Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en
sftp, mais pas ouvrir de shell interactif par slogin ?
Il me semble qu'essayer de redéfinir son shell par défaut dans /etc/passwd
ne marchera pas car sftp fait en fait exécuter des commandes par un shell
d'après ce que j'en ai compris...
Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine
autorisé ?
Ça doit être un FAQ mais google ne m'aide pas trop sur ce coup. Merci
d'avance pour votre aide.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicolas George
mpg wrote in message <fbf74o$2uhn$:
Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en sftp, mais pas ouvrir de shell interactif par slogin ?
http://www.pizzashack.org/rssh/
Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine autorisé ?
Cherche chroot dans la FAQ.
mpg wrote in message <fbf74o$2uhn$1@talisker.lacave.net>:
Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en
sftp, mais pas ouvrir de shell interactif par slogin ?
http://www.pizzashack.org/rssh/
Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine
autorisé ?
Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en sftp, mais pas ouvrir de shell interactif par slogin ?
http://www.pizzashack.org/rssh/
Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine autorisé ?
Cherche chroot dans la FAQ.
Arol
Le Sun, 02 Sep 2007 22:40:56 +0200, mpg a écrit:
Ça doit être un FAQ mais google ne m'aide pas trop sur ce coup. Merci d'avance pour votre aide.
Je suis également intéressé par les réponses.
Le Sun, 02 Sep 2007 22:40:56 +0200, mpg a écrit:
Ça doit être un FAQ mais google ne m'aide pas trop sur ce coup. Merci
d'avance pour votre aide.
Ça doit être un FAQ mais google ne m'aide pas trop sur ce coup. Merci d'avance pour votre aide.
Je suis également intéressé par les réponses.
mpg
Le (on) dimanche 02 septembre 2007 22:46, Nicolas George a écrit (wrote) :
mpg wrote in message <fbf74o$2uhn$:
Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en sftp, mais pas ouvrir de shell interactif par slogin ?
http://www.pizzashack.org/rssh/
Cool, c'est exactement ce que je cherchais.
Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine autorisé ?
Cherche chroot dans la FAQ.
Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas accès au filesystem en dehors de <newroot> : en particulier les liens symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien ça ?
Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au niveau de /home, et pas de leur $HOME...
Bon, je vais installer ça, feuilleter la doc et faire des tests pour commencer, je reviens si j'ai d'autres questions.
Manuel.
Le (on) dimanche 02 septembre 2007 22:46, Nicolas George a écrit (wrote) :
mpg wrote in message <fbf74o$2uhn$1@talisker.lacave.net>:
Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement
en sftp, mais pas ouvrir de shell interactif par slogin ?
http://www.pizzashack.org/rssh/
Cool, c'est exactement ce que je cherchais.
Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
oui, cela a-t-il un effet sur les liens symboliques pointant horsdu
domaine autorisé ?
Cherche chroot dans la FAQ.
Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que
j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas
accès au filesystem en dehors de <newroot> : en particulier les liens
symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien
ça ?
Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
niveau de /home, et pas de leur $HOME...
Bon, je vais installer ça, feuilleter la doc et faire des tests pour
commencer, je reviens si j'ai d'autres questions.
Le (on) dimanche 02 septembre 2007 22:46, Nicolas George a écrit (wrote) :
mpg wrote in message <fbf74o$2uhn$:
Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en sftp, mais pas ouvrir de shell interactif par slogin ?
http://www.pizzashack.org/rssh/
Cool, c'est exactement ce que je cherchais.
Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine autorisé ?
Cherche chroot dans la FAQ.
Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas accès au filesystem en dehors de <newroot> : en particulier les liens symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien ça ?
Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au niveau de /home, et pas de leur $HOME...
Bon, je vais installer ça, feuilleter la doc et faire des tests pour commencer, je reviens si j'ai d'autres questions.
Manuel.
Eric Razny
Le Mon, 03 Sep 2007 00:41:50 +0200, mpg a écrit :
Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas accès au filesystem en dehors de <newroot> : en particulier les liens symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien ça ?
Oui si "vers l'extérieur" signifie hors de la zone "chrootée"
Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au niveau de /home, et pas de leur $HOME...
Tu peux créer un environnement complet, par exemple en /home/jail pour ceux que tu veux chrooter (attention, ça signifie quand même que les utilisateurs peuvent potentiellement se faire des crasses entre eux).
Sinon, suivant les usage, un "mount -o bind ..." est extrèmement agréable pour ce genre de jeux. Maintenant ça dépend aussi du nombre d'utilisateur.
Eric
Le Mon, 03 Sep 2007 00:41:50 +0200, mpg a écrit :
Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que
j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas
accès au filesystem en dehors de <newroot> : en particulier les liens
symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien
ça ?
Oui si "vers l'extérieur" signifie hors de la zone "chrootée"
Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
niveau de /home, et pas de leur $HOME...
Tu peux créer un environnement complet, par exemple en /home/jail pour
ceux que tu veux chrooter (attention, ça signifie quand même que les
utilisateurs peuvent potentiellement se faire des crasses entre eux).
Sinon, suivant les usage, un "mount -o bind ..." est extrèmement
agréable pour ce genre de jeux. Maintenant ça dépend aussi du nombre
d'utilisateur.
Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas accès au filesystem en dehors de <newroot> : en particulier les liens symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien ça ?
Oui si "vers l'extérieur" signifie hors de la zone "chrootée"
Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au niveau de /home, et pas de leur $HOME...
Tu peux créer un environnement complet, par exemple en /home/jail pour ceux que tu veux chrooter (attention, ça signifie quand même que les utilisateurs peuvent potentiellement se faire des crasses entre eux).
Sinon, suivant les usage, un "mount -o bind ..." est extrèmement agréable pour ce genre de jeux. Maintenant ça dépend aussi du nombre d'utilisateur.
Eric
Eric Razny
Le Tue, 04 Sep 2007 01:55:30 +0200, Eric Razny a écrit :
Tu peux créer un environnement complet, par exemple en /home/jail pour ceux que tu veux chrooter (attention, ça signifie quand même que les utilisateurs peuvent potentiellement se faire des crasses entre eux).
Précision, si l'usage est limité à sftp ou scp, sauf faille dans ces outils ou permissions à la con dans les répertoire tout va bien. Je pensais d'avantage à un ssh en environnement chroote
Le Tue, 04 Sep 2007 01:55:30 +0200, Eric Razny a écrit :
Tu peux créer un environnement complet, par exemple en /home/jail pour
ceux que tu veux chrooter (attention, ça signifie quand même que les
utilisateurs peuvent potentiellement se faire des crasses entre eux).
Précision, si l'usage est limité à sftp ou scp, sauf faille dans ces
outils ou permissions à la con dans les répertoire tout va bien. Je
pensais d'avantage à un ssh en environnement chroote
Le Tue, 04 Sep 2007 01:55:30 +0200, Eric Razny a écrit :
Tu peux créer un environnement complet, par exemple en /home/jail pour ceux que tu veux chrooter (attention, ça signifie quand même que les utilisateurs peuvent potentiellement se faire des crasses entre eux).
Précision, si l'usage est limité à sftp ou scp, sauf faille dans ces outils ou permissions à la con dans les répertoire tout va bien. Je pensais d'avantage à un ssh en environnement chroote
YBM
Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au niveau de /home, et pas de leur $HOME...