Le home de chaque user est monté via autofs qui va cherche le profile sur le serveur nfs.
La gestion des sftp par authentification AD n'était pas prévu à la base.
Avec notre infra actuelle nous souhaitons si c'est faisable sans changer l'existant.
Pour résumer de l'état actuel
1-Nous avons un Dockerfile qui est appelé par le build
1-1 Installation de tout les paquets
1-2 BDD installée dans /var/lib/mysql qui n'est pas montée en NFS pour le moment
1-3 copie du script qui check si file existe dans /var/lib/mysql si c'est pas le copie des éléments de
/var/lib/mysql.old vers /var/lib/mysql
2-Montage des volumes NFS sur /var/lib/mysql
3-Lancement du script pour contrôle du contenu NFS dans /var/lib/mysql
3-1 Démarrage de mysql
L'idéal serait de monter le volume NFS avant l'installation de la BDD pour ne pas passer par l'étape intermédiaire via le script mysql-data-install.sh.
Mais le problème c'est que la command build est exécutée en premier même en modifiant l'ordre dans le fichier docker-compose.yml
J'ai appliqué une méthode qui passe par une étape intermédiaire qui (je pense) peut être amélioré concernant les datas de la BDD.
En effet ne pouvant pas monter le volume nfs avant l'exécution (pour le moment)lors de l'appel du docker-compose.yml qui fait appel au Dockerfile. Nous sommes obligés de copier l'ensemble des éléments de /var/lib/mysql vers /var/lib/mysql.ori par exemple.
Ensuite dans docker-compose.yml nous faisons appel à un script qui va vérifier si /var/lib/mysql qui sera un montage; dans le cas contraire une copie des fichiers de /var/lib/mysql.ori seront déplacés vers /var/lib/mysql
Et enfin nous avons notre docker automatisé avec la BDD sur un montage NFS.
Est-il possible de monter les volumes avant l'exécution du Dockerfile pour éviter ce type de manipulation?
Le script mysql-data-install.sh effectue l'action suivante:
-Une vérification du /var/lib/mysql/ si il existe des fichiers.
-Dans le cas où des fichiers sont inexistants une copie de mysql.ori anciennement de mysql sera copié dans le montage /var/lib/mysql/
-Sinon aucune action n'est effectué.
Tout fonctionne bien sauf que le docker ne reste pas actif et nous avons le message suivant dans
#docker-compose logs "nomdudocker"
compose_testcompose_1 exited with code 0
C'est le cas le mysql est dans un docker à part mais je ne souhaite pas que les données de la BDD soient dans le docker mais dans un volume montée en NFS.
Enfin nous avons un autre docker apache dont les images ne doivent pas être stockées sur le docker non plus car trop volumineuses. Nous souhaitons aussi utilisé du NFS.
Même avec un fichier dockercompose.yml nous n'avons pas de configurations qui montent les NFS de façon automatisés lors du déploiement du docker.
Je vais tout de même essayer la solution qui ne me plaît pas forcément "docker-volume-netshare" car cela signifie que si nous souhaitons déployer l'automatisation de l'installation nous serons pénalisé (dépendance avec le docker docker-volume-netshare)
Merci mais l'installation est a effectuer sur le docker où le host (socle) qui héberge le docker?
Car nous avons le message suivant sur le docker "ln: failed to create symbolic link '/run/sendsigs.omit.d/rpcbind': No such file or directory" lors du démarrage du service rpcbind.
j'ai appliqué ta méthode mais j'ai toujours le même résultat
mount.nfs: rpc.statd is not running but is required for remote locking.
mount.nfs: Either use '-o nolock' to keep locks local, or start statd.
mount.nfs: an incorrect mount option was specified
J'ai basculé sur le conteneur et effectué un telnet IP NFS=> OK.
j'ai testé le montage manuellement du volume avec l'option '-o nolock' sans succès.
Vous trouverez les étapes pour la configuration de la connexion ssh avec le home monté en NFS. Les connexion seront autorisées pour certains utilisateur. Nous verront cela dans les explications
La configuration fonctionne sur Debian 7 et 8.
