Un utilisateur pour un dossier

syl2095 · 03/03/2008, 16h33

Bonjour à tous !

J'ai un probleme de droits d'accés sur dossier. En effet, je souhaiterais qu'un utilisateur qui se connectera via winscp ne puisse etre que sur un dossier precis et donc ne pas pouvoir se ballader sur le disque.

Est il possible de faire cela via htaccess ou existe t il une autre solution ?

Merci à tous !

julp · 03/03/2008, 17h16

Ça n'a rien à voir avec Apache (donc les .htaccess il faut oublier)

Vous cherchez à chrooter vos utilisateurs : il existe d'ailleurs un patch pour OpenSSH à cette fin (cette fonctionnalité a été ajouté le 08/02 au système OpenBSD à l'origine d'OpenSSH).

valefor · 03/03/2008, 17h25

Pour illustrer ceci une niouse linuxfr

syl2095 · 03/03/2008, 17h27

ok merci pour l'info. Je teste ça ! A+

syl2095 · 03/03/2008, 20h21

Pour faire un ChrootDirectory, j'ai essayé ceci :

Code :

Match user stephane
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
ChrootDirectory /usr/local/apache2/htdocs/apcea

# override default of no subsystems
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp

Mais j'ai cette erreur :

Code :

Démarrage de sshd :/etc/ssh/sshd_config: line 110: Bad configuration option: Match
/etc/ssh/sshd_config: line 113: Bad configuration option: ForceCommand
/etc/ssh/sshd_config: line 114: Bad configuration option: ChrootDirectory
/etc/ssh/sshd_config: terminating, 3 bad configuration options

Avez vous eu ce genre de soucis ?

Merci par avance

julp · 03/03/2008, 22h20

Vous avez fait quoi et comment ? A moins que votre système n'en propose une version déjà chrootée, une version très récente d'OpenSSH sera requise ou bien il vous reviendra de la patcher (requiert les sources).

syl2095 · 03/03/2008, 22h53

ouais je m'en suis rendu compte après coup.

En fait, l'OS est un CentOS 4. Openssh est en natif.

Je suis donc obligé de patcher une source openssh, de yum erase le openssh existant et rebuilder le openssh patché ? Ou il y a t il un moyen de patcher avec le openssh sans recompiler ce dernier ?

julp · 04/03/2008, 00h58

Citation:

Envoyé par syl2095

Je suis donc obligé de patcher une source openssh, de yum erase le openssh existant et rebuilder le openssh patché ? Ou il y a t il un moyen de patcher avec le openssh sans recompiler ce dernier ?

Oui à moins de trouver et utiliser un paquet non officiel

(à éviter de préférence dans le cas présent)

syl2095 · 04/03/2008, 10h48

je suis en train de tester scponly qui est une alternative au patch de openssh...
Mais j'ai encore des soucis...

je le compile comme suit :

Code :

./configure --enable-winscp-compat --enable-chrooted-binary --enable-sftp-logging-compat
make && make install

Je crée un utilisateur :

Code :

useradd -d /usr/local/apache2/htdocs/apcea/ -s /usr/local/sbin/scponlyc stephane

Je lui mets un passwd

Et ensuite quand je veux me connecter via putty par exemple, j'ai ce message :

Code :

WinSCP: this is end-of-file:0

Si je ne mets pas '--enable-winscp-compat', putty se ferme dés la connexion.

J'ai l'impression que l'user n'a pas le droit pour un shell... me trompe je ?

syl2095 · 10/03/2008, 22h01

Bon finalement j'ai opté pour la solution rssh.

