je dois mettre à disposition un espace web à un utilisateur distant,
et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque...
Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre
beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus
rien ne fonctionne correctement...
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et
l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au
dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance
(donc pas de samba ni ftp possible).
Le Thu, 07 Jun 2007 22:48:33 +0200, Allo Tobus a écrit :
L'utilisateur utilisera ssh et scp pour travailler a distance (donc pas de samba ni ftp possible).
Il faut utiliser "chroot". Pour ça il faut une version patchée de sshd, tu trouveras plein d'info sur ce sujet sur le ouèbe.
-- Mais monsieur, voudriez-vous que je me l'écorchasse? Barbey d'Aurevilly.
Luc.Habert.00__arjf
Allo Tobus :
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne fonctionne correctement... Mon exemple: /www/users/toto/ Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance
Le problème, c'est que si tu lui interdis de remonter dans le reste de l'arborescence système, il ne peut en particulier pas exécuter les programmes qui y sont installés. Donc il faut lui installer un mimimum de trucs dans son répertoire.
Allo Tobus :
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus
rien ne fonctionne correctement...
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et
l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au
dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance
Le problème, c'est que si tu lui interdis de remonter dans le reste de
l'arborescence système, il ne peut en particulier pas exécuter les
programmes qui y sont installés. Donc il faut lui installer un mimimum de
trucs dans son répertoire.
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne fonctionne correctement... Mon exemple: /www/users/toto/ Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance
Le problème, c'est que si tu lui interdis de remonter dans le reste de l'arborescence système, il ne peut en particulier pas exécuter les programmes qui y sont installés. Donc il faut lui installer un mimimum de trucs dans son répertoire.
Luc.Habert.00__arjf
Emmanuel Florac :
Il faut utiliser "chroot". Pour ça il faut une version patchée de sshd,
Il suffit d'un shell de login bricolé...
Emmanuel Florac :
Il faut utiliser "chroot". Pour ça il faut une version patchée de sshd,
Il faut utiliser "chroot". Pour ça il faut une version patchée de sshd,
Il suffit d'un shell de login bricolé...
Matthieu Moy
Allo Tobus writes:
L'utilisateur utilisera ssh et scp pour travailler a distance (donc pas de samba ni ftp possible).
Est-il vraiment nécessaire qu'il ait un accès shell (ssh "de base") ? Si tu te restreint à scp/sftp, c'est bien plus simple à sécuriser, mais si tu autorise l'utilisateur à exécuter quelque chose, c'est très dur de prévoir tout ce qu'il peut faire ...
-- Matthieu
Allo Tobus <allotobus@invalid.fr> writes:
L'utilisateur utilisera ssh et scp pour travailler a distance
(donc pas de samba ni ftp possible).
Est-il vraiment nécessaire qu'il ait un accès shell (ssh "de base") ?
Si tu te restreint à scp/sftp, c'est bien plus simple à sécuriser,
mais si tu autorise l'utilisateur à exécuter quelque chose, c'est très
dur de prévoir tout ce qu'il peut faire ...
L'utilisateur utilisera ssh et scp pour travailler a distance (donc pas de samba ni ftp possible).
Est-il vraiment nécessaire qu'il ait un accès shell (ssh "de base") ? Si tu te restreint à scp/sftp, c'est bien plus simple à sécuriser, mais si tu autorise l'utilisateur à exécuter quelque chose, c'est très dur de prévoir tout ce qu'il peut faire ...
-- Matthieu
fabrice
Bonjour,
Peut être peux tu essayer de regarder vers la solution scponly http://www.gnulinuxmag.com/index.php?2005/12/17/11-scponly http://articles.mongueurs.net/magazines/production/scponly.html http://linuxfr.org/2002/12/22/10766.html
En espérant que cela puisse te servir. fabrice "Allo Tobus" a écrit dans le message de news: 46686e1b$0$14054$
Bonjour,
je dois mettre à disposition un espace web à un utilisateur distant, et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque... Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne fonctionne correctement... Mon exemple: /www/users/toto/ Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance (donc pas de samba ni ftp possible).
