limiter un user à son home

Le
Vincent
Bonjour,

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que dans
son home ?

Comment faire pour qu'un user ne puisse acceder à son home que par ftp ( et
ne pas aller ailleur que son home ) ?

Merci

didier
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Antoine Librizzi
Le #16536011
Vincent a écrit :
Bonjour,



Salut

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?

Comment faire pour qu'un user ne puisse acceder à son home que par ftp (
et ne pas aller ailleur que son home ) ?



1. Tu désactives la possibilité d'obtenir un shell pour un utilisateur
dont le login est ${login}

# usermod -s /sbin/nologin ${login}

2. Tu configures vsftpd ou proftpd pour permettre aux utilisateurs de se
connecter même avec un shell invalide

3. Tu configures la connexion FTP des utilisateurs locaux en activant le
`chroot', de telle manière qu'ils soient "prisonniers" de leur
répertoire personnel.

man proftpd.conf
ou
man vsftpd.conf

--
Antoine Librizzi
YBM
Le #16536001
Vincent a écrit :
Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?



Ça me semble difficile : il doit bien pouvoir lire les /bin, /usr/bin,
/lib etc. pour pouvoir faire quelque chose, sans parler de /etc

Comment faire pour qu'un user ne puisse acceder à son home que par ftp (
et ne pas aller ailleur que son home ) ?



DefaultRoot ~

dans proftpd.conf pour proftpd, par exemple, voir la doc pour
les autres serveurs ftp (pureftpd, vs-ftpd, etc.)
Vincent
Le #16536221
Merci pour vos réponses, je vais essayer tout ça :)

J'utilise proftpd, mon objectif est de partager l'espace disque de mon
serveur, les utilisateurs peuvent se connecter
par ftp ( j'ai testé et ils ne peuvent pas aller ailleurs que leur home ) et
déposer leurs fichiers.

Mais je ne veux pas qu'ils puissent se connecter via putty ( par exemple )
directement sur le serveur.
Actuellement ils peuvent le faire et se balader un peu partout.

Encore merci




"Vincent" news:48a29745$0$868$
Bonjour,

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que dans
son home ?

Comment faire pour qu'un user ne puisse acceder à son home que par ftp (
et ne pas aller ailleur que son home ) ?

Merci

didier


Vincent
Le #16536211
oups .... le compte du user est en croix :)
comment tu fais pour permettre aux utilisateurs de se connecter sans shell
valide ?
tu fais comment pur revenir en arriere ? :)

merci


"Antoine Librizzi" news:48a29da0$0$12245$
Vincent a écrit :
Bonjour,



Salut

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?

Comment faire pour qu'un user ne puisse acceder à son home que par ftp
( et ne pas aller ailleur que son home ) ?



1. Tu désactives la possibilité d'obtenir un shell pour un utilisateur
dont le login est ${login}

# usermod -s /sbin/nologin ${login}

2. Tu configures vsftpd ou proftpd pour permettre aux utilisateurs de se
connecter même avec un shell invalide

3. Tu configures la connexion FTP des utilisateurs locaux en activant le
`chroot', de telle manière qu'ils soient "prisonniers" de leur répertoire
personnel.

man proftpd.conf
ou
man vsftpd.conf

--
Antoine Librizzi


Jacques Lavignotte
Le #16536421
Le Wed, 13 Aug 2008 10:11:41 +0200, Vincent a écrit :

Bonjour,

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?



Restricted shell :

http://www.softpanorama.org/Scripting/Shellorama/restricted_shell.shtml

didier



Jacques
Mihamina Rakotomandimby (R12y)
Le #16536411
Vincent wrote:
Bonjour,

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?



http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.fr.html

Comment faire pour qu'un user ne puisse acceder à son home que par ftp (
et ne pas aller ailleur que son home ) ?



Dans le fichier de configuration du serveur FTP.
Fabien LE LEZ
Le #16536401
On Wed, 13 Aug 2008 11:03:45 +0200, "Vincent"

J'utilise proftpd, mon objectif est de partager l'espace disque de mon
serveur, les utilisateurs peuvent se connecter
par ftp ( j'ai testé et ils ne peuvent pas aller ailleurs que leur home ) et
déposer leurs fichiers.



Dans ce cas, es-tu sûr d'avoir besoin de leur créer des comptes
utilisateur sur le système ?
Mieux vaut AMHA utiliser un serveur FTP ayant un système de gestion
d'utilisateurs indépendant.
Antoine Librizzi
Le #16536501
Vincent a écrit :
oups .... le compte du user est en croix :)
comment tu fais pour permettre aux utilisateurs de se connecter sans
shell valide ?
tu fais comment pur revenir en arriere ? :)



# usermod -s /bin/bash ${login}

La commande

# usermod -s /sbin/nologin ${login}

que j'ai mentionnée permet de désactiver la connexion de l'utilisateur
en putty / SSH par exemple

Ensuite, la configuration adéquate (lire les pages de man) du serveur
FTP permet d'autoriser la connexion (FTP) de l'utilisateur même si son
shell est invalide, et de le rendre prisonnier de son répertoire personnel.

Le compte de l'utilisateur est en croix, parce que tu le désires (c'est
ce que tu dis que tu veux); mais cela n'implique pas que sa connectivité
FTP le soit, c'est ce qui est permis par des serveurs FTP comme proftpd
ou vsftpd; ceux-ci permettent en outre de restreindre la navigation au
répertoire personnel de l'utilisateur.

--
Antoine Librizzi
oLaFKeWL
Le #16537521
Vincent a écrit :

Merci pour vos réponses, je vais essayer tout ça :)

J'utilise proftpd, mon objectif est de partager l'espace disque de mon
serveur, les utilisateurs peuvent se connecter
par ftp ( j'ai testé et ils ne peuvent pas aller ailleurs que leur home
) et déposer leurs fichiers.

Mais je ne veux pas qu'ils puissent se connecter via putty ( par exemple
) directement sur le serveur.
Actuellement ils peuvent le faire et se balader un peu partout.



Plusieur possibilités :
Soit tu definis "nologin" ou "false" dans le shell du user en question.
Soit tu utilises un autre moyen que /etc/passwd pour authentifier tes
utilisateurs, une db mysql, un fichier de hash...
Publicité
Poster une réponse
Anonyme