Ubuntu-fr

bob_1973

[Résolu] Générer des clés SSH pour un serveur SFTP

Bonjour

Au final, je cherche à pouvoir exécuter un script qui me permettrait d'envoyer automatiquement des fichiers depuis un PC vers un serveur SFTP.

Le serveur SFTP est également un serveur LAMP mais cela n'a pas d'importance pour le sujet.

Sur ce serveur, j'ai un compte principal, admettons A. Pour le serveur SFTP, j'ai crée un utilisateur, nommons le B.

Je peux me connecter en SSH du PC vers le serveur utilisateur A. J'ai généré des clés donc je peux me connecter sans entrer de mot de passe.

Je peux exécuter un script qui envoie des fichiers du PC vers le serveur SFTP en utilisateur B.
Le problème est que lorsque j'exécute le script, il me demande le mot de passe de l'utilisateur SFTP. Je voudrais donc pouvoir générer des clés.

Je suis plutôt novice dans le sujet donc je ne suis pas sûr de tout comprendre.
Je voulais essayer de me connecter en SSH vers le serveur en utilisant le compte B de façon à pouvoir générer les clés mais il me refuse la connexion. Je présume qu'une fois que j'aurai généré les clés je pourrai utiliser mon script sans entrer le mot de passe (mais peut-être que ce ne sont pas les mêmes clés utilisées pour SSH et SFTP ? )

Le message indique:

    This service allows sftp connections only.

Ce qui me paraît bizarre c'est qu'il n'y a qu'un fichier de configuration pour SSH et SFTP et ceci pour tous les utilisateurs (enfin il me semble?), je parle du fichier /etc/ssh/sshd_config

Voilà un extrait de mon fichier sshd_config, je ne met que les lignes qui sont décommentées:

Include /etc/ssh/sshd_config.d/*.conf

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

PubkeyAuthentication yes

PasswordAuthentication no

UsePAM yes

X11Forwarding yes
X11DisplayOffset 10

PrintMotd no

AcceptEnv LANG LC_*

Subsystem       sftp    /usr/lib/openssh/sftp-server

Match group sftp
ChrootDirectory /var/sftp
AllowTcpForwarding no
AllowAgentForwarding no
ForceCommand internal-sftp

Voilà, pouvez-vous m'aider en répondant à ces questions:

• Est ce que globalement ce que j'essaye de faire est cohérent ?

• Est ce que ce sont les mêmes clés pour SSH et SFTP ?

• Est ce qu'il n'y a qu'un seul fichier pour tout régler?

• Qu'est ce qui ne va pas dans tout ça?

Merci d'avance pour vos réponses.

Dernière modification par bob_1973 (Le 21/03/2024, à 16:09)

krodelabestiole

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

• Est ce que globalement ce que j'essaye de faire est cohérent ?

• Est ce que ce sont les mêmes clés pour SSH et SFTP ?

• Est ce qu'il n'y a qu'un seul fichier pour tout régler?

• oui

• oui

• oui

• Qu'est ce qui ne va pas dans tout ça?

apparemment tu forces l'utilisation de sftp dans ta config (je ne crois pas que ce soit la fonction de Subsystem sftp).

Voilà un extrait de mon fichier sshd_config, je ne met que les lignes qui sont décommentées

tu es sûr d'avoir posté toute ta config ?

---

nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents

bob_1973

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Merci pour ta rapidité!

Voilà le fichier complet

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile     .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
#KbdInteractiveAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem       sftp    /usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server
Match group sftp
ChrootDirectory /var/sftp
AllowTcpForwarding no
AllowAgentForwarding no
ForceCommand internal-sftp

Je ne comprends pas ta phrase

apparemment tu forces l'utilisation de sftp dans ta config (je ne crois pas que ce soit la fonction de Subsystem sftp).

Que faut-il que j'en fasse?

krodelabestiole

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

si tu veux accéder en SSH (ligne de commande), sans SFTP, ça ne marchera pas avec cette directive :

ForceCommand internal-sftp

d'où ce message d'erreur :

This service allows sftp connections only.

---

nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents

bruno

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Bonjour,

Plus précisément, avec cette configuration, les utilisateurs membres du groupe sftp ne peuvent faire que du sftp.

---

Attention, les bouteilles vendues par Nestlé Waters sont contaminées au monoxyde de dihydrogène.

bob_1973

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

OK, donc si je comprends bien je dois:

1. Commenter la ligne ForceCommand internal-sftp

2. Me connecter en ssh avec l'utilisateur B

3. Générer les clés

4. Recommenter la ligne ForceCommand internal-sftp

Effectivement, je trouve que ce n'est pas plus mal que l'utilisateur B ne puisse uniquement utiliser SFTP.

Je testerai ce soir et je vous tiens au courant.

Merci

bob_1973

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Voilà, je viens de tester et ça avance mais pas encore OK.

