Pages : 1
#1 Le 29/08/2013, à 09:00
- orelv
Configuration ssh et sftp (limité à un dossier)
Bonjour,
Je souhaite configurer mon serveur de la manière suivante:
- L'utilisateur root peut se connecter en ssh sur le serveur mais ne peut pas faire de sftp.
- Les autres utilisateurs ne peuvent pas se connecter en ssh mais peuvent faire du sftp (limité à un dossier en particulier, ce serait le même pour tous ces utilisateurs).
Pour l'instant, j'arrive à faire :
- connexion de root en ssh
- connexion d'un autre utilisateur en sftp (limité sur un dossier)
Pour cela, j'ai modifié le fichier /etc/ssh/sshd_config:
PermitRootLogin yes
# override default of no subsystems
SubSystem sftp internal-sftp
Match User sftp_user
# The following two directives force sftp_user to become chrooted
# and only have sftp available. No other chroot setup is required.
ChrootDirectory /home/tftp_dir
ForceCommand internal-sftp
# For additional paranoia, disallow all types of port forwardings.
AllowTcpForwarding no
GatewayPorts no
X11Forwarding noMais je n'arrive pas à bloquer le sftp pour l'utilisateur root (en gardant ssh)
Avez-vous une idée pour me dépanner ?
Merci d'avance,
Hors ligne
#2 Le 29/08/2013, à 09:36
- bruno
Re : Configuration ssh et sftp (limité à un dossier)
C'est curieux comme configuration mais tu dois pouvoir faire cela ainsi :
Match User root
Subsystem sftp /bin/false#3 Le 29/08/2013, à 09:47
- orelv
Re : Configuration ssh et sftp (limité à un dossier)
Merci pour la réponse,
J'ai fait ceci:
SubSystem sftp internal-sftp
Match user root
SubSystem sftp /bin/false
Match User sftp_user
# The following two directives force sftp_user to become chrooted
# and only have sftp available. No other chroot setup is required.
ChrootDirectory /home/tftp_dir
ForceCommand internal-sftp
# For additional paranoia, disallow all types of port forwardings.
AllowTcpForwarding no
GatewayPorts no
X11Forwarding noMais quand je redémarre le servuice sshd, j'ai l'erreur suivante:
service sshd restart
Stopping sshd: [FAILED]
Starting sshd: /etc/ssh/sshd_config line 124: Directive 'SubSystem' is not allowed within a Match block [FAILED]Hors ligne
#4 Le 29/08/2013, à 10:52
- bruno
Re : Configuration ssh et sftp (limité à un dossier)
Effectivement cela ne peut pas marcher… C'est peut être possible avec ForceCommand mais tu risque de bloquer complètement l'accès ssh à root. Autant mettre PemitRootLogin sur false dans ce cas. Ce qui est une bonne mesure de sécurité de toute façon.
Je ne vois pas l'utilité de ta configuration. Pourquoi veux-tu bloquer l'accès sftp à root?
#5 Le 29/08/2013, à 14:04
- orelv
Re : Configuration ssh et sftp (limité à un dossier)
Je voulais bloquer le sftp à root car pour tous les users (y compris root) le sftp doit se limiter à un répertoire.
Mais en fait, je crois que je vais partir sur autre chose.
C'est vrai que ce serait mieux de forcer le "PermitRootLogin" à no comme ça on ne peut plus faire ni de ssh ni de sftp avec root.
Ce qu'il faudrait faire, c'est avoir un autre user qui puisse faire du ssh et du sftp mais limité à un répertoire.
J'ai donc une nouvelle question:
- Est-il possible de créer un user qui peut faire du ssh et du sftp (tous les deux, ou uniquement le sftp, limité à un dossier) ?
ou autre solution:
- Est-il possible de créer un user dont l'accès sur la machine se limite à un répertoire (sans parler de connexion à distance) ?
Merci d'avance
Hors ligne
#6 Le 30/08/2013, à 15:13
- bruno
Re : Configuration ssh et sftp (limité à un dossier)
Avec ta configuration si tu crées un utilisateur sans shell (shell /bin/false) et que tu le mets dans le groupe sftp_user il aura un accès sftp au dossier spécifié mais n'aura pas d'accès ssh.
Pour créer un utilisateur limité à un dossier (chroot) avec accès sftp et ssh c'est un peu plus compliqué. Une petite recherche sur ssh+chroot devrait te donner accès à de nombreux tutos.
Dernière modification par bruno (Le 30/08/2013, à 15:13)
#7 Le 30/08/2013, à 18:41
- classdroogies
Re : Configuration ssh et sftp (limité à un dossier)
Hors ligne
Pages : 1