bonjour,
je souhaitais monter un petit serveur sftp. j'ai vu sur le net qu'avec openssl c'etait facile. j'ai donc créé un user, puis j'ai essayé de me connecter en sftp avec filezilla ca fonctionne. le soucis c'est que je peux me ballader partout. j'ai trouvé ce petit tuto pour chrooter mon user
http://smhteam.info/wiki/index.linux.php5?wiki=ChrooterUnUti(...)
si je me connecte en console, en ssh ca fonctionne. je suis bien chrooté tout le tralala. le soucis c'est que maintenant avec filezilla ca ne fonctionne plus (delai d'attente trop long impossible de se connecter au serveur).
y a t il un truc a faire en plus, un truc que j'aurrais oublié ??
Forum Linux.redhat sftp sur redhat el5
26
mar.
2009
# sftp sur redhat el5
Posté par zigfrid75 . Évalué à 1.
petite info suplementaire: pour me connecter en sftp avec filezilla je vais dans le menu "gestion des site" de filezilla je cré une nouvelle connection en utilisant comme "type de serveur" "SFTP - SSH file transfer protocol"
# Pas bon ...
Posté par LaBienPensanceMaTuer . Évalué à 3.
Il te faut donc à tout prix avoir sftp-server dans ton chroot ainsi que toutes ses dépendances.
[^] # Re: Pas bon ...
Posté par zigfrid75 . Évalué à 1.
[^] # Re: Pas bon ...
Posté par zigfrid75 . Évalué à 1.
je suis allé voir un petit peux dans les log genre message deja. j'ai bien un "session opened for user monuser" puis quand du coté client ca dit echeque j'ai un "session closed" dans messages.
dans secure j'ai un "Accepted password for monuser" suivis d'un "subsystem request for sftp" .
# strace/lsof
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source
[^] # Re: strace/lsof
Posté par zigfrid75 . Évalué à 2.
# Le sFTP intégré à OpenSSH ?
Posté par Aefron . Évalué à 4.
Il permet notamment d'interdire le login à un shell, pour certains utilisateurs, par exemple membres d'un groupe, et de ne leur laisser que la possibilité de se connecter pour faire des opérations en sFTP.
Dans le fichier de config (sous Debian, par exemple) "/etc/ssh/sshd_config", tu remplaces :
Subsystem sftp /usr/lib/openssh/sftp-server
par :
Subsystem sftp internal-sftp
Pour matcher qui est restreint au chrooted sFTP, et à la vue de quoi il se limite, par exemple en limitant l'accès pour les utilisateurs membres du groupe "sftponly" à leur "/home/$user", tu rajoutes aussi :
Match group sftponly
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Et hop : ça marche nickel - les utilisateurs membres de ce groupe n'auront accès à rien d'autre que ce qui est dans leur "/home/$user".
Un tuto pus détaillé ici, par exemple : http://www.debian-administration.org/articles/590
Ça évite notamment de se trimballer un chroot complet (avec des binaires et la totale, ce qui est très douteux, si le but est d'améliorer la sécurité), qu'il faudra créer, maintenir, et ce pour autant d'utilisateurs qu'il y en a... : dans le chrooted sFTP d'OpenSSH, seules les données sont accessibles (ça n'a rien à voir avec le chroot traditionnel, qui est une méthode très inefficace pour améliorer la sécurité, puisqu'il se contente généralement de recopier les mêmes binaires que ceux de la racine de l'arborescence ; mêmes binaires soumis aux même failles, en outre) - c'est plus à voir comme des ACL propres pour savoir qui peut accéder à un shell, et qui ne peut faire que des bêtes scp et cie...
[^] # Re: Le sFTP intégré à OpenSSH ?
Posté par zigfrid75 . Évalué à 1.
j'ai testé le petit tuto en question. ca fonctionne po :( . je ne suis pas chrooté du tout. de plus y a un truc que j'ai pas compris, le mec fait un chown root.root sur le repertoire home du user. du coup comment fait on pour y entrer ?
[^] # Re: Le sFTP intégré à OpenSSH ?