Resolv.conf
vim /etc/resolv.conf
search 'mondomaine.fr'
nameserver 'ipseveurdns'
vi /etc/krb5.conf
[libdefaults]default_realm='mondomaine.fr'ticket_lifetime= 24000
fowardable=trueproxiable=truedns_fallback= no
[realms]'mondomaine.fr'={#si vous avez plusieurs DC kdc= dc01.'mondomaine.fr'kdc= dc02.'mondomaine.fr'kdc= dc03.'mondomaine.fr'admin_server='mondomaine.fr'default_domain='mondomaine.fr'}[domain_realm]
.'mondomaine.fr'='mondomaine.fr''mondomaine.fr'='mondomaine.fr'
Ticket
kinit Administrateur@'mondomaine.fr'
Password for Administrateur@'mondomaine.fr'
Afficher le ticket
klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrateur@'mondomaine.fr'
Valid starting Expires Service principal
27/06/2016 16:59:59 27/06/2016 23:39:41 krbtgt/'mondomaine.fr'@'mondomaine.fr'
Samba
Paquets
apt-get install samba winbind libnss-winbind
nsswitch.conf
vim /etc/nsswitch.conf
passwd:compat winbind
group:compat winbind
shadow:compat winbind
Configuration
vi /etc/samba/smb.conf
[global]
netbios name="NOM SRV MOINS DE 15 CHARACTERES"security= ADS
realm='mondomaine.fr'workgroup='masociete'
winbind separator= /
idmap uid= 10000-20000
idmap gid= 10000-20000
winbind enum users= yes
winbind enum groups= yes
template home dir= /home/%D/%U
template shell= /bin/bash
client use spnego= yes
winbind use default domain= yes
domain master= no
local master= no
preferred master= no
os level= 0
/etc/init.d/samba restart
Intégration AD
net join ads -U Administrateur -S 'DC'.'mondomaine.fr'
service winbind restart
Authentification (PAM)
Les configurations concernant l'authentification doivent être réalisées avec précautions.
Paquets
#apt-get install libpam-winbind libpam-krb5
Configuration
Tous les fichiers doivent être recopié .old par exemple.
Testez sur le second terminal si la connexion ssh en root est toujours UP après la configuration
Dans mon illustration seul les DEV et le Support peuvent se connecter en SSH
pour connecter l’ID d’un groupe il faut faire la commande suivante
wbinfo -n « le nom du groupe »
Utilisez aussi la commande id « user » pour lister les groupes d’un user « type » je vous laisse regarder les différentes option de la commande wbinfo
vim common-auth
#users locaux
auth [success=3default=ignore] pam_unix.so nullok_secure try_first_pass
#groupe DEV
auth [success=2default=ignore] pam_winbind.so require_membership_of=S-1-5-21-535638378-3513273978-3571618535-3921 krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
#groupe support
auth [success=1default=ignore] pam_winbind.so require_membership_of=S-1-5-21-535638378-3513273978-3571618535-3169 krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;# this avoids us returning an error just because nothing sets a success code# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)# end of pam-auth-update config
vim common-account
## /etc/pam.d/common-account - authorization settings common to all services## This file is included from other service-specific PAM config files,# and should contain a list of the authorization modules that define# the central access policy for use on the system. The default is to# only deny service to users whose accounts are expired in /etc/shadow.## As of pam 1.0.1-6, this file is managed by pam-auth-update by default.# To take advantage of this, it is recommended that you configure any# local modules either before or after the default block, and use# pam-auth-update to manage selection of other modules. See# pam-auth-update(8) for details.## here are the per-package modules (the "Primary" block)
account [success=2new_authtok_reqd=donedefault=ignore] pam_unix.so
account [success=1new_authtok_reqd=donedefault=ignore] pam_winbind.so
# here's the fallback if no module succeeds
account requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;# this avoids us returning an error just because nothing sets a success code# since the modules above will each just jump around
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)# end of pam-auth-update config#vim common-session## /etc/pam.d/common-session - session-related modules common to all services## This file is included from other service-specific PAM config files,# and should contain a list of modules that define tasks to be performed# at the start and end of sessions of *any* kind (both interactive and# non-interactive).## As of pam 1.0.1-6, this file is managed by pam-auth-update by default.# To take advantage of this, it is recommended that you configure any# local modules either before or after the default block, and use# pam-auth-update to manage selection of other modules. See# pam-auth-update(8) for details.# here are the per-package modules (the "Primary" block)
