Restreindre accès

Lapin68 · Le 10/07/2013, à 08:03

Bonjour,

j'ai mis en place un petit serveur afin que les utilisateurs authentifiés via un LDAP puissent y déposer des fichiers.
Pour le moment n'importe quels utilisateurs du LDAP a accès a toute l'arborescence. J'aimerai que l'utilisateur qui se connecte soit restreins à son dossier (qui se crée dans le /home lors de sa première connexion.)

Quand toto1 se connecte sur le serveur il voit:

/etc
...
/home
/toto1
/toto2
/.....

J'aimerai que lorsque toto1 se connecte il voit uniquement cela:
/home/toto1

J'ai vu que la manipulation est possible en créant des groups et des users directement dans openSSH. Mais j'aimerai justement utiliser le LDAP afin de restreindre les accès..

Je bloque la dessus depuis quelques jours... Il n'y a pas de vrais bon tuto la dessus

Merci à vous.

tiramiseb · Le 10/07/2013, à 10:12

Salut,

Ce que tu cherches est chroot.

Tu as par exemple la chose suivante (trouvée en cherchant "ssh chroot") :
http://root-lab.fr/2012/01/25/creer-chr … implement/

Attention, quand on se connecte en SSH c'est généralement pour utiliser des commandes, et si tu fais un chroot eh bien tu supprimes l'accès aux commandes, qui sont justement dans /usr/bin, qui ont besoin de fichiers dans /usr/lib ainsi que dans /etc, et parfois /tmp, etc. Enfin voilà quoi, quand on se connecte sur un système, c'est généralement pour avoir accès au système ;-)
Dans ce cas, il va falloir inclure dans le chroot les exécutables et bibliothèques nécessaire, soit avec des mount "--bind" soit par copie des fichiers concernés...

Dernière modification par tiramiseb (Le 10/07/2013, à 10:12)

Lapin68 · Le 10/07/2013, à 10:38

Merci beaucoup pour ta réponse.

En fait j'ai mis en place un SFTP avec openSSH, donc hormis moi, aucun utilisateur ne doit pouvoir avoir accès aux commandes.

tiramiseb · Le 10/07/2013, à 10:44

Ok, avec SFTP, chroot peut marcher en effet :-)

Lapin68 · Le 10/07/2013, à 12:05

Le soucis, c'est que je vois comment chrooter des utilisateurs ajouté dans openSSH, mais la j'aimerai chrooter des utilisateurs provenent de mon LDAP.

tiramiseb · Le 10/07/2013, à 12:30

C'est configuré avec PAM-LDAP ?
Ça ne marche pas avec la configuration de base de SSH ?

Lapin68 · Le 10/07/2013, à 12:39

Pour résumer j'ai mon serveur SFTP mise en place via openSSH

A coté j'ai mon serveur LDAP ou tout les utilisateurs sont enregistrés dedans.

J'ai configuré mon SFTP de façon a ce qu'il aille chercher les utilisateurs dans le LDAP, via PAM.

Maintenant j'aurai aimé mettre en place des restrictions pour ces utilisateurs du LDAP. J'ai essayé de configure le sshd_conf de la facon suivante

Subsystem sftp internal-sftp

Match group "mon groupe"
ChrootDirectory /home/%u
AllowTcpForwarding no
X11Forwarding no
ForceCommand intern-sftp

Mais lorsque je relance mon ssh, les utilisateurs ne peuvent même plus se connecter...

tiramiseb · Le 10/07/2013, à 12:50

Là malheureusement je ne peux pas t'aider, ça ne me dit rien comme ça à brûle-pourpoint ; pour vérifier et approfondir j'aurais besoin de monter une maquette, chose que je ne fais que si on me paye ;-)

Je ne peux que te dire de commencer par voir dans les logs s'il y a quelque chose de parlant et mettre le client et/ou le serveur SSH en mode debug/verbose, etc.

Et si tu as des questions sur un message d'erreur précis, perso je reste bien sûr dispo pour répondre... Mais je ne peux pas, là, voir ce qui déconne.

Lapin68 · Le 10/07/2013, à 12:53

Merci quand même je vais voir ce que j'arrive a faire...

Je vais voir pour rajouter des groups et des users dans le SFTP directement...
Mais je pense tout simplement que ce n'est pas possible de chrooter les utilisateurs du LDAP il faut passer par les fichiers de conf' propre a SFTP... Avec des users et des groups interne...

tiramiseb · Le 10/07/2013, à 12:56

je pense tout simplement que ce n'est pas possible de chrooter les utilisateurs du LDAP il faut passer par les fichiers de conf' propre a SFTP

Si SSH s'appuie sur PAM, alors il ne devrait pas y avoir de problème, je pense... C'est tout l'intérêt de PAM : rendre la méthode de stockage des informations totalement transparente pour les logiciels.

Lapin68 · Le 10/07/2013, à 14:03

J'ai testé :

addgroup test
adduser toto (présent dans mon ldap)
adduser toto test (pour ajouter mon user dans le group)

Dans mon sshd_config j'ai ajouté

Match Group test
ChrootDirectory %h
AllowTcpForwarding no

J'ai relancé mon ssh /etc/init.d/ssh restart

L'utilisateur toto a toujours accès a toute l'arborescence

tiramiseb · Le 10/07/2013, à 14:12

L'utilisateur toto a toujours accès a toute l'arborescence

Probablement parce que "test" n'est pas le groupe principal de "toto"...

Lapin68 · Le 10/07/2013, à 14:20

Ou alors il ne fait pas lien entre l'utilisateur ajouté et l'utilisateur présent dans le LDAP...

Je me demande sincèrement si cette manipulation est possible..

tiramiseb · Le 10/07/2013, à 14:22

Ou alors il ne fait pas lien entre l'utilisateur ajouté et l'utilisateur présent dans le LDAP...

C'est possible également.

Je me demande sincèrement si cette manipulation est possible..

Je ne peux pas être catégorique en te disant que oui, c'est possible.
Mais je suis persuadé que c'est possible.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 10/07/2013, à 08:03

Restreindre accès

#2 Le 10/07/2013, à 10:12

Re : Restreindre accès

#3 Le 10/07/2013, à 10:38

Re : Restreindre accès

#4 Le 10/07/2013, à 10:44

Re : Restreindre accès

#5 Le 10/07/2013, à 12:05

Re : Restreindre accès

#6 Le 10/07/2013, à 12:30

Re : Restreindre accès

#7 Le 10/07/2013, à 12:39

Re : Restreindre accès

#8 Le 10/07/2013, à 12:50

Re : Restreindre accès

#9 Le 10/07/2013, à 12:53

Re : Restreindre accès

#10 Le 10/07/2013, à 12:56

Re : Restreindre accès

#11 Le 10/07/2013, à 14:03

Re : Restreindre accès

#12 Le 10/07/2013, à 14:12

Re : Restreindre accès

#13 Le 10/07/2013, à 14:20

Re : Restreindre accès

#14 Le 10/07/2013, à 14:22

Re : Restreindre accès

Pied de page des forums