J'obtiens ce message:

/bin/sh: No such file or directory
Connection to 192.168.0.38 closed.

Donc j'obtiens bien le bandeau de connexion ssh mais ensuite il me ferme la connexion...

Dernière modification par bob_1973 (Le 12/03/2024, à 19:11)

krodelabestiole

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

tu peux donner l'intégralité des commandes et retours stp, on peut pas deviner ce que tu fais...

---

nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents

bob_1973

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Oui, désolé, je pensais que c'était clair.

Pour le fichier  /etc/ssh/sshd_config, j'ai juste commenté la ligne ForceCommand internal-sftp

Le nouveau fichier de configuration

sudo cat /etc/ssh/sshd_config

qui renvoie:

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile     .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
#KbdInteractiveAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem       sftp    /usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server
Match group sftp
ChrootDirectory /var/sftp
AllowTcpForwarding no
AllowAgentForwarding no
#ForceCommand internal-sftp

J'enregistre, puis j'essaie de me connecter en SSH depuis mon PC:

bob@bob-Aspire-A315-44P:~$ ssh sftpuser@192.168.0.38
(sftpuser@192.168.0.38) Password: 
Welcome to Ubuntu 22.04.4 LTS (GNU/Linux 6.5.0-25-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

La maintenance de sécurité étendue pour Applications n'est pas activée.

0 mise à jour peut être appliquée immédiatement.

33 additional security updates can be applied with ESM Apps.
Learn more about enabling ESM Apps service at https://ubuntu.com/esm


The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.


The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

Last login: Tue Mar 12 18:08:08 2024 from 192.168.0.42
/bin/sh: No such file or directory
Connection to 192.168.0.38 closed.
bob@bob-Aspire-A315-44P:~$ 

Le last login indiqué est lors de mon essai tout à l'heure.

bruno

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Il faut te connecter avec un utilisateur qui fonctionne et donner les retours de :

ls -l /bin/sh
getent passwd sftpuser

---

Attention, les bouteilles vendues par Nestlé Waters sont contaminées au monoxyde de dihydrogène.

bob_1973

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Bonjour,
Voilà les résultats des commandes:

ls -l /bin/sh
lrwxrwxrwx 1 root root 4 sept. 20 17:18 /bin/sh -> dash

getent passwd sftpuser
sftpuser:x:1001:1002::/home/sftpuser:/bin/sh

bruno

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Ah, au temps pour moi, l'utilisateur est chrooté :

Match group sftp
ChrootDirectory /var/sftp

C'est pour cela que tu as cet erreur. Pour qu'il puisse se connecter et exécuter des commandes il faudrait un environnent chroot complet (shell, commandes de bases, etc.) sous /var/sftp

Mais je ne vois pas pourquoi tu essaies de te connecter avec un utilisateur qui a justement été créé et prévu pour ne pas pouvoir se connecter et ne faire que tu SFTP confiné dans /var/sftp (curieux choix d'ailleurs).

Si tu veux que cet utilisateur puisse se connecter en SFTP par clés, il suffit de copier sa clé publique au bon endroit avec un compte d'administrateur (root ou autre)

---

Attention, les bouteilles vendues par Nestlé Waters sont contaminées au monoxyde de dihydrogène.

bob_1973

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Alors je vais essayer d'expliquer un peu mieux pourquoi tout ça.

A la fin, je veux que le script bash puisse envoyer les fichiers sans avoir besoin de saisir de mot de passe donc il me faut une clé.
J'ai généré une clé pour accéder en SSH mais c'est avec l'utilisateur de base, celui que j'ai appelé A dans mon premier post.
Ca, ça marche bien, je peux me connecter sur mon serveur sans problème.

Je suis novice en ce qui concerne le transfert par SFTP. J'ai suivi un tuto, je ne retrouve plus exactement lequel c'était mais voici les commandes que j'ai utilisées:
Création d'un nouvel utilisateur SFTP

Paramètres utilisés dans la suite:
    group: sftp
    user: sftpuser
    pass: sftp1234

        sudo addgroup sftp
        sudo useradd sftpuser
        sudo passwd sftpuser
        sudo usermod -a -G sftp sftpuser

    Création d'un dossier pour recevoir les fichiers:
        On va créer un dossier fichiers dans le répertoire /var/sftp/
            Le dossier  /var/sftp/          doit appartenir à root
            Le dossier  /var/sftp/fichiers  doit appartenir à l'utilisateur sftpuser

    sudo mkdir -p /var/sftp/
    sudo mkdir -p /var/sftp/fichiers
    sudo chown root:root /var/sftp
    sudo chown sftpuser:sftpuser /var/sftp/fichiers

    Vérifications:
        cd /var
        ls -l
            drwxr-xr-x  3 root root     4096 févr. 15 15:21 sftp

            sudo chmod 755 /var/sftp

        cd sftp/
        ls -l
            drwxr-xr-x 2 sftpuser sftpuser 4096 févr. 15 15:21 fichiers

    Modification du fichier de configuration SSHD
        sudo nano /etc/ssh/sshd_config

        Écrire les configurations suivantes
       

            Match group sftp
            ChrootDirectory /var/sftp
            X11Forwarding no
            AllowTcpForwarding no
            AllowAgentForwarding no
            ForceCommand internal-sftp

Pour moi, il me paraissait intérressant de créer un utilisateur qui soit différent de l'utilisateur A (qui lui fait partie des sudo).
Cet utilisateur ne sert que pour le transfert de fichiers.