session [default=1] pam_permit.so
# here's the fallback if no module succeeds
session requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;# this avoids us returning an error just because nothing sets a success code# since the modules above will each just jump around
session required pam_permit.so
# and here are more per-package modules (the "Additional" block)
session required pam_unix.so
# end of pam-auth-update config##add
session optional pam_winbind.so
session optional pam_mkhomedir.so skel=/etc/skel umask=077
##end add
Sudo
Seuls les utilisateurs membres du groupe "Team Support" seront autorisés à passer en root
apt-get install sudo
visudo
#autorisation des users du group Support
%team\ support ALL=(ALL) ALL
Nous allons créer le home du user
Sur le serveur lnx-gw-srv
cd /mnt/nfs/homes
cp -rvf templateuser "user nom AD"
Paquets (client NFS)
apt-get install autofs
Configuration
Client NFS
vim /etc/auto.master
ajoutez la ligne suivante
/home/'masociete' /etc/auto.home --timeout=600
vim /etc/auto.home
insérez
* -fstype=nfs,soft,intr,rsize=8192,wsize=8192,nosuid,tcp ‘monserveurNFS':/mnt/nfs/homes/&
service autofs restart
Configuration pam.d
Modifiez le fichier common-session
vim /etc/pam.d/common-session ## /etc/pam.d/common-session - session-related modules common to all services## This file is included from other service-specific PAM config files,# and should contain a list of modules that define tasks to be performed# at the start and end of sessions of *any* kind (both interactive and# non-interactive).## As of pam 1.0.1-6, this file is managed by pam-auth-update by default.# To take advantage of this, it is recommended that you configure any# local modules either before or after the default block, and use# pam-auth-update to manage selection of other modules. See# pam-auth-update(8) for details.# here are the per-package modules (the "Primary" block)
session [default=1] pam_permit.so
# here's the fallback if no module succeeds
session requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;# this avoids us returning an error just because nothing sets a success code# since the modules above will each just jump around
session required pam_permit.so
# and here are more per-package modules (the "Additional" block)
session required pam_unix.so
# end of pam-auth-update config##add test
session optional pam_winbind.so
session optional pam_mkhomedir.so
##end test
Testez la connexion
PS:
Si vous ne souhaitez pas de montage home, modifiez le fichier common-session
remplacez
légende lorsque le prompt est en # =>root si $ =>user (test)
Vous trouverez les étapes pour chrooter l'utilisateur en ssh. (Nous nous sommes largement inspiré du site suivant: https://debian-facile.org/viewtopic.php?id=9607)
1)installation du packet bash-static
#apt-get install bash-static
2)Pour faciliter l'administration nous allons créer un groupe sshchroot
#addgroup sshchroot
3)Création de l'utilisateur test
#adduser test#usermod -d / test#usermod -s /bin/bash-static#adduser test sshchroot
4)mettre l'utilisateur root propriétaire du home de test sinon la connexion ssh sera refusée
#chown root: /home/
5)petit script qui vous activera des commandes supplémentaire pour le user test
6)Editez le fichier de conf ssh pour enfin chrooter la connexion
#vim /etc/sshd_config
Match Group test#%u permet de se placer automatiquement dans le home du user
ChrootDirectory /home/%u
AllowTCPForwarding no
X11Forwarding no
7)Petit restart du service ssh
# service ssh reload
(on ne sait jamais)#service ssh restart
8)Test avec le user test
I have no name!@x.x.x.x:/$
I have no name!@x.x.x.x:/$ ls -l
total 28
drwxrwxr-x 2010034096 Mar 15 15:35 bin
-rwxr-xr-x 101003886 Mar 15 15:21 create.sh
drwxr-xr-x 2010034096 Mar 15 15:23 dev
drwxr-xr-x 2100110034096 Mar 15 15:48 lala
drwxr-xr-x 4010034096 Mar 15 15:23 lib
drwxr-xr-x 2010034096 Mar 15 15:23 lib64
drwxr-xr-x 4010034096 Mar 15 15:23 usr
9) Je ne peux pas editez dans home de test
C'est normal seul root doit être propriétaire. Les droits plus permissifs sont les suivants:
chmod 755 si vous donnez des trop permissifs le ssh chrooter ne fonctionnera pas. Dans ce cas créer un répertoire dont l'utilisateur a full access.
exemple:
test@x.x.x.x's password:
debug1: Authentication succeeded (password).
Authenticated to x.x.x.x ([x.x.x.x]:22).x.x.x.x
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG= fr_FR.UTF-8
Could not chdir to home directory /var/www/: No such file or directory
/var/www/bin/bash: No such file or directory
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
debug1: channel 0: free: client-session, nchannels 1
Connection to x.x.x.x closed.