Merci de vos conseils.. AT
Bonjour,
Peut être peux tu essayer de regarder vers la solution scponly
http://www.gnulinuxmag.com/index.php?2005/12/17/11-scponly
http://articles.mongueurs.net/magazines/production/scponly.html
http://linuxfr.org/2002/12/22/10766.html
En espérant que cela puisse te servir.
fabrice
"Allo Tobus" <allotobus@invalid.fr> a écrit dans le message de news:
46686e1b$0$14054$426a74cc@news.free.fr...
Bonjour,
je dois mettre à disposition un espace web à un utilisateur distant,
et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque...
Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre
beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien
ne fonctionne correctement...
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et
l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au
dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance
(donc pas de samba ni ftp possible).
Peut être peux tu essayer de regarder vers la solution scponly http://www.gnulinuxmag.com/index.php?2005/12/17/11-scponly http://articles.mongueurs.net/magazines/production/scponly.html http://linuxfr.org/2002/12/22/10766.html
En espérant que cela puisse te servir. fabrice "Allo Tobus" a écrit dans le message de news: 46686e1b$0$14054$
Bonjour,
je dois mettre à disposition un espace web à un utilisateur distant, et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque... Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne fonctionne correctement... Mon exemple: /www/users/toto/ Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance (donc pas de samba ni ftp possible).
Merci de vos conseils.. AT
François Patte
Bonjour,
je dois mettre à disposition un espace web à un utilisateur distant, et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque... Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne fonctionne correctement... Mon exemple: /www/users/toto/ Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..
Voir rssh:
http://www.pizzashack.org/rssh/
Il y a même une page lea là-dessus.
-- François Patte Université Paris 5 - Paris
Bonjour,
je dois mettre à disposition un espace web à un utilisateur distant,
et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque...
Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre
beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus
rien ne fonctionne correctement...
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et
l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au
dessus de /toto..
je dois mettre à disposition un espace web à un utilisateur distant, et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque... Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne fonctionne correctement... Mon exemple: /www/users/toto/ Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..
Voir rssh:
http://www.pizzashack.org/rssh/
Il y a même une page lea là-dessus.
-- François Patte Université Paris 5 - Paris
Allo Tobus
Merci pour vos réponses...
c'est scponly que nous avions prévu d'installer, et c'est donc cela que l'on a mis..
Mais je le trouve reducteur... on pourrait penser qu'avec le chroot, l'utilisateur distant puisse disposer d'un environnement opérationnel limité (avec un shell et commandes de bases)...
M'enfin...
AT
Voir rssh:
http://www.pizzashack.org/rssh/
Il y a même une page lea là-dessus.
Merci pour vos réponses...
c'est scponly que nous avions prévu d'installer,
et c'est donc cela que l'on a mis..
Mais je le trouve reducteur... on pourrait penser qu'avec
le chroot, l'utilisateur distant puisse disposer d'un environnement
opérationnel limité (avec un shell et commandes de bases)...
c'est scponly que nous avions prévu d'installer, et c'est donc cela que l'on a mis..
Mais je le trouve reducteur... on pourrait penser qu'avec le chroot, l'utilisateur distant puisse disposer d'un environnement opérationnel limité (avec un shell et commandes de bases)...
M'enfin...
AT
Voir rssh:
http://www.pizzashack.org/rssh/
Il y a même une page lea là-dessus.
Mihamina (R12y) Rakotomandimby
Allo Tobus - <4669c9b7$0$19876$ :
Mais je le trouve reducteur... on pourrait penser qu'avec le chroot, l'utilisateur distant puisse disposer d'un environnement opérationnel limité (avec un shell et commandes de bases)...
Mais c'est cas, non? Tu ne copie dans le chroot que ce que tu veux. Qu'est-ce qui ne va pas?
Sinon, attention, on réponds en-dessous et non par-dessus comme tu as fait.
Allo Tobus - <4669c9b7$0$19876$426a34cc@news.free.fr> :
Mais je le trouve reducteur... on pourrait penser qu'avec
le chroot, l'utilisateur distant puisse disposer d'un environnement
opérationnel limité (avec un shell et commandes de bases)...
Mais c'est cas, non?
Tu ne copie dans le chroot que ce que tu veux. Qu'est-ce qui ne va pas?
Sinon, attention, on réponds en-dessous et non par-dessus comme tu as fait.