Merci pour l'aide en tout cas

++

03/03/2008, 16h33	#1 (permalink)
syl2095 Membre actif Date d'inscription: juillet 2003 Messages: 198	Un utilisateur pour un dossier Bonjour à tous ! J'ai un probleme de droits d'accés sur dossier. En effet, je souhaiterais qu'un utilisateur qui se connectera via winscp ne puisse etre que sur un dossier precis et donc ne pas pouvoir se ballader sur le disque. Est il possible de faire cela via htaccess ou existe t il une autre solution ? Merci à tous ! __________________ Le savoir est utile que s'il est partagé par tous. /(bb\|[^b]{2})/

03/03/2008, 17h16	#2 (permalink)
julp Responsable Apache Date d'inscription: juin 2002 Messages: 4 656	Ça n'a rien à voir avec Apache (donc les .htaccess il faut oublier) Vous cherchez à chrooter vos utilisateurs : il existe d'ailleurs un patch pour OpenSSH à cette fin (cette fonctionnalité a été ajouté le 08/02 au système OpenBSD à l'origine d'OpenSSH). __________________ Aucune suite ne sera donnée aux sollicitations techniques par MP. PHP : la FAQ PHP, les cours PHP BSD : la FAQ BSD, les cours BSD, les systèmes BSD

03/03/2008, 17h27	#4 (permalink)
syl2095 Membre actif Date d'inscription: juillet 2003 Messages: 198	ok merci pour l'info. Je teste ça ! A+ __________________ Le savoir est utile que s'il est partagé par tous. /(bb\|[^b]{2})/

03/03/2008, 22h20	#6 (permalink)
julp Responsable Apache Date d'inscription: juin 2002 Messages: 4 656	Vous avez fait quoi et comment ? A moins que votre système n'en propose une version déjà chrootée, une version très récente d'OpenSSH sera requise ou bien il vous reviendra de la patcher (requiert les sources). __________________ Aucune suite ne sera donnée aux sollicitations techniques par MP. PHP : la FAQ PHP, les cours PHP BSD : la FAQ BSD, les cours BSD, les systèmes BSD

03/03/2008, 22h53	#7 (permalink)
syl2095 Membre actif Date d'inscription: juillet 2003 Messages: 198	ouais je m'en suis rendu compte après coup. En fait, l'OS est un CentOS 4. Openssh est en natif. Je suis donc obligé de patcher une source openssh, de yum erase le openssh existant et rebuilder le openssh patché ? Ou il y a t il un moyen de patcher avec le openssh sans recompiler ce dernier ? __________________ Le savoir est utile que s'il est partagé par tous. /(bb\|[^b]{2})/ Dernière modification par syl2095 ; 03/03/2008 à 23h39

03/03/2008, 17h25	#3 (permalink)
valefor Membre expérimenté Date d'inscription: décembre 2006 Messages: 559	Pour illustrer ceci une niouse linuxfr

04/03/2008, 10h48	#9 (permalink)
syl2095 Membre actif Date d'inscription: juillet 2003 Messages: 198	je suis en train de tester scponly qui est une alternative au patch de openssh... Mais j'ai encore des soucis... je le compile comme suit : Code : ./configure --enable-winscp-compat --enable-chrooted-binary --enable-sftp-logging-compat make && make install Je crée un utilisateur : Code : useradd -d /usr/local/apache2/htdocs/apcea/ -s /usr/local/sbin/scponlyc stephane Je lui mets un passwd Et ensuite quand je veux me connecter via putty par exemple, j'ai ce message : Code : WinSCP: this is end-of-file:0 Si je ne mets pas '--enable-winscp-compat', putty se ferme dés la connexion. J'ai l'impression que l'user n'a pas le droit pour un shell... me trompe je ? __________________ Le savoir est utile que s'il est partagé par tous. /(bb\|[^b]{2})/ Dernière modification par syl2095 ; 04/03/2008 à 11h27

10/03/2008, 22h01	#10 (permalink)
syl2095 Membre actif Date d'inscription: juillet 2003 Messages: 198	Bon finalement j'ai opté pour la solution rssh. Merci pour l'aide en tout cas ++ __________________ Le savoir est utile que s'il est partagé par tous. /(bb\|[^b]{2})/

		Forum des développeurs > Hardware, Systèmes et Logiciels > Linux > Sécurité
Un utilisateur pour un dossier

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email