Posté par Aefron . Évalué à 2.
Sinon, pour le "chown", cf "The directory in which to chroot() must be owned by root" (ie "Le répertoire dans lequel chrooter doit être la propriété de root")... probablement parce que ssh tourne sous root (bon, ça n'explique pas tout, mais en faisant ça, ça marche chez moi - et en ne le faisant pas, ça ne marche pas [je viens de revérifier sur un compte de test]... peut-être est-ce pour que les utilisateurs ne modifient par leur "~/.ssh"...).
Cela étant, ce n'est qu'un "chown", et pas un "chown -R" : les fichiers à l'intérieur peuvent parfaitement être la propriété de n'importe qui : je m'en sers chez moi pour accéder en écriture à tous les partages de fichiers (NFS n'est que pour la lecture seule de ce qui est commun à tous, dans mon installation), et même si le "/home/$user" est la propriété de root et que les autres ne peuvent le lire directement, ce qui est dedans est parfaitement accessible aux utilisateurs qui se sont logués (ils ne peuvent pas écrire directement dans le "/home/$user", mais j'ai créé des sous-répertoires dont ils sont propriétaires, et ils peuvent y faire ce qu'ils veulent - exemple : "sftp://aefron@mon-serveur/", qui pointe, sur le serveur, sur "/home/aefron", n'est pas accessible à "aefron", mais "sftp://aefron@mon-serveur/mldonkey/", qui pointe, sur le serveur, sur "/home/aefron/mldonkey", l'est parfaitement ;) ).
En outre, je n'ai pas retesté "/usr/lib/openssh/sftp-server" depuis Etch, mais je n'obtenais pas mieux que 1,5Mio/s avec lui, alors que je suis à 7,5Mio/s avec le "internal-sftp" (sur un réseau 100MBps... ce qui fait qu'avec l'overhead du chiffrement, j'ai enfin un sFTP qui exploite le réseau décemment)... bref, je ne reviendrais jamais en arrière (le chroot par user, j'ai donné dans le passé - plus jamais) - encore faut-il un OpenSSH assez récent : certes, certes. Comme je le disais, commence par regarder par là - mais sinon, oui, le "chown root:root" des "/home/$user" est impératif (par contre, en dessous, c'est bon, ils peuvent accéder si tu leur donne le droit - c'est même l'intérêt).
[^] # Re: Le sFTP intégré à OpenSSH ?
Posté par zigfrid75 . Évalué à 2.
en fait si ça fonctionne pas c'est parce que sur la machine ou j'ai fait le test c'est une version 4.3 :(
le serveur sur lequel je voudrait mettre ce truc en place est une version 3.9 :(( c'est une vielle redhat el3
[^] # Re: Le sFTP intégré à OpenSSH ?
Posté par Aefron . Évalué à 2.
Bon, c'est logique, en même temps : RHEL5 est sortie il y a plus de 2 ans (et RHEL3, il y a plus de 5 ans), et on ne peut ipso facto pas avoir le bleeding-edge et la stabilité des versions...
... sinon, si tu as un serveur qui supporte les conteneurs (VServer, OpenVZ), ou autre forme de virtualisation, une petite Debian Lenny (qui devrait être la version Stable de Debian pendant encore 2 ans, et qui sera supportée encore un an de plus), en attendant RHEL6, pour dans un an, ça peut le faire...
Sinon, bah, bonne bourre avec les chroots à l'ancienne :p
[^] # Re: Le sFTP intégré à OpenSSH ?
Posté par zigfrid75 . Évalué à 1.
je vais chercher encore un peux , mais je ne suis pas trop obtimiste sur ce coup la.
il ne doit pas manquer grand chose dans mon affaire car avec une connexion ssh tout est good, le chrootage fonctionne tout ca. par contre en sftp j'ai pas de connexion. enfin d'apres ce que je vo dans secure j'ai bien une connexion de faite mais j'ai pas de listage du repertoire dans filezilla ou d'invite en ligne de commande.
bref...en tout cas merci beaucoup
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.