Forum Linux.général [Besoin d'aide] Accès SFTP limité (rssh, chroot, etc.)

Posté par .
Tags :
1
13
oct.
2011

Bonjour,

J'ai mis en place un serveur SFTP qui fonctionne très bien. J'ai créer 2 utilisateurs (user1 et user2) qui ont chacun un répertoire dans /home. Leur accès est limité à scp et sftp grâce à rssh.

Ce que je souhaite faire, c'est que user1 et user2 n'accède qu'à leur zone, en lecture/écriture et c'est tout. J'ai donc d'abord pensé à faire un chroot. N'ayant jamais fais ça, j'ai commencé à chercher des tutos et lire le man (brièvement je l'avoue). J'ai longtemps entendu parler de chroot, je pensais que c'était une chose assez simple mais en fait il faut copier initialement des fichiers (/bin /usr etc) dans la zone chrootée.

Je trouve ça assez barbare non ?
Quid des mises à jours (les binaires dans le jail ne seront jamais mis à jour par le système de paquets) ?
Bref, est-ce réellement nécessaire pour simplement faire du dépôt de données ?
Existe-t-il des méthodes "automatisée" pour le faire proprement (sur CentOS) ?
Il y a t-il plus simple pour faire ce que je veux ?

Merci de votre attention.

  • # SFTP

    Posté par (page perso) . Évalué à 9.

    OpenSSH permet, si tu te limites à SFTP, de chrooter quelqu'un sans problème.

    http://formation-debian.via.ecp.fr/ftp.html#id362551

    • [^] # Re: SFTP

      Posté par (page perso) . Évalué à 1.

      A noter que cela dépend de la version d'OpenSSH. Les versions livrées dans CentOS 5 et inférieures ne le permettent pas. En revanche, la version d'OpenSSH livrée dans CentOS 6 le permet. De mémoire, il faut au moins OpenSSH version 5.0. Si ça peut aider : les différentes versions d'OpenSSH dans CentOS sur Distrowatch

      • [^] # Re: SFTP

        Posté par . Évalué à 1.

        Pour mon cas c'est sur CentOS 6 donc c'est bon.

    • [^] # Re: SFTP

      Posté par . Évalué à 1.

      Super, ça à l'air de me vouloir faire ce que je veux. Je n'ai pas eu le temps de tester ça cette semaine, je verrais ça en début de semaine prochaine.

      Par contre, est-ce limité à SFTP ? Pas de SCP possible ?

      • [^] # Re: SFTP

        Posté par (page perso) . Évalué à 2.

        Pas à ma connaissance. Si tu veux utiliser SCP, rsync, et autres moyens de transferts de fichiers encapsulés dans SSH, il te faudra installer un outil supplémentaire comme scponly, MySecureShell ou rssh.

        Pourquoi aurais-tu besoin de SCP ? SFTP ne couvre-t-il pas déjà tous les besoins ?

        • [^] # Re: SFTP

          Posté par . Évalué à 1.

          Ok, mais en fait après réflexion oui SFTP devrait suffire. C'est juste que j'ai des clients qui utiliseront probablement WinSCP, mais en fait WinSCP est aussi un client SFTP, donc pas besoin de SCP en particulier effectivement.

  • # Mysecureshell

    Posté par (page perso) . Évalué à 1.

    Jette un coup d'œil du côté de Mysecureshell.

    C'est plutôt bien fait et simple à mettre en place (remplacer le shell login par mysecureshell et c'est tout ). La configuration se fait très simplement par la suite.

    Le seul bémol est qu'il est rarement empaqueté dans nos distributions…

  • # Encore un autre choix

    Posté par (page perso) . Évalué à 1.

    proftpd avec le module sftp

    http://www.proftpd.org/docs/contrib/mod_sftp.html

    Mais au vu des progrès récents fait dans Openssh 5.9, le seul pb de création du device de log pour logguer les accès même en chroot semble n'être qu'un mauvais souvenir...

    The pre-authentication sshd(8) privilege separation slave process
    now logs via a socket shared with the master process, avoiding the
    need to maintain /dev/log inside the chroot.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.