Mais je le trouve reducteur... on pourrait penser qu'avec le chroot, l'utilisateur distant puisse disposer d'un environnement opérationnel limité (avec un shell et commandes de bases)...
Mais c'est cas, non? Tu ne copie dans le chroot que ce que tu veux. Qu'est-ce qui ne va pas?
Sinon, attention, on réponds en-dessous et non par-dessus comme tu as fait.
Fabien LE LEZ
On Fri, 08 Jun 2007 23:31:46 +0200, Allo Tobus :
Attention, en français on écrit du haut vers le bas. Je t'invite à lire attentivement http://www.usenet-fr.net/fr.usenet.reponses/usenet/repondre-sur-usenet.html
Mais je le trouve reducteur... on pourrait penser qu'avec le chroot, l'utilisateur distant puisse disposer d'un environnement opérationnel limité (avec un shell et commandes de bases)...
Ben en théorie, sans chroot, un utilisateur lambda dispose d'un environnement opérationnel limité.
Chez OVH (serveur web partagé), ils ont fait un truc marrant : home est en --x (i.e. on ne peut pas le lister). C'est peut-être une piste à suivre ?
On Fri, 08 Jun 2007 23:31:46 +0200, Allo Tobus <allotobus@invalid.fr>:
Attention, en français on écrit du haut vers le bas.
Je t'invite à lire attentivement
http://www.usenet-fr.net/fr.usenet.reponses/usenet/repondre-sur-usenet.html
Mais je le trouve reducteur... on pourrait penser qu'avec
le chroot, l'utilisateur distant puisse disposer d'un environnement
opérationnel limité (avec un shell et commandes de bases)...
Ben en théorie, sans chroot, un utilisateur lambda dispose d'un
environnement opérationnel limité.
Chez OVH (serveur web partagé), ils ont fait un truc marrant : home
est en --x (i.e. on ne peut pas le lister). C'est peut-être une piste
à suivre ?
Attention, en français on écrit du haut vers le bas. Je t'invite à lire attentivement http://www.usenet-fr.net/fr.usenet.reponses/usenet/repondre-sur-usenet.html
Mais je le trouve reducteur... on pourrait penser qu'avec le chroot, l'utilisateur distant puisse disposer d'un environnement opérationnel limité (avec un shell et commandes de bases)...
Ben en théorie, sans chroot, un utilisateur lambda dispose d'un environnement opérationnel limité.
Chez OVH (serveur web partagé), ils ont fait un truc marrant : home est en --x (i.e. on ne peut pas le lister). C'est peut-être une piste à suivre ?
ALain Montfranc
Allo Tobus a écrit
Bonjour,
je dois mettre à disposition un espace web à un utilisateur distant, et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque... Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne fonctionne correctement... Mon exemple: /www/users/toto/ Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance (donc pas de samba ni ftp possible).
Merci de vos conseils.. AT
Tu as aussi la solution de lui installer une machine virtuelle qu'il aura le droit de casser
Allo Tobus a écrit
Bonjour,
je dois mettre à disposition un espace web à un utilisateur distant,
et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque...
Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre
beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne
fonctionne correctement...
Mon exemple: /www/users/toto/
Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence
qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance
(donc pas de samba ni ftp possible).
Merci de vos conseils..
AT
Tu as aussi la solution de lui installer une machine virtuelle qu'il
aura le droit de casser
je dois mettre à disposition un espace web à un utilisateur distant, et je voudrais qu'il ne puisse pas remonter l'aroborescence du disque... Car même s'il n'a pas les droits d'ecriture, il peut néanmoins apprendre beaucoup de choses sur la conf du systeme...
J'ai essayé avec les droits, mais quand il sont trop rigoureux, plus rien ne fonctionne correctement... Mon exemple: /www/users/toto/ Il faudrait que toto puisse tout faire dans son repertoire et l'aoborescence qu'il va créer qui sera inclue... mais pas remonter au dessus de /toto..
L'utilisateur utilisera ssh et scp pour travailler a distance (donc pas de samba ni ftp possible).
Merci de vos conseils.. AT
Tu as aussi la solution de lui installer une machine virtuelle qu'il aura le droit de casser