Pour détailler un peu plus, je suis en train de tester tout ça, à la toute fin, c'est un (voir plusieurs) raspberry pi qui vont faire des captures d'évennements sur des caméras IP et qui vont envoyer les images sur le serveur pour pouvoir les archiver, entrer les informations en BDD et pouvoir les afficher sur un site web. Jusque là, je faisais tout ça en FTP mais pour des raisons de sécurité je veux passer en SFTP (même si tout ça reste cantonné en réseau local).

Voilà, j'espère avoir été plus clair.

A propos de ta remarque (curieux choix d'ailleurs), tu parles du dossier utilisé (/var/sftp) ou pas?

bruno

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Il faut donc utiliser « A » pour te connecter au serveur et y copier la clé publique de l'utilisateur « sftpuser », a priori dans /home/sftpuser/.ssh/authorized_keys -ou un autre emplacement précisé dans sshd_config).

---

Attention, les bouteilles vendues par Nestlé Waters sont contaminées au monoxyde de dihydrogène.

bob_1973

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

OUi, j'en étais venu à cette conclusion aussi mais je viens de voir que le dossier /home/sftpuser n'existe pas !!!

C'est curieux, peut-être est-ce dû à l'utilisation de la commande useradd?

Après, j'ai l'impression que tu viens de me donner la réponse que j'attendais, c'est à dire où copier cette clé, donc dans  /home/sftpuser/.ssh/authorized_keys

Je vais essayer d'ajouter mon utilisateur A au groupe des sftpuser comme ça je verrai bien si ça marche avec cet utilisateur là.
Dans un deuxième temps, je vais peut-être re-créer l'utilisateur sftpuser.

J'essaye ça demain, je vous tiens au courant.
Merci en tout cas, j'ai l'impression que je ne suis pas loin du but.

bob_1973

Re : [Résolu] Générer des clés SSH pour un serveur SFTP

Bonjour,

J'ai finalement réglé mon problème. Je ne sais pas exactement ce qui a permis de résoudre mais je vais expliquer ce que j'ai fait si ça peut servir.

J'ai réinstallé mon serveur, j'utilise Kubuntu 22.04 LTS
J'ai créé un utilisateur distant avec l'outil "Configuration du système" plutôt que d'utiliser la ligne de commande. J'ai vérifié que je pouvais utiliser son compte sur le serveur. Au passage, j'ai changé le nom de cet utilisateur, il s'appelle maintenant toto.
J'ai établi une connexion SSH depuis une autre machine.
J'ai généré les clés SSH pour pouvoir me connecter sans mot de passe.

J'ai crée le dossier sftp dans /var puis le dossier fichiers dans /var/sftp
J'ai donné les appartenances root au dossier /var/sftp et toto au dossier /var/sftpfichiers:

    sudo mkdir -p /var/sftp
	sudo mkdir -p /var/sftp/fichiers
	sudo chown root:root /var/sftp/
	sudo chown toto:toto /var/sftp/fichiers/

J'ai modifié le fichier de configuration /etc/ssh/sshd_config et j'ai uniquement ajouté les lignes à la toute fin du fichier

	Match user toto
        ChrootDirectory /var/sftp/
        ForceCommand internal-sftp
        AllowTcpForwarding no

Concernant la remarque de bruno sur le fait que le choix de /var/sftp n'était pas forcément pertinent, je dois dire que j'ai fait beaucoup d'essais pour le placer dans /home/toto qui me paraissait plus logique mais ça a engendré pas mal de problème jusqu'à ce que je comprenne que le chemin complet jusqu'au dossier sftp devait appartenir à root. J'ai même essayé de donner l'appartenance de /home/toto à root mais du coup au moment de copier les clés SSH, il ne pouvait plus créer le dossier .ssh, bref j'ai pas mal tourné en boucle pour finalement revenir sur le choix de /var/sftp.
Si quelqu'un peut m'expliquer quel chemin serait plus adapté, je suis preneur...

Je joins le fichier complet de /etc/ssh/sshd_config si ça peut être utile à quelqu'un.

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile	.ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
KbdInteractiveAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem	sftp	/usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	PermitTTY no
#	ForceCommand cvs server
Match user toto
        ChrootDirectory /var/sftp/
        ForceCommand internal-sftp
        AllowTcpForwarding no