Forum Linux.général SSH et limitation d'accès.

Posté par  .
Étiquettes : aucune
0
11
sept.
2005
Bonjour,

Je voudrais qu'un utilisateur exterieur accède à mon serveur ssh par internet.
Mais, je voudrais que son compte soit confiné et qu'il ne puisse pas se promener dans l'arborecence et donc sur mon DD.

Comment faire pour limiter ce USER, à l'accès, la lecture, l'ecriture sur son compte ?

Merci.

  • # Solutions

    Posté par  (site web personnel) . Évalué à 1.

    Je vois plusieurs solutions, mais rien de simple :
    - lui interdire l'accès à toute l'arborescence avec les permissions Unix (quasi irréalisable)
    - faire tourner le ssh dans un chroot (mais peut-être que du coup il ne pourras plus faire ce que tu veux qu'il fasse)
    - lui mettre un shell très restrictif (je ne sais pas si ça existe vraiment, il faudras donc peut-être le programmer toi-même)

    • [^] # Re: Solutions

      Posté par  . Évalué à 2.

      - lui mettre un shell très restrictif (je ne sais pas si ça existe vraiment, il faudras donc peut-être le programmer toi-même)

      ScpOnly :
      http://www.sublimation.org/scponly/(...) et en paquet debian.
      Permet en plus de chrooter, et donc restreindre l'arborescence visible par cet utilisateur.

      Il ne pourra plus exécuter de programme, mais je suppose que ce n'était pour faire que du transfert de fichier..

      • [^] # Re: Solutions

        Posté par  (site web personnel) . Évalué à 2.

        Il y a aussi rssh qui est lui-aussi un shell restreint ne permettant que les commandes scp, sftp, cvs, rsync et rdist.

        Ce qui est bien avec ce shell est que l'on peut configurer les commandes acceptées. Ce qui manque est que la liste des commandes est paramétrées en dur. J'aurais bien rajouté unison à cette liste.

      • [^] # Re: Solutions

        Posté par  (site web personnel) . Évalué à 1.

        Déjà un bash avec le fichier .bash_profile appartenant à root (mais en s'arrangeant pour que l'utilisateur puisse l'éxécuter) contenant un set -r

  • # pam_chroot

    Posté par  . Évalué à 1.

    Il y a un module pam_chroot pour PAM, qui te permet de chrooter un utilisateur. Evidemment, tu devras recréer un petit système avec les binaires nécessaires à ton utilisateur. Tu devras aussi désactiver la séparation des privilèges dans sshd pour lui permettre d'effectuer le chroot.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.