Forum Linux.débutant Serveur web : sftp

Posté par Thom (site web personnel) le 28 octobre 2013 à 13:22. Licence CC By‑SA.

Étiquettes :

oct.

2013

Bonjour à tous,

J'ai besoin d'un petit coup de main pour monter mon serveur.

Pour résumer, j'ai une part de serveur chez gandi.net. J'ai installé une distribution Ubuntu 12.10 (64bits). J'ai configuré SSH pour m'y connecter assez proprement depuis chez moi :

Pour résumé :

Je me suis sert de mon utilisateur de base : Thom. Je l'ai mis dans un groupe sshusers auquel j'ai autorisé de faire du ssh.

/etc/ssh/sshd_config

# Changement du port par défaut
Port 986

# Authentification:
LoginGraceTime 30
PermitRootLogin  no
StrictModes yes
AllowGroups sshusers

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys
MaxAuthTries 2
MaxStartups 2

Ça été ma première étape, celle qui a marché.

Ensuite, vient un peu mon problème.

J'aimerai me crée un petit espace web pour déposer les fichiers d'un site statique. Je n'ai pas besoin d'un vrai serveur web : pas d'apache, pas de base de donnée… mais seulement d'un petit espace web.

Du coup, je m’intéresse au protocole FTP. En feuilletant un peu, je me dis que ça serait mieux que j'installe directement un serveur SFTP : apparemment moins lourd, pas forcement besoin d'installer de gros logiciel comme proftpd… mais c'est là que ça bloque…
Pas moyen de trouver un tuto qui marche chez moi:

Dans ce que j'en comprends, je n'ai rien à installer d'autre à la base.
Mais il faut que je me crée un groupe sftpusers dans lequel je met mon utilisateur et que je modifie un peu mon /etc/ssh/sshd_config :

Subsystem sftp internal-sftp

Match Group sftpusers
       ChrootDirectory /var/www/
       AllowTCPForwarding no
       X11Forwarding no
       ForceCommand internal-sftp

Mais, voilà, à chaque fois que je fais ça, je ne peux plus me connecter en ssh sur le serveur…

Auriez-vous des pistes, des lectures, des conseils ?
Merci !

# port ssh par défaut

Posté par nono14 (site web personnel) le 28 octobre 2013 à 13:33. Évalué à 2.

as-tu pensé à le renseigner à la tentative de connexion ?

Système - Réseau - Sécurité Open Source
- [^] # Re: port ssh par défaut
  
  Posté par Thom (site web personnel) le 28 octobre 2013 à 13:38. Évalué à 1.
  Ouep :
```
ssh thom@mon_serv -p 986
sftp -P 986 thom@9mon_serv
```
  J'arrive à me connecter au départ en ssh sans problème… mais c'est une fois que je fais les modifications du sssd_config pour incorporer les modification pour le serveur sftp que je ne peux plus me connecter.
  
  La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick
  - [^] # Re: port ssh par défaut
    
    Posté par 🚲 Tanguy Ortolo (site web personnel) le 28 octobre 2013 à 13:40. Évalué à 5.
    
    Ben c'est normal ça : si tu règles OpenSSH pour n'autoriser un utilisateur qu'à faire du SFTP et plus de SSH, il ne peut plus faire de SSH hein.
# diagnostiquer

Posté par Krunch (site web personnel) le 28 octobre 2013 à 15:49. Évalué à 2.

Quand « ça marche pas », en général il y a un fichier de log quelque part qui donne des indices. Bien souvent OpenSSH est configuré pour logguer ce qu'il fait dans un ou plusieurs fichiers. Tu peux aussi le lancer en mode de debug où il va tout afficher sur la sortie standard.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# restrictions

Posté par Sébastien Maccagnoni (site web personnel) le 28 octobre 2013 à 16:13. Évalué à 2.
```
Subsystem sftp internal-sftp

Match Group sftpusers
       ChrootDirectory /var/www/
       AllowTCPForwarding no
       X11Forwarding no
       ForceCommand internal-sftp
```
Mais, voilà, à chaque fois que je fais ça, je ne peux plus me connecter en ssh sur le serveur…
Là, tu dis que "les gens qui sont dans le groupe sftpusers n'ont le droit qu'à utiliser le serveur sftp interne".
Du coup, tu interdis à ton utilisateur, que tu places dans ce groupe, de se connecter en SSH.

Deux possibilités :
- soit tu veux limiter comme tu l'indiques ici et tu dois utiliser un/des autre(s) nom(s) d'utilisateur(s)
- soit tu ne mets rien de tout ça et tu te connectes simplement en SFTP à ton compte, de la même manière qu'en SSH
- [^] # Re: restrictions
  
  Posté par Thom (site web personnel) le 28 octobre 2013 à 18:10. Évalué à 1.
  
  Merci pour les indications.
  
  Je suis resté sur ssh.
  Et pour le transfert de fichier, je me suis rabattu sur rsync qui fait l'affaire.
  
  Mon principal souci n'avait rien à voir mais le serveur web nginx était mal configurer…
  
  La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick
  - [^] # Re: restrictions
    
    Posté par podoc le 29 octobre 2013 à 16:49. Évalué à 2.
    
    Je vais certainement dire une bêtise (je ne suis qu'un simple développeur).Le peu de fois où j'ai eu à configurer ssh. Je n'ai rien eu à faire pour autoriser le transfert sftp.
    
    Du coup, il me semblait qu'à partir du moment où on pouvait faire du ssh, on pouvait automatiquement faire du sftp.
    
    As-tu essayé directement de faire du sftp ?
    - [^] # Re: restrictions
      
      Posté par Ambroise le 29 octobre 2013 à 23:37. Évalué à 2.
      ce n’est pas une bêtise. la commande suivante
      
      Subsystem sftp internal-sftp
      
      suffit pour activer le sftp pour tous les utilisateurs.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.