard user login services have been disabled.
) = 49
write(1, "\n", 1
)                       = 1
write(1, "\n", 1
)                       = 1
write(1, "Type \"end\" and press ENTER to te"..., 57Type "end" and press ENTER to terminate this connection: ) = 57


Gaston