Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Chroot sftp et problème de droits...

5 réponses
Avatar
David BERCOT
Bonjour,

J'ai mis en place un chroot sftp via la m=C3=A9thode suivante :
http://www.debian-administration.org/articles/590
En fait, je me suis limit=C3=A9 =C3=A0 un utilisateur et pas =C3=A0 un grou=
pe, mais
bon, j'imagine que c'est identique.

Au niveau de la connexion, tout roule. En revanche, le propri=C3=A9taire du
home chroot=C3=A9 est root (c'est obligatoire) et les droits sont en 755 (l=
=C3=A0
encore, en 777 par exemple [juste pour tester ;-)], =C3=A7a ne marche plus).
Donc, mon user de base n'a pas le droit d'=C3=A9crire ni de modifier dans
son propre home...
Auriez-vous une id=C3=A9e de ce qu'il me manque ?

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

5 réponses

Avatar
Yves Rutschle
On Tue, Mar 17, 2009 at 02:45:59PM +0100, David BERCOT wrote:
Au niveau de la connexion, tout roule. En revanche, le propriétaire du
home chrooté est root (c'est obligatoire) et les droits sont en 755 (là
encore, en 777 par exemple [juste pour tester ;-)], ça ne marche plus).



Peux-tu donner plus de détails sur ce que tu as mis dans ton
sshd_config, et montrer les droits des répertoires (ta
configuration ne me parait pas claire). D'autre part,
comment cela ne "marche plus"? Y-a-t-il des messages quelque
part dans /var/log/auth.log?

Donc, mon user de base n'a pas le droit d'écrire ni de modifier dans
son propre home...



C'est "sftp", avec "s" pour "sécurisé": ta configuration est
très bien securisée, c'est pas ce que tu recherches? :)

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
David BERCOT
Le Tue, 17 Mar 2009 15:08:13 +0100,
Yves Rutschle a écrit :
On Tue, Mar 17, 2009 at 02:45:59PM +0100, David BERCOT wrote:
Au niveau de la connexion, tout roule. En revanche, le propriétaire
du home chrooté est root (c'est obligatoire) et les droits sont en
755 (là encore, en 777 par exemple [juste pour tester ;-)], ça ne
marche plus).



Peux-tu donner plus de détails sur ce que tu as mis dans ton
sshd_config, et montrer les droits des répertoires (ta
configuration ne me parait pas claire). D'autre part,
comment cela ne "marche plus"? Y-a-t-il des messages quelque
part dans /var/log/auth.log?



Alors, voici la partie intéressante de mon sshd_config :
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

UsePAM yes

Match user mon_user
ForceCommand internal-sftp
ChrootDirectory /mon_user/
Sur ce répertoire, c'est root qui est propriétaire et les droits sont
en 755, avec root.root.

Si jamais root n'est plus le propriétaire ou si je mets du 777, j'ai
l'erreur suivante la connexion :
Read from remote host 10.21.2.205: Connection reset by peer
Couldn't read packet: Connection reset by peer
Et, dans mon /var/log/auth.log, j'ai ceci :
Mar 17 15:27:47 neo sshd[11285]: Accepted password for mon_user from
10.21.2.10 port 46824 ssh2 Mar 17 15:27:47 neo sshd[11285]: (pam_unix)
session opened for user mon_user by (uid=0) Mar 17 15:27:47 neo
sshd[11287]: fatal: bad ownership or modes for chroot directory
component "/mon_user/" Mar 17 15:27:47 neo sshd[11285]:
(pam_unix) session closed for user mon_user

Donc, mon user de base n'a pas le droit d'écrire ni de modifier dans
son propre home...



C'est "sftp", avec "s" pour "sécurisé": ta configuration est
très bien securisée, c'est pas ce que tu recherches? :)



Elle l'est un poil trop ;-)
En fait, si, lorsque l'utilisateur est connecté, je change les droits
ou le propriétaire, ça marche. Mais bon, après, il ne pourra plus se
reconnecter ;-)

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Yves Rutschle
On Tue, Mar 17, 2009 at 03:51:43PM +0100, David BERCOT wrote:
[...]
Et, dans mon /var/log/auth.log, j'ai ceci :
Mar 17 15:27:47 neo sshd[11285]: Accepted password for mon_user from
10.21.2.10 port 46824 ssh2 Mar 17 15:27:47 neo sshd[11285]: (pam_unix)
session opened for user mon_user by (uid=0) Mar 17 15:27:47 neo
sshd[11287]: fatal: bad ownership or modes for chroot directory
component "/mon_user/" Mar 17 15:27:47 neo sshd[11285]:
(pam_unix) session closed for user mon_user



Ok, et quand il est 755 root.root?

Que se passe-t-il si tu crée un sous-répertoire avec les
droits pour l'utilisateur, c'est à dire:

/mon_user 755 root root
/mon_user/sous_dir 755 neo neo

(C'est purement à l'intuition, je n'ai jamais utilisé ça)

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
David BERCOT
Le Tue, 17 Mar 2009 17:42:57 +0100,
Yves Rutschle a écrit :
On Tue, Mar 17, 2009 at 03:51:43PM +0100, David BERCOT wrote:
[...]
Et, dans mon /var/log/auth.log, j'ai ceci :
Mar 17 15:27:47 neo sshd[11285]: Accepted password for mon_user from
10.21.2.10 port 46824 ssh2 Mar 17 15:27:47 neo sshd[11285]:
(pam_unix) session opened for user mon_user by (uid=0) Mar 17
15:27:47 neo sshd[11287]: fatal: bad ownership or modes for chroot
directory component "/mon_user/" Mar 17 15:27:47 neo sshd[11285]:
(pam_unix) session closed for user mon_user



Ok, et quand il est 755 root.root?

Que se passe-t-il si tu crée un sous-répertoire avec les
droits pour l'utilisateur, c'est à dire:

/mon_user 755 root root
/mon_user/sous_dir 755 neo neo



Ca marche nickel (ça me parait logique ;-))), mais bon, sur le
principe, je trouve bizarre de ne pas pouvoir écrire à la racine de son
home... Certes, c'est un home... particulier, mais bon...

(C'est purement à l'intuition, je n'ai jamais utilisé ça)



Ton intuition était bonne ;-)

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Yves Rutschle
On Wed, Mar 18, 2009 at 01:22:04PM +0100, David BERCOT wrote:
>/mon_user 755 root root
>/mon_user/sous_dir 755 neo neo

Ca marche nickel (ça me parait logique ;-))), mais bon, sur le
principe, je trouve bizarre de ne pas pouvoir écrire à la racine de son
home... Certes, c'est un home... particulier, mais bon...




Bah à ce moment là c'est que le système doit être prévu pour
faire le chroot sur /home, avec les utilisateurs
/home/mon_user1, /home/mon_user2, ...

Mais ça permet peut-être aux utilisateurs d'aller dans les
répertoires des autres utilisateurs.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS