sftp et blocage des utilisateurs

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

sftp et blocage des utilisateurs

Messagepar Geoffroy_jojo » 15 Avr 2005 10:05

bonjour à tous
j'ai installer sur ma machine serveur un demon ssh (openssh) afin de permettre une maintenance à distance, ca marche nikel.
je devait aussi monter un serveur ftp dessus, le seul problème c'est que les mots de passe apparaissenten clair, donc je me suis tourné vers sftp qui est fourni par openssh.

si j'ai tout bien compris lors de la conection en sftp on "voit" comme sur une connection ssh normale, ce qui veut dire que l'on voit les fichiers et que l'on peu remonter les répertoires ...
je souhaiterai pouvoir coincer les users dans leurs repertoires "home" (/home/nom_users), est-ce qu'il existe une configuration du serveur sftp pour faire comme en ftp et faire un repertoire / virtuel ou est-ce que je dois chrooter tous mes users ???

sachant que 300 users à chrooter, c'est très long :oops: :oops:
si vous savez comment faire pour les chrooter automatiquement ou pour config mon sftp, merci de me tenir au courant !




je souhaiterai également savoir si il est possible de bloquer un utilisateur dans un répertoire lors d'une connection SSH, qu'il ne puisse pas remonter les repertoires.
«Microsoft ce n'est pas la réponse, Microsoft c'est la question et la réponse est non!»
Geoffroy_jojo
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 05 Déc 2004 16:57
Localisation: aix en provence

RSSH ?

Messagepar Sam012K » 16 Avr 2005 14:25

Une piste pour le chroot du sftp : un guide (pour gentoo mais c'est relativement général) en anglais
http://gentoo-wiki.com/HOWTO_SFTP_Server_%28chrooted%2C_without_shell%29

En résumé, il faut :
1.installer rssh
2. Copier les fichiers nécessaire pour le chrooting (scp, rssh, ...) Regarde le lien
3. Changer le shell de tes utilisateur pour rssh (/usr/bin/rssh)
Normalement tu peux le faire en modifiant le fichier /etc/password (faire une copie avant).
Tu peux utiliser sed avec grep
Quelque chose comme cela :
Code: Tout sélectionner
cat passwd | grep home | sed -e "s/\/bin\/bash/\/usr\/bin\/rssh/i" > passwd2
puis cat passwd | grep -v home >> passwd2


Mais tu n'as pas de shell.
Tu peux peut-être changer cela en modfiant les options de rssh, mais je ne crois pas.

Bonne recherche.

Sam
Avatar de l’utilisateur
Sam012K
Matelot
Matelot
 
Messages: 10
Inscrit le: 13 Déc 2003 01:00
Localisation: Belgique

Messagepar Geoffroy_jojo » 18 Avr 2005 15:35

le fait de ne pas avoir de shell est normal, on n'autorise que le sftp et le scp

j'ai suivi le tutoriel, mais il est impossible de se connecter en scp et en sftp :oops: :oops: :oops:
filezilla me renvoi cette erreur là
Code: Tout sélectionner
Fatal: Unable to authenticate

sous winscp j'ai un autentification failed :x

je ne comprend aps, les utilisateurs sont bien créés avec le shell qui va bien (rssh), mais il ne peuvet rien faire :cry:

si quelqun a déja réussi cette manip, merci de m'aider ...

Code: Tout sélectionner
=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2005.04.18 17:23:59 =~=~=~=~=~=~=~=~=~=~=~=
pouetpouet
Using keyboard-interactive authentication.
Password:
Linux servweb 2.4.18-bf2.4 #1 Son Apr 14 09:53:28 CEST 2002 i686 GNU/Linux

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.


This account is restricted by rssh.
Allowed commands: scp sftp

If you believe this is in error, please contact your system administrator.


j'ai ce message en ssh, puis la fenetre se ferme, normal, l shell interdi toute manipulation, donc, en gros, les utilisateurs n'ont plus acces a rin, et sont rejetés pour aller en sftp ou en scp :!:
«Microsoft ce n'est pas la réponse, Microsoft c'est la question et la réponse est non!»
Geoffroy_jojo
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 05 Déc 2004 16:57
Localisation: aix en provence

Messagepar Geoffroy_jojo » 19 Avr 2005 08:27

maintenant, winSCP me demande un mot de passe apres m'etre logué ...
si je met le mot de passe correspondant au login, il me le refuse :oops:
si je met le mdp root (on peut tjs essayé) il refuse aussi ...

please, si quelqun a une idée, marfi de m'aider, je suis tout perdu
«Microsoft ce n'est pas la réponse, Microsoft c'est la question et la réponse est non!»
Geoffroy_jojo
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 05 Déc 2004 16:57
Localisation: aix en provence

log ?

Messagepar Sam012K » 23 Avr 2005 17:44

Et en regardant les logs de ton serveur (/var/log/messages) ?

Que se passe-t-il si tu essaies de te connecter avec un utilisateur qui n'est pas rssh ? Es-ce que tu as le même problème ?

Essaie de faire le teste a partir du serveur même :
Code: Tout sélectionner
sftp -v useravecrssh@localhost

le -v s'est pour avoir les message de débug.

Compare avec un autre utilisateur nonrssh.

Sam
Avatar de l’utilisateur
Sam012K
Matelot
Matelot
 
Messages: 10
Inscrit le: 13 Déc 2003 01:00
Localisation: Belgique

Messagepar Oxx » 24 Avr 2005 13:15

Salut,

Il existe un bon outil pour ca Open Source http://mysecureshell.sourceforge.net/
Je l'ai testé et il y a une bonne documentation et simple à mettre en place.

Il me semble que dans le même genre il y ait chrootssh mais je ne l'ai pas testé. http://chrootssh.sourceforge.net/index.php


A+
Oxx
Oxx
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 24 Avr 2005 13:11


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron