Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?
--
Jerome
+----------------------------------------------------+
Linux user #347847 registered on http://counter.li.org
+----------http://www.mandrakelinux.com -------------+
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Doug713705
Le dimanche 3 Octobre 2004 21:39, Jerome s'est exprimé de la sorte sur fr.comp.os.linux.configuration :
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
ssh permet de se logguer à distance de manière sûre. La seule manière de limiter l'accès aux repertoires est de jouer avec chmod.
man chmod pour plus d'info.
-- @+ Doug [Linux user #307925] - *Slackware* *Rulez* *;-)* [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
Le dimanche 3 Octobre 2004 21:39, Jerome s'est exprimé de la sorte sur
fr.comp.os.linux.configuration :
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?
ssh permet de se logguer à distance de manière sûre.
La seule manière de limiter l'accès aux repertoires est de jouer avec chmod.
man chmod pour plus d'info.
--
@+
Doug [Linux user #307925] - *Slackware* *Rulez* *;-)*
[Pourquoi t'es qui, qu'est ce que tu fais par où ?]
-- Pour me contacter enlever no-spam (2X) --
Le dimanche 3 Octobre 2004 21:39, Jerome s'est exprimé de la sorte sur fr.comp.os.linux.configuration :
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
ssh permet de se logguer à distance de manière sûre. La seule manière de limiter l'accès aux repertoires est de jouer avec chmod.
man chmod pour plus d'info.
-- @+ Doug [Linux user #307925] - *Slackware* *Rulez* *;-)* [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
Jean-Max Reymond
Jerome wrote:
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
Pourquoi ne pas utiliser rssh (restricted ssh) ?
-- Jean-Max Reymond dernière éruption de l'Etna: http://jmreymond.free.fr/Etna2002
Jerome wrote:
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?
Pourquoi ne pas utiliser rssh (restricted ssh) ?
--
Jean-Max Reymond
dernière éruption de l'Etna: http://jmreymond.free.fr/Etna2002
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
Pourquoi ne pas utiliser rssh (restricted ssh) ?
-- Jean-Max Reymond dernière éruption de l'Etna: http://jmreymond.free.fr/Etna2002
TiChou
Dans le message <news:, *Jerome* tapota sur f.c.o.l.configuration :
Bonjour
Bonsoir,
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien.
Pour quoi faire ? S'il ne peut pas parcourir les autres répertoires autre que le sien, à quoi pourrait bien lui servir un shell sur son compte ? Si vous avez des répertoires sensibles, alors protéger les comme il faut. Les commandes chmod, chown, chgrp, groupadd, usermod, etc. seront vos amies. Et pourquoi pas l'utilisation des ACL si votre système de fichier le permet.
Mais je ne trouve la méthode pour faire ça.
Il y en a une qui consisterait à chrooter le shell des comptes utilisateurs. Mais là aussi son intérêt reste limité, éventuellement pour faire des transferts sécurisés avec scp sans pour autant fournir un compte shell complet. Vous avez un tuto sur le site debian-fr, vous avez aussi le projet chrootssh sur sourceforge (http://chrootssh.sf.net).
Des idées ?
La seule que je puisse vraiment vous recommander, c'est de définir les bonnes permissions sur les répertoires de votre système.
-- TiChou
Dans le message <news:pan.2004.10.03.19.39.32.894063@free.fr>,
*Jerome* tapota sur f.c.o.l.configuration :
Bonjour
Bonsoir,
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien.
Pour quoi faire ? S'il ne peut pas parcourir les autres répertoires autre
que le sien, à quoi pourrait bien lui servir un shell sur son compte ?
Si vous avez des répertoires sensibles, alors protéger les comme il faut.
Les commandes chmod, chown, chgrp, groupadd, usermod, etc. seront vos amies.
Et pourquoi pas l'utilisation des ACL si votre système de fichier le permet.
Mais je ne trouve la méthode pour faire ça.
Il y en a une qui consisterait à chrooter le shell des comptes utilisateurs.
Mais là aussi son intérêt reste limité, éventuellement pour faire des
transferts sécurisés avec scp sans pour autant fournir un compte shell
complet.
Vous avez un tuto sur le site debian-fr, vous avez aussi le projet chrootssh
sur sourceforge (http://chrootssh.sf.net).
Des idées ?
La seule que je puisse vraiment vous recommander, c'est de définir les
bonnes permissions sur les répertoires de votre système.
Dans le message <news:, *Jerome* tapota sur f.c.o.l.configuration :
Bonjour
Bonsoir,
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien.
Pour quoi faire ? S'il ne peut pas parcourir les autres répertoires autre que le sien, à quoi pourrait bien lui servir un shell sur son compte ? Si vous avez des répertoires sensibles, alors protéger les comme il faut. Les commandes chmod, chown, chgrp, groupadd, usermod, etc. seront vos amies. Et pourquoi pas l'utilisation des ACL si votre système de fichier le permet.
Mais je ne trouve la méthode pour faire ça.
Il y en a une qui consisterait à chrooter le shell des comptes utilisateurs. Mais là aussi son intérêt reste limité, éventuellement pour faire des transferts sécurisés avec scp sans pour autant fournir un compte shell complet. Vous avez un tuto sur le site debian-fr, vous avez aussi le projet chrootssh sur sourceforge (http://chrootssh.sf.net).
Des idées ?
La seule que je puisse vraiment vous recommander, c'est de définir les bonnes permissions sur les répertoires de votre système.
-- TiChou
BILLETTE Millicent
Jerome wrote:
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
Je vois de solutions mais je ne les ai pas testé :
soit mêtre des autorisation très restricives sur les dossiers ( du type 700 ) soit lancer un sshd chrooté par utilisateur ( ce qui me parais un peu bordélique mais fesable aussi )
Voila mes idées, places aux autres :)
Gamma Nu
Jerome wrote:
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?
Je vois de solutions mais je ne les ai pas testé :
soit mêtre des autorisation très restricives sur les dossiers ( du type
700 )
soit lancer un sshd chrooté par utilisateur ( ce qui me parais un peu
bordélique mais fesable aussi )
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
Je vois de solutions mais je ne les ai pas testé :
soit mêtre des autorisation très restricives sur les dossiers ( du type 700 ) soit lancer un sshd chrooté par utilisateur ( ce qui me parais un peu bordélique mais fesable aussi )
Voila mes idées, places aux autres :)
Gamma Nu
Mike Massonnet
BILLETTE Millicent wrote:
Jerome wrote:
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
Je vois de solutions mais je ne les ai pas testé :
soit mêtre des autorisation très restricives sur les dossiers ( du type 700 ) soit lancer un sshd chrooté par utilisateur ( ce qui me parais un peu bordélique mais fesable aussi )
Voila mes idées, places aux autres :)
Bonjour, je pense qu'il faudrait créer un nouveau compte utilisateur pour les invite-ssh. Ils auront leur propre dossier dans home, et appartiendrait aussi à leur propre groupe.
De cette manière il peuvent (peut-être) lire uniquement les fichiers des autres utilisateurs (/home/*).
Je ne crois pas qu'il est possible de bloquer une partie d'une arborescence.
Au revoir, Mike M.
Gamma Nu
-- Registered Linux User #361637 Vous aussi identifiez-vous en tant qu'utilisateur de Linux sur le site <http://counter.li.org/> PS: <http://mykey57.free.fr/> tout sur moi et autre
BILLETTE Millicent wrote:
Jerome wrote:
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?
Je vois de solutions mais je ne les ai pas testé :
soit mêtre des autorisation très restricives sur les dossiers ( du type
700 )
soit lancer un sshd chrooté par utilisateur ( ce qui me parais un peu
bordélique mais fesable aussi )
Voila mes idées, places aux autres :)
Bonjour,
je pense qu'il faudrait créer un nouveau compte utilisateur pour les
invite-ssh. Ils auront leur propre dossier dans home, et appartiendrait
aussi à leur propre groupe.
De cette manière il peuvent (peut-être) lire uniquement les fichiers des
autres utilisateurs (/home/*).
Je ne crois pas qu'il est possible de bloquer une partie d'une arborescence.
Au revoir,
Mike M.
