Confiner un utilisateur dans une arborescence....

Le
Allo Tobus
Bonjour,

je dois mettre à disposition un espace web à un utilisateur distant,
et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque
Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre
beaucoup de choses sur la conf du systeme

J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus
rien ne fonctionne correctement
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et
l'aoborescence qu'il va créer qui sera inclue mais pas remonter au
dessus de /toto..

L'utilisateur utilisera ssh et scp pour travailler a distance
(donc pas de samba ni ftp possible).

Merci de vos conseils..
AT
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Emmanuel Florac
Le #1889157
Le Thu, 07 Jun 2007 22:48:33 +0200, Allo Tobus a écrit :


L'utilisateur utilisera ssh et scp pour travailler a distance (donc pas de
samba ni ftp possible).


Il faut utiliser "chroot". Pour ça il faut une version patchée de sshd,
tu trouveras plein d'info sur ce sujet sur le ouèbe.

--
Mais monsieur, voudriez-vous que je me l'écorchasse?
Barbey d'Aurevilly.

Luc.Habert.00__arjf
Le #1889156
Allo Tobus :

J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus
rien ne fonctionne correctement...
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et
l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au
dessus de /toto..

L'utilisateur utilisera ssh et scp pour travailler a distance


Le problème, c'est que si tu lui interdis de remonter dans le reste de
l'arborescence système, il ne peut en particulier pas exécuter les
programmes qui y sont installés. Donc il faut lui installer un mimimum de
trucs dans son répertoire.

Luc.Habert.00__arjf
Le #1889155
Emmanuel Florac :

Il faut utiliser "chroot". Pour ça il faut une version patchée de sshd,


Il suffit d'un shell de login bricolé...

Matthieu Moy
Le #1889154
Allo Tobus
L'utilisateur utilisera ssh et scp pour travailler a distance
(donc pas de samba ni ftp possible).


Est-il vraiment nécessaire qu'il ait un accès shell (ssh "de base") ?
Si tu te restreint à scp/sftp, c'est bien plus simple à sécuriser,
mais si tu autorise l'utilisateur à exécuter quelque chose, c'est très
dur de prévoir tout ce qu'il peut faire ...

--
Matthieu

fabrice
Le #1889147
Bonjour,

Peut être peux tu essayer de regarder vers la solution scponly
http://www.gnulinuxmag.com/index.php?2005/12/17/11-scponly
http://articles.mongueurs.net/magazines/production/scponly.html
http://linuxfr.org/2002/12/22/10766.html

En espérant que cela puisse te servir.
fabrice
"Allo Tobus" 46686e1b$0$14054$
Bonjour,

je dois mettre à disposition un espace web à un utilisateur distant,
et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque...
Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre
beaucoup de choses sur la conf du systeme...

J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien
ne fonctionne correctement...
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et
l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au
dessus de /toto..

L'utilisateur utilisera ssh et scp pour travailler a distance
(donc pas de samba ni ftp possible).

Merci de vos conseils..
AT



François Patte
Le #1889140
Bonjour,

je dois mettre à disposition un espace web à un utilisateur distant,
et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque...
Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre
beaucoup de choses sur la conf du systeme...

J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus
rien ne fonctionne correctement...
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et
l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au
dessus de /toto..


Voir rssh:

http://www.pizzashack.org/rssh/

Il y a même une page lea là-dessus.

--
François Patte
Université Paris 5 - Paris

Allo Tobus
Le #1889107
Merci pour vos réponses...

c'est scponly que nous avions prévu d'installer,
et c'est donc cela que l'on a mis..

Mais je le trouve reducteur... on pourrait penser qu'avec
le chroot, l'utilisateur distant puisse disposer d'un environnement
opérationnel limité (avec un shell et commandes de bases)...

M'enfin...

AT


Voir rssh:

http://www.pizzashack.org/rssh/

Il y a même une page lea là-dessus.



Mihamina (R12y) Rakotomandimby
Le #1889105
Allo Tobus -
Mais je le trouve reducteur... on pourrait penser qu'avec
le chroot, l'utilisateur distant puisse disposer d'un environnement
opérationnel limité (avec un shell et commandes de bases)...


Mais c'est cas, non?
Tu ne copie dans le chroot que ce que tu veux. Qu'est-ce qui ne va pas?

Sinon, attention, on réponds en-dessous et non par-dessus comme tu as fait.

Fabien LE LEZ
Le #1889103
On Fri, 08 Jun 2007 23:31:46 +0200, Allo Tobus
Attention, en français on écrit du haut vers le bas.
Je t'invite à lire attentivement
http://www.usenet-fr.net/fr.usenet.reponses/usenet/repondre-sur-usenet.html

Mais je le trouve reducteur... on pourrait penser qu'avec
le chroot, l'utilisateur distant puisse disposer d'un environnement
opérationnel limité (avec un shell et commandes de bases)...


Ben en théorie, sans chroot, un utilisateur lambda dispose d'un
environnement opérationnel limité.

Chez OVH (serveur web partagé), ils ont fait un truc marrant : home
est en --x (i.e. on ne peut pas le lister). C'est peut-être une piste
à suivre ?

ALain Montfranc
Le #1889084
Allo Tobus a écrit
Bonjour,

je dois mettre à disposition un espace web à un utilisateur distant,
et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque...
Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre
beaucoup de choses sur la conf du systeme...

J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne
fonctionne correctement...
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence
qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..

L'utilisateur utilisera ssh et scp pour travailler a distance
(donc pas de samba ni ftp possible).

Merci de vos conseils..
AT


Tu as aussi la solution de lui installer une machine virtuelle qu'il
aura le droit de casser

Publicité
Poster une réponse
Anonyme