Discussion :

[sergeh]

Bonjour,

Je suis sur Debian, avec un serveur openSSH. Lors de l'instalation, l'administrateur qui s'en est occupé a créé un accès sftp (en plus du ssh) pour le compte root, et je me connecte sans soucis pour accéder au dossier /var/www.

Je dois aujourd'hui essayer de rajouter un utilisateur qui ne puisse accéder qu'en sftp à ce même dossier "/var/www" (pas d'accès ssh).
J'ai tenté de suivre plusieurs tutos sur le net, mais sans succès : à chaque fois le fichier de config n'a rien à voir avec ce que j'ai moi, et dès que je rajoute/modifie qualue-chose, après redémarrage du serveur, plus moyen de se connecter, même en root.
Exemples de sites que j'ai plus ou moins tenté de suivre :

• http://www.dsfc.net/infrastructure/s...protocolesftp/
• http://www.debian-fr.org/serveur-sft...ot-t27796.html
• http://wiki.halpanet.org/doku.php?id...r_serveur_sftp

J'ai actuellement créé le compte utilisateur : useradd -g sftpusers -s /bin/false --password titi toto

Mais voilà, je n'arrive pas à aller plus loin ...
Voici le contenu du fichier "/etc/ssh/sshd_config" :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
# Package generated configuration file
# See the sshd_config(5) manpage for details
 
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
 
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
 
# Logging
SyslogFacility AUTH
LogLevel INFO
 
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
 
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys
 
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
 
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
 
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
 
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
 
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
 
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
 
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
 
#MaxStartups 10:30:60
#Banner /etc/issue.net
 
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
 
#Subsystem sftp Subsystem internal-sftp
 
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

Si quelqu'un pouvait me guider un peu ou me rediriger vers un site qui puisse m'aider, ce serait bien sympa.

Merci par avance !!

[sergeh]

J'ai avancé un peu en recréant le compte comme suit :

• useradd -g sftpusers --password titi toto
• puis en créant son dossier home et en le mettant propriétaire
• en rajoutant la ligne "AllowUsers root yrowe" dans le sshd_config
• en rejoutant la ligne "Subsystem sftp /usr/lib/openssh/sftp-server"

Le soucis est que l'utilisateur peut accéder en SSH en plus du ftp et qu'il peut accéder à toute la hiérarchie du disque (en SSH comme en FTP) alors que je voudrais le limiter à /var/www.
quand je rajoute :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Match group sftpusers
   ChrootDirectory /var/www/

Je ne peux plus me connecter avec ce compte.

[Invité]

Coucou

Un piste peu être, je ne suis pas un pro mais bon.

Tu crée ton user sftpusers et tu le rajoutes au groupe www-data.
Dans son /home tu fais un lien symbolique vers /var/www

Du coup il a un ssh en fonction de ses droits, il peut modifier /var/www et cela s'arrête là.

Il aura certes un ssh, mais après tu peux brider et réduire ses droits.

Au passage sftp est basé sur ssh. Je ne vois pas trop comment tu peux utiliser sftp et pas ssh.

[Invité]

Salut,

Il te faut utiliser le serveur sftp interne pour pouvoir emprisonner ton utilisateur sftp

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
In /etc/ssh/sshd_config, modify the Subsystem line for sftp:
Subsystem       sftp    internal-sftp

http://blog.kdecherf.com/2009/03/01/...-avec-openssh/