Transferred: sent 3680, received 1772 bytes, in 0.0 seconds
Bytes per second: sent 255415.6, received 122988.2
debug1: Exit status 1
Nous avons ajouté le répertoire /bin/bash dans /var/www/bin/bash
Sa ne fonctionne toujours pas.
ssh -v test@server:
...
..
.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Tue Mar 15 09:15:12 2016 from x.x.x.x
Could not chdir to home directory /var/www/test/: No such file or directory
/var/www/bin/bash: No such file or directory
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
debug1: channel 0: free: client-session, nchannels 1
Connection to x.x.x.x closed.
Transferred: sent 3680, received 2180 bytes, in 0.0 seconds
Bytes per second: sent 215937.6, received 127919.5
debug1: Exit status 1
[^] # Re: bourrin (résolu)
Posté par hakhak91 . En réponse au message ldap trouver le guid max dans l'annuaire (résolu). Évalué à 1. Dernière modification le 20 novembre 2018 à 15:02.
Merci
C'était ce que j'avais avant de poster ma solution
Voici la commande
j'obtiens la valeur max puis dans mon script je l'incrémente de +1.
[^] # Re: LDAP est ton ami
Posté par hakhak91 . En réponse au message sftp active directory. Évalué à 1.
Merci pour la réponse mais nous souhaitons que les utilisateurs arrivent tous sur le même répertoire.
Dans le fichier de conf autofs chaque utilsateur créer son home qui est un montage nfs.
Cette directive est définie dans /etc/pam.d/common-session
L'option suivante:
session optional pam_mkhomedir.so
Le home de chaque user est monté via autofs qui va cherche le profile sur le serveur nfs.
La gestion des sftp par authentification AD n'était pas prévu à la base.
Avec notre infra actuelle nous souhaitons si c'est faisable sans changer l'existant.
[^] # Re: docker -v
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 2.
Avec docker compose je peux monter le volume avant l'exécution du reste (Dockerfile).
J'avance encore sur le déploiement et par la suite je mettrai en détail les fichiers de conf.
Merci encore.
[^] # Re: docker -v
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 1.
voici le fichier docker-compose.yml
Pour résumer de l'état actuel
1-Nous avons un Dockerfile qui est appelé par le build
1-1 Installation de tout les paquets
1-2 BDD installée dans /var/lib/mysql qui n'est pas montée en NFS pour le moment
1-3 copie du script qui check si file existe dans /var/lib/mysql si c'est pas le copie des éléments de
/var/lib/mysql.old vers /var/lib/mysql
2-Montage des volumes NFS sur /var/lib/mysql
3-Lancement du script pour contrôle du contenu NFS dans /var/lib/mysql
3-1 Démarrage de mysql
L'idéal serait de monter le volume NFS avant l'installation de la BDD pour ne pas passer par l'étape intermédiaire via le script mysql-data-install.sh.
Mais le problème c'est que la command build est exécutée en premier même en modifiant l'ordre dans le fichier docker-compose.yml
[^] # Re: docker -v
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 2.
Avant de clôturer le post.
J'ai appliqué une méthode qui passe par une étape intermédiaire qui (je pense) peut être amélioré concernant les datas de la BDD.
En effet ne pouvant pas monter le volume nfs avant l'exécution (pour le moment)lors de l'appel du docker-compose.yml qui fait appel au Dockerfile. Nous sommes obligés de copier l'ensemble des éléments de /var/lib/mysql vers /var/lib/mysql.ori par exemple.
Ensuite dans docker-compose.yml nous faisons appel à un script qui va vérifier si /var/lib/mysql qui sera un montage; dans le cas contraire une copie des fichiers de /var/lib/mysql.ori seront déplacés vers /var/lib/mysql
Et enfin nous avons notre docker automatisé avec la BDD sur un montage NFS.
Est-il possible de monter les volumes avant l'exécution du Dockerfile pour éviter ce type de manipulation?
[^] # Re: docker -v
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 2.
En effet j'ai trouvé la solution en ajout dans le Dockerfile la ligne suivante à la dernière ligne:
ENTRYPOINT /bin/sh
[^] # Re: docker -v
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 2.
Bonjour,
petit up
j'ai testé avec docker-compose. En effet les montages sont mieux gérés. Voici mon fichier
Dans engine j'ai mis le Dockerfile.