Gamma Nu
--
Registered Linux User #361637
Vous aussi identifiez-vous en tant qu'utilisateur
de Linux sur le site <http://counter.li.org/>
PS: <http://mykey57.free.fr/> tout sur moi et autre
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
Je vois de solutions mais je ne les ai pas testé :
soit mêtre des autorisation très restricives sur les dossiers ( du type 700 ) soit lancer un sshd chrooté par utilisateur ( ce qui me parais un peu bordélique mais fesable aussi )
Voila mes idées, places aux autres :)
Bonjour, je pense qu'il faudrait créer un nouveau compte utilisateur pour les invite-ssh. Ils auront leur propre dossier dans home, et appartiendrait aussi à leur propre groupe.
De cette manière il peuvent (peut-être) lire uniquement les fichiers des autres utilisateurs (/home/*).
Je ne crois pas qu'il est possible de bloquer une partie d'une arborescence.
Au revoir, Mike M.
Gamma Nu
-- Registered Linux User #361637 Vous aussi identifiez-vous en tant qu'utilisateur de Linux sur le site <http://counter.li.org/> PS: <http://mykey57.free.fr/> tout sur moi et autre
Arnaud
Jerome wrote:
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
Je crois qu'il existe un patch pour openssh qui permet cette fonctionnalité.
Arnaud
Jerome wrote:
Bonjour
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd :
empêcher l'utilisateur connecté de remonter et se balader dans les
répertoires autres que le sien. Mais je ne trouve la méthode pour faire
ça.
Le serveur ssh est sous Mandrake 10.
Des idées ?
Je crois qu'il existe un patch pour openssh qui permet cette fonctionnalité.
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd : empêcher l'utilisateur connecté de remonter et se balader dans les répertoires autres que le sien. Mais je ne trouve la méthode pour faire ça. Le serveur ssh est sous Mandrake 10. Des idées ?
Je crois qu'il existe un patch pour openssh qui permet cette fonctionnalité.
Arnaud
Jérémy JUST
On Sun, 03 Oct 2004 21:39:32 +0200 Jerome wrote:
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd
Je crois qu'il y en a un de SFTP et FTPS qui correspond à un FTP sécurisé sans besoin de tunnel SSH (cela dit, tu peux autoriser l'établissement de tunnels sans shell utilisable).
Sinon, en imposant un shell restreint (« sh -r ») à tes utilisateurs, ils ne pourront pas aller ailleurs que chez eux, et pas appeler de binaires ailleurs que dans le PATH que tu leur auras préparé. Ça peut être moins lourd à mettre en place qu'un chroot.
-- Jérémy JUST
On Sun, 03 Oct 2004 21:39:32 +0200
Jerome <jerome@free.fr> wrote:
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd
Je crois qu'il y en a un de SFTP et FTPS qui correspond à un FTP
sécurisé sans besoin de tunnel SSH (cela dit, tu peux autoriser
l'établissement de tunnels sans shell utilisable).
Sinon, en imposant un shell restreint (« sh -r ») à tes utilisateurs,
ils ne pourront pas aller ailleurs que chez eux, et pas appeler de
binaires ailleurs que dans le PATH que tu leur auras préparé.
Ça peut être moins lourd à mettre en place qu'un chroot.
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd
Je crois qu'il y en a un de SFTP et FTPS qui correspond à un FTP sécurisé sans besoin de tunnel SSH (cela dit, tu peux autoriser l'établissement de tunnels sans shell utilisable).
Sinon, en imposant un shell restreint (« sh -r ») à tes utilisateurs, ils ne pourront pas aller ailleurs que chez eux, et pas appeler de binaires ailleurs que dans le PATH que tu leur auras préparé. Ça peut être moins lourd à mettre en place qu'un chroot.
-- Jérémy JUST
Jérémy JUST
On Wed, 6 Oct 2004 00:17:53 +0200 Jérémy JUST wrote:
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd Je crois qu'il y en a un de SFTP et FTPS qui correspond à un FTP
sécurisé sans besoin de tunnel SSH
Je me réponds. C'est FTPS: FTP-SSL.
-- Jérémy JUST
On Wed, 6 Oct 2004 00:17:53 +0200
Jérémy JUST <jeremy_just@netcourrier.com> wrote:
Je voudrais obtenir avec SSH ce que je pouvais faire avec proftpd
Je crois qu'il y en a un de SFTP et FTPS qui correspond à un FTP