Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

limiter un user à son home

9 réponses
Avatar
Vincent
Bonjour,

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que dans
son home ?

Comment faire pour qu'un user ne puisse acceder à son home que par ftp ( et
ne pas aller ailleur que son home ) ?

Merci

didier

9 réponses

Avatar
Antoine Librizzi
Vincent a écrit :
Bonjour,



Salut

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?

Comment faire pour qu'un user ne puisse acceder à son home que par ftp (
et ne pas aller ailleur que son home ) ?



1. Tu désactives la possibilité d'obtenir un shell pour un utilisateur
dont le login est ${login}

# usermod -s /sbin/nologin ${login}

2. Tu configures vsftpd ou proftpd pour permettre aux utilisateurs de se
connecter même avec un shell invalide

3. Tu configures la connexion FTP des utilisateurs locaux en activant le
`chroot', de telle manière qu'ils soient "prisonniers" de leur
répertoire personnel.

man proftpd.conf
ou
man vsftpd.conf

--
Antoine Librizzi
Avatar
YBM
Vincent a écrit :
Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?



Ça me semble difficile : il doit bien pouvoir lire les /bin, /usr/bin,
/lib etc. pour pouvoir faire quelque chose, sans parler de /etc

Comment faire pour qu'un user ne puisse acceder à son home que par ftp (
et ne pas aller ailleur que son home ) ?



DefaultRoot ~

dans proftpd.conf pour proftpd, par exemple, voir la doc pour
les autres serveurs ftp (pureftpd, vs-ftpd, etc.)
Avatar
Vincent
Merci pour vos réponses, je vais essayer tout ça :)

J'utilise proftpd, mon objectif est de partager l'espace disque de mon
serveur, les utilisateurs peuvent se connecter
par ftp ( j'ai testé et ils ne peuvent pas aller ailleurs que leur home ) et
déposer leurs fichiers.

Mais je ne veux pas qu'ils puissent se connecter via putty ( par exemple )
directement sur le serveur.
Actuellement ils peuvent le faire et se balader un peu partout.

Encore merci




"Vincent" a écrit dans le message de
news:48a29745$0$868$
Bonjour,

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que dans
son home ?

Comment faire pour qu'un user ne puisse acceder à son home que par ftp (
et ne pas aller ailleur que son home ) ?

Merci

didier


Avatar
Vincent
oups .... le compte du user est en croix :)
comment tu fais pour permettre aux utilisateurs de se connecter sans shell
valide ?
tu fais comment pur revenir en arriere ? :)

merci


"Antoine Librizzi" a écrit dans le message de
news:48a29da0$0$12245$
Vincent a écrit :
Bonjour,



Salut

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?

Comment faire pour qu'un user ne puisse acceder à son home que par ftp
( et ne pas aller ailleur que son home ) ?



1. Tu désactives la possibilité d'obtenir un shell pour un utilisateur
dont le login est ${login}

# usermod -s /sbin/nologin ${login}

2. Tu configures vsftpd ou proftpd pour permettre aux utilisateurs de se
connecter même avec un shell invalide

3. Tu configures la connexion FTP des utilisateurs locaux en activant le
`chroot', de telle manière qu'ils soient "prisonniers" de leur répertoire
personnel.

man proftpd.conf
ou
man vsftpd.conf

--
Antoine Librizzi


Avatar
Jacques Lavignotte
Le Wed, 13 Aug 2008 10:11:41 +0200, Vincent a écrit :

Bonjour,

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?



Restricted shell :

http://www.softpanorama.org/Scripting/Shellorama/restricted_shell.shtml

didier



Jacques
Avatar
Mihamina Rakotomandimby (R12y)
Vincent wrote:
Bonjour,

Comment peut-on faire pour qu'un user ne puisse pas aller ailleur que
dans son home ?



http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.fr.html

Comment faire pour qu'un user ne puisse acceder à son home que par ftp (
et ne pas aller ailleur que son home ) ?



Dans le fichier de configuration du serveur FTP.
Avatar
Fabien LE LEZ
On Wed, 13 Aug 2008 11:03:45 +0200, "Vincent"
:

J'utilise proftpd, mon objectif est de partager l'espace disque de mon
serveur, les utilisateurs peuvent se connecter
par ftp ( j'ai testé et ils ne peuvent pas aller ailleurs que leur home ) et
déposer leurs fichiers.



Dans ce cas, es-tu sûr d'avoir besoin de leur créer des comptes
utilisateur sur le système ?
Mieux vaut AMHA utiliser un serveur FTP ayant un système de gestion
d'utilisateurs indépendant.
Avatar
Antoine Librizzi
Vincent a écrit :
oups .... le compte du user est en croix :)
comment tu fais pour permettre aux utilisateurs de se connecter sans
shell valide ?
tu fais comment pur revenir en arriere ? :)



# usermod -s /bin/bash ${login}

La commande

# usermod -s /sbin/nologin ${login}

que j'ai mentionnée permet de désactiver la connexion de l'utilisateur
en putty / SSH par exemple

Ensuite, la configuration adéquate (lire les pages de man) du serveur
FTP permet d'autoriser la connexion (FTP) de l'utilisateur même si son
shell est invalide, et de le rendre prisonnier de son répertoire personnel.

Le compte de l'utilisateur est en croix, parce que tu le désires (c'est
ce que tu dis que tu veux); mais cela n'implique pas que sa connectivité
FTP le soit, c'est ce qui est permis par des serveurs FTP comme proftpd
ou vsftpd; ceux-ci permettent en outre de restreindre la navigation au
répertoire personnel de l'utilisateur.

--
Antoine Librizzi
Avatar
oLaFKeWL
Vincent a écrit :

Merci pour vos réponses, je vais essayer tout ça :)

J'utilise proftpd, mon objectif est de partager l'espace disque de mon
serveur, les utilisateurs peuvent se connecter
par ftp ( j'ai testé et ils ne peuvent pas aller ailleurs que leur home
) et déposer leurs fichiers.

Mais je ne veux pas qu'ils puissent se connecter via putty ( par exemple
) directement sur le serveur.
Actuellement ils peuvent le faire et se balader un peu partout.



Plusieur possibilités :
Soit tu definis "nologin" ou "false" dans le shell du user en question.
Soit tu utilises un autre moyen que /etc/passwd pour authentifier tes
utilisateurs, une db mysql, un fichier de hash...