Le script mysql-data-install.sh effectue l'action suivante:
-Une vérification du /var/lib/mysql/ si il existe des fichiers.
-Dans le cas où des fichiers sont inexistants une copie de mysql.ori anciennement de mysql sera copié dans le montage /var/lib/mysql/
-Sinon aucune action n'est effectué.
Tout fonctionne bien sauf que le docker ne reste pas actif et nous avons le message suivant dans
extrait de mysql-data-install.sh
Après avoir effectué plusieurs recherches je n'arrive pas à résoudre le problème.
En revanche je peux faire
docker-compose run testcompose
Mais lorsque que je quitte le conteneur il est automatiquement arrêté (ce qui est normal option run).
[^] # Re: docker -v
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 2.
C'est le cas le mysql est dans un docker à part mais je ne souhaite pas que les données de la BDD soient dans le docker mais dans un volume montée en NFS.
Enfin nous avons un autre docker apache dont les images ne doivent pas être stockées sur le docker non plus car trop volumineuses. Nous souhaitons aussi utilisé du NFS.
Même avec un fichier dockercompose.yml nous n'avons pas de configurations qui montent les NFS de façon automatisés lors du déploiement du docker.
Je vais tout de même essayer la solution qui ne me plaît pas forcément "docker-volume-netshare" car cela signifie que si nous souhaitons déployer l'automatisation de l'installation nous serons pénalisé (dépendance avec le docker docker-volume-netshare)
Merci encore pour les idées.
[^] # Re: docker -v
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 1.
Merci mais l'installation est a effectuer sur le docker où le host (socle) qui héberge le docker?
Car nous avons le message suivant sur le docker "ln: failed to create symbolic link '/run/sendsigs.omit.d/rpcbind': No such file or directory" lors du démarrage du service rpcbind.
[^] # Re: docker -v
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 1.
Merci
j'ai appliqué ta méthode mais j'ai toujours le même résultat
J'ai basculé sur le conteneur et effectué un telnet IP NFS=> OK.
j'ai testé le montage manuellement du volume avec l'option '-o nolock' sans succès.
[^] # Re: docker -v
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 1.
Bonjour,
Merci mais que veux tu dire par ajout du USER 0 (root)?
Peux tu me donner un exemple stp?
[^] # Re: Créer sa propre image docker
Posté par hakhak91 . En réponse au message Docker montage local/NFS. Évalué à 1.
Bonjour,
merci pour cette réponse.
L'image que nous utilisons et la debian classée" "officielle". Nous avons un problème avec le partage NFS et non le NTFS.
++
# La solution !
Posté par hakhak91 . En réponse au message Montage home autofs nfs winbind (Résolu). Évalué à 1.
J'ai posté un message avec la configuration complète
voir le lien suivant
# Voici la configuration complète (Résolu)
Posté par hakhak91 . En réponse au message AD Samba4 Client LDAP (Résolu). Évalué à 2. Dernière modification le 29 juillet 2016 à 09:35.
Sommaire
Bonjour à tous chose promise chose dû ;-)
Vous trouverez les étapes pour la configuration de la connexion ssh avec le home monté en NFS. Les connexion seront autorisées pour certains utilisateur. Nous verront cela dans les explications
La configuration fonctionne sur Debian 7 et 8.
Resolv.conf
NTP
Paquets
Configuration
ajoutez l'option -u dans
NTPOPTIONS="-u"
démarrage du service… enfin mise à l'heure quoi :
Crontab
Kerberos
Paquets
Configuration
Ticket
Afficher le ticket
Samba
Paquets
nsswitch.conf
Configuration
Intégration AD
Authentification (PAM)
Les configurations concernant l'authentification doivent être réalisées avec précautions.
Paquets
Configuration
Tous les fichiers doivent être recopié .old par exemple.
Testez sur le second terminal si la connexion ssh en root est toujours UP après la configuration
Dans mon illustration seul les DEV et le Support peuvent se connecter en SSH
pour connecter l’ID d’un groupe il faut faire la commande suivante
Utilisez aussi la commande id « user » pour lister les groupes d’un user « type » je vous laisse regarder les différentes option de la commande wbinfo
Sudo
Seuls les utilisateurs membres du groupe "Team Support" seront autorisés à passer en root
Testez la connexion avec un user du domaine
Home itinérant
Serveur NFS
Nous allons créer le home du user
Sur le serveur lnx-gw-srv
Paquets (client NFS)
Configuration
Client NFS
ajoutez la ligne suivante
insérez
Configuration pam.d
Modifiez le fichier common-session
Testez la connexion
PS:
Si vous ne souhaitez pas de montage home, modifiez le fichier common-session
remplacez
par
Un home sera créé en local
[^] # Re: winbind
Posté par hakhak91 . En réponse au message Montage home autofs nfs winbind (Résolu). Évalué à 1.
