Discussion :

[syl2095]

Bonjour à tous !

J'ai un probleme de droits d'accés sur dossier. En effet, je souhaiterais qu'un utilisateur qui se connectera via winscp ne puisse etre que sur un dossier precis et donc ne pas pouvoir se ballader sur le disque.

Est il possible de faire cela via htaccess ou existe t il une autre solution ?

Merci à tous !

[julp]

Ça n'a rien à voir avec Apache (donc les .htaccess il faut oublier) Vous cherchez à chrooter vos utilisateurs : il existe d'ailleurs un patch pour OpenSSH à cette fin (cette fonctionnalité a été ajouté le 08/02 au système OpenBSD à l'origine d'OpenSSH).

[syl2095]

ok merci pour l'info. Je teste ça ! A+

[syl2095]

Pour faire un ChrootDirectory, j'ai essayé ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
Match user stephane
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
ChrootDirectory /usr/local/apache2/htdocs/apcea
 
# override default of no subsystems
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp

Mais j'ai cette erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Démarrage de sshd :/etc/ssh/sshd_config: line 110: Bad configuration option: Match
/etc/ssh/sshd_config: line 113: Bad configuration option: ForceCommand
/etc/ssh/sshd_config: line 114: Bad configuration option: ChrootDirectory
/etc/ssh/sshd_config: terminating, 3 bad configuration options

Avez vous eu ce genre de soucis ?

Merci par avance

[julp]

Vous avez fait quoi et comment ? A moins que votre système n'en propose une version déjà chrootée, une version très récente d'OpenSSH sera requise ou bien il vous reviendra de la patcher (requiert les sources).

[syl2095]

ouais je m'en suis rendu compte après coup.

En fait, l'OS est un CentOS 4. Openssh est en natif.

Je suis donc obligé de patcher une source openssh, de yum erase le openssh existant et rebuilder le openssh patché ? Ou il y a t il un moyen de patcher avec le openssh sans recompiler ce dernier ?

[julp]

Je suis donc obligé de patcher une source openssh, de yum erase le openssh existant et rebuilder le openssh patché ? Ou il y a t il un moyen de patcher avec le openssh sans recompiler ce dernier ?

Oui à moins de trouver et utiliser un paquet non officiel (à éviter de préférence dans le cas présent)

[syl2095]

je suis en train de tester scponly qui est une alternative au patch de openssh...
Mais j'ai encore des soucis...

je le compile comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
./configure --enable-winscp-compat --enable-chrooted-binary --enable-sftp-logging-compat
make && make install

Je crée un utilisateur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

useradd -d /usr/local/apache2/htdocs/apcea/ -s /usr/local/sbin/scponlyc stephane

Je lui mets un passwd

Et ensuite quand je veux me connecter via putty par exemple, j'ai ce message :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

WinSCP: this is end-of-file:0

Si je ne mets pas '--enable-winscp-compat', putty se ferme dés la connexion.

J'ai l'impression que l'user n'a pas le droit pour un shell... me trompe je ?

[syl2095]

Bon finalement j'ai opté pour la solution rssh.

Merci pour l'aide en tout cas

++