Connexion SSH : limiter l'accès aux répertoires

Le
Jerome
Bonjour

Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?

--
Jerome
+-+
Linux user #347847 registered on http://counter.li.org
+-http://www.mandrakelinux.com -+
Vos réponses
Trier par : date / pertinence
Doug713705
Le #1156236
Le dimanche 3 Octobre 2004 21:39, Jerome s'est exprimé de la sorte sur
fr.comp.os.linux.configuration :

Bonjour

Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?



ssh permet de se logguer à distance de manière sûre.
La seule manière de limiter l'accès aux repertoires est de jouer avec chmod.

man chmod pour plus d'info.

--
@+
Doug [Linux user #307925] - *Slackware* *Rulez* *;-)*
[Pourquoi t'es qui, qu'est ce que tu fais par où ?]
-- Pour me contacter enlever no-spam (2X) --

Jean-Max Reymond
Le #1156235
Jerome wrote:
Bonjour

Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?



Pourquoi ne pas utiliser rssh (restricted ssh) ?

--
Jean-Max Reymond
dernière éruption de l'Etna: http://jmreymond.free.fr/Etna2002

TiChou
Le #1156234
Dans le message *Jerome* tapota sur f.c.o.l.configuration :

Bonjour


Bonsoir,

Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien.


Pour quoi faire ? S'il ne peut pas parcourir les autres répertoires autre
que le sien, à quoi pourrait bien lui servir un shell sur son compte ?
Si vous avez des répertoires sensibles, alors protéger les comme il faut.
Les commandes chmod, chown, chgrp, groupadd, usermod, etc. seront vos amies.
Et pourquoi pas l'utilisation des ACL si votre système de fichier le permet.

Mais je ne trouve la méthode pour faire ça.


Il y en a une qui consisterait à chrooter le shell des comptes utilisateurs.
Mais là aussi son intérêt reste limité, éventuellement pour faire des
transferts sécurisés avec scp sans pour autant fournir un compte shell
complet.
Vous avez un tuto sur le site debian-fr, vous avez aussi le projet chrootssh
sur sourceforge (http://chrootssh.sf.net).

Des idées ?


La seule que je puisse vraiment vous recommander, c'est de définir les
bonnes permissions sur les répertoires de votre système.

--
TiChou

BILLETTE Millicent
Le #1156100
Jerome wrote:

Bonjour

Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?

Je vois de solutions mais je ne les ai pas testé :

soit mêtre des autorisation très restricives sur les dossiers ( du type
700 )
soit lancer un sshd chrooté par utilisateur ( ce qui me parais un peu
bordélique mais fesable aussi )

Voila mes idées, places aux autres :)

Gamma Nu

Mike Massonnet
Le #1156099
BILLETTE Millicent wrote:

Jerome wrote:

Bonjour

Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?

Je vois de solutions mais je ne les ai pas testé :

soit mêtre des autorisation très restricives sur les dossiers ( du type
700 )
soit lancer un sshd chrooté par utilisateur ( ce qui me parais un peu
bordélique mais fesable aussi )

Voila mes idées, places aux autres :)


Bonjour,
je pense qu'il faudrait créer un nouveau compte utilisateur pour les
invite-ssh. Ils auront leur propre dossier dans home, et appartiendrait
aussi à leur propre groupe.

De cette manière il peuvent (peut-être) lire uniquement les fichiers des
autres utilisateurs (/home/*).

Je ne crois pas qu'il est possible de bloquer une partie d'une arborescence.

Au revoir,
Mike M.


Gamma Nu


--
Registered Linux User #361637
Vous aussi identifiez-vous en tant qu'utilisateur
de Linux sur le site PS:

Arnaud
Le #1389672
Jerome wrote:
Bonjour

Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?

Je crois qu'il existe un patch pour openssh qui permet cette fonctionnalité.


Arnaud

Jérémy JUST
Le #1156924
On Sun, 03 Oct 2004 21:39:32 +0200
Jerome
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd


Je crois qu'il y en a un de SFTP et FTPS qui correspond à un FTP
sécurisé sans besoin de tunnel SSH (cela dit, tu peux autoriser
l'établissement de tunnels sans shell utilisable).

Sinon, en imposant un shell restreint (« sh -r ») à tes utilisateurs,
ils ne pourront pas aller ailleurs que chez eux, et pas appeler de
binaires ailleurs que dans le PATH que tu leur auras préparé.
Ça peut être moins lourd à mettre en place qu'un chroot.

--
Jérémy JUST
Jérémy JUST
Le #1156923
On Wed, 6 Oct 2004 00:17:53 +0200
Jérémy JUST
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd
Je crois qu'il y en a un de SFTP et FTPS qui correspond à un FTP

sécurisé sans besoin de tunnel SSH


Je me réponds.
C'est FTPS: FTP-SSL.

--
Jérémy JUST

Publicité
Poster une réponse
Anonyme