Merci pour le message
auto-nfs gère très bien les montages et démontages lors connexions/déconnexions des users.
Si nous passons par un samba à quelle niveau sera le montage du home? Ce sera un volume qui est sur le domaine sur un Windows?
Winbind gère les UID mais il incrémente pour chaque connexion l'UID par exemple mais pas de façon synchronisé entre les serveurs Linux.
Le projet n'est pas "mort" mais je ne trouve pas cela "top" de mettre full-access pour chaque répertoire crées sur le NFS pour chaque user.
[^] # Re: SSH -> PAM -> PAM_LDAP -> LDAP/AD
Posté par hakhak91 . En réponse au message AD Samba4 Client LDAP (Résolu). Évalué à 1.
Merci pour vos réponses je test cette semaine.
;-)
[^] # Re: apt-get update
Posté par hakhak91 . En réponse au message Debsecan différence avec le résultat apt-upgrade. Évalué à 1.
Oui c'est vrai mais je l'ai fait ;-)
[^] # Re: apt-get update
Posté par hakhak91 . En réponse au message Debsecan différence avec le résultat apt-upgrade. Évalué à 1.
C'est la première action effectuée.
[^] # Re: Solution
Posté par hakhak91 . En réponse au message Cloisonner utilisateur ssh debian 8 (Résolu). Évalué à 1.
Rectification pour
4)mettre l'utilisateur root propriétaire du home de test sinon la connexion ssh sera refusé
plutôt
# Solution
Posté par hakhak91 . En réponse au message Cloisonner utilisateur ssh debian 8 (Résolu). Évalué à 1.
légende lorsque le prompt est en # =>root si $ =>user (test)
Vous trouverez les étapes pour chrooter l'utilisateur en ssh. (Nous nous sommes largement inspiré du site suivant: https://debian-facile.org/viewtopic.php?id=9607)
1)installation du packet bash-static
2)Pour faciliter l'administration nous allons créer un groupe sshchroot
3)Création de l'utilisateur test
4)mettre l'utilisateur root propriétaire du home de test sinon la connexion ssh sera refusée
5)petit script qui vous activera des commandes supplémentaire pour le user test
Lancez le script dans /home/test
6)Editez le fichier de conf ssh pour enfin chrooter la connexion
7)Petit restart du service ssh
8)Test avec le user test
9) Je ne peux pas editez dans home de test
C'est normal seul root doit être propriétaire. Les droits plus permissifs sont les suivants:
chmod 755 si vous donnez des trop permissifs le ssh chrooter ne fonctionnera pas. Dans ce cas créer un répertoire dont l'utilisateur a full access.
exemple:
Encore merci pour vos propositions, suggestions et votre aide.
[^] # Re: maintenant que j'y penses
Posté par hakhak91 . En réponse au message Cloisonner utilisateur ssh debian 8 (Résolu). Évalué à 1.
J'ai trouvé la solution!!
Je ferai une belle explication demain
MERCI MERCI pour votre aide ;-)
[^] # Re: maintenant que j'y penses
Posté par hakhak91 . En réponse au message Cloisonner utilisateur ssh debian 8 (Résolu). Évalué à 1.
Ma demande n'est pas en rapport avec apache. Mais sa aurait pu être une très bonne idée dans un autre contexte.
[^] # Re: root:root
Posté par hakhak91 . En réponse au message Cloisonner utilisateur ssh debian 8 (Résolu). Évalué à 1.
Je l'ai aussi chrooté sur /var/www
sans succès.
[^] # Re: root:root
Posté par hakhak91 . En réponse au message Cloisonner utilisateur ssh debian 8 (Résolu). Évalué à 1.
Nous avons ajouté le répertoire /bin/bash dans /var/www/bin/bash
Sa ne fonctionne toujours pas.
[^] # Re: more verbose
Posté par hakhak91 . En réponse au message Cloisonner utilisateur ssh debian 8 (Résolu). Évalué à 1.