autoriser un utilisateur seulement en sftp

Le
mpg
Bonjour,

Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en
sftp, mais pas ouvrir de shell interactif par slogin ?

Il me semble qu'essayer de redéfinir son shell par défaut dans /etc/passwd
ne marchera pas car sftp fait en fait exécuter des commandes par un shell
d'après ce que j'en ai compris

Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine
autorisé ?

Ça doit être un FAQ mais google ne m'aide pas trop sur ce coup. Merci
d'avance pour votre aide.

Manuel.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas George
Le #1901142
mpg wrote in message
Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en
sftp, mais pas ouvrir de shell interactif par slogin ?


http://www.pizzashack.org/rssh/

Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine
autorisé ?


Cherche chroot dans la FAQ.

Arol
Le #1901141
Le Sun, 02 Sep 2007 22:40:56 +0200, mpg a écrit:

Ça doit être un FAQ mais google ne m'aide pas trop sur ce coup. Merci
d'avance pour votre aide.


Je suis également intéressé par les réponses.

mpg
Le #1901137
Le (on) dimanche 02 septembre 2007 22:46, Nicolas George a écrit (wrote) :

mpg wrote in message
Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement
en sftp, mais pas ouvrir de shell interactif par slogin ?


http://www.pizzashack.org/rssh/

Cool, c'est exactement ce que je cherchais.


Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
oui, cela a-t-il un effet sur les liens symboliques pointant horsdu
domaine autorisé ?


Cherche chroot dans la FAQ.


Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que
j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas
accès au filesystem en dehors de <newroot> : en particulier les liens
symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien
ça ?

Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
niveau de /home, et pas de leur $HOME...

Bon, je vais installer ça, feuilleter la doc et faire des tests pour
commencer, je reviens si j'ai d'autres questions.

Manuel.


Eric Razny
Le #1901126
Le Mon, 03 Sep 2007 00:41:50 +0200, mpg a écrit :

Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que
j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas
accès au filesystem en dehors de <newroot> : en particulier les liens
symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien
ça ?


Oui si "vers l'extérieur" signifie hors de la zone "chrootée"

Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
niveau de /home, et pas de leur $HOME...


Tu peux créer un environnement complet, par exemple en /home/jail pour
ceux que tu veux chrooter (attention, ça signifie quand même que les
utilisateurs peuvent potentiellement se faire des crasses entre eux).

Sinon, suivant les usage, un "mount -o bind ..." est extrèmement
agréable pour ce genre de jeux. Maintenant ça dépend aussi du nombre
d'utilisateur.

Eric

Eric Razny
Le #1901125
Le Tue, 04 Sep 2007 01:55:30 +0200, Eric Razny a écrit :

Tu peux créer un environnement complet, par exemple en /home/jail pour
ceux que tu veux chrooter (attention, ça signifie quand même que les
utilisateurs peuvent potentiellement se faire des crasses entre eux).


Précision, si l'usage est limité à sftp ou scp, sauf faille dans ces
outils ou permissions à la con dans les répertoire tout va bien. Je
pensais d'avantage à un ssh en environnement chroote

YBM
Le #1901124
Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
niveau de /home, et pas de leur $HOME...


http://www.hsc.fr/ressources/breves/chroot-openssh.html.fr

Publicité
Poster une réponse
Anonyme