Sécurité : Un pas de plus vers la démocratisation du sftp
Posté par TeXitoi (Jabber id, page perso, ). Modéré le 22 février 2008.
Combiné au serveur sftp intégré à sshd, il est possible de limiter l'utilisateur à une partie du système de fichier ne possédant aucun binaire, aucune bibliothèque, ni aucun node, comme ça aurait du être le cas si le server sftp n'était pas intégré à sshd. Par exemple, les hébergeurs web pourront maintenant, grâce à cette fonctionnalité, remplacer ftp par sftp.
![[en]](../images/en.png)
Le commit (515 hits)-
La nouvelle chez Undeadly (330 hits)
![[fr]](../images/fr.png)
Les lutins sont prem's (954 hits)
> Lire la dépêche (51 commentaires, moyenne: 2,9).
Vous avez demandé le commentaire #907163.
Run by 
Cette page a été générée par Templeet en 0.047s (dont 0.0057 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
C'est déja possible avec scponly
Il y a une "extention" qui est en fait un shell, elle permet de forcer les utilisateurs à ne faire que du scp ou du sftp, mais aussi de créer des chroot (avec juste ce qu'il faut de binaire pour que scponly fonctionne).
Voir http://sublimation.org/scponly/wiki/index.php/Main_Page pour plus d'information.
Je l'utilise pas mal car j'aime pas donner des shells a qui doit juste deposer/effacer/... des fichiers dans les répertoire applicatifs des serveurs.
Tant mieux si cette fonctionnalité est directement intégrée a OpenSSH, ce sera plus propre.
[^]Re: C'est déja possible avec scponly
C'est exactement pour remplacer ce genre de hack, plus ou moins maison, plus ou moins propre (pour te citer), que cette fonctionnalité vient d'être ajoutée :) enjoy !
[^]Re: C'est déja possible avec scponly
LA différence avec scponly ou rssh, c'est que tu n'as pas besoin de maintenir les binaires du chroot, mise à jours de sécurité, etc car ils ne sont pas requis.