Forum Linux.redhat Aide création compte ftp

Posté par  .
Étiquettes : aucune
0
8
oct.
2007
Bonjour,
J'ai un serveur web et j'ai créé un script pour que les utilisateurs puissent se créé un compte ftp automatiquement.

Sur le serveur il y a égallement un serveur ssh.

Donc voila , je veux que les utilisateurs aient accès au serveurs ftp mais pas au serveurs ssh

En d'autre mot comment empecher un utilisateur de se connecter a distance ssh sur mon serveurs ?

J'ai essayer d'attribué un shell fake "/bin/nologin" ceci fonctionne parfaitement , mais du coup l'utilisateur ne peut plus se connecter via FTP ... C'est con il faut il shell valide pour que ftp fonctionne... ça me pose un gros probleme de sécurité les utilisateurs peuvent se balader dans mon serveurs et j'aimerais mieu évité....



Voila la commande que j'utilise ça fonctionne mais l'accès au ssh fonctionne égallement:

/usr/sbin/useradd utilisateur -d /home/utilisateur -m -s /bin/bash


Sinon bloque l'accès par ssh mais du coup le ftp fonctionne plus...

/usr/sbin/useradd utilisateur -d /home/utilisateur -m -s /bin/nologin





Après plusieurs heures de recherche google je trouve toujours pas alors je me permet de vous demander de l'aide :-/

Ou tout simplement comment faire pour que je sois le seul ayant accès au ssh , c'est pas pratique de filtré les IP puisque mon ip est pas fixe :-/

Merci a tous
  • # .

    Posté par  (site web personnel) . Évalué à 5.

    >Ou tout simplement comment faire pour que je sois le seul ayant accès au ssh
    Dans sshd_config, tu peut autoriser/refuser des utilisateurs/groupes avec AllowGroups, DenyGroups ... Voir man sshd_config (sous debian, peut être que les fichiers red hat n'on pas le même nom)

    Adhérer à l'April, ça vous tente ?

    • [^] # Re: .

      Posté par  (site web personnel) . Évalué à 3.

      Ha j'oublais, il existe aussi des serveurs ftp qui permettent d'inscrire des utilisateurs virtuels (vsftpd, pure-ftpd, ...), mais ça te fera du script à modifier ;-)

      Adhérer à l'April, ça vous tente ?

  • # proftpd

    Posté par  . Évalué à 3.

    avec le daemon proftpd, il y a un option

    # Users require a valid shell listed in /etc/shells to login.
    # Use this directive to release that constrain.
    # RequireValidShells off


    cela permet d'autoriser le ftp meme si les utilisateurs ont un shell à false ou non listé dans /etc/shells.

    perso je prefere mettre le shell de l'utilisateur à /bin/false pour bloquer l'acces SSH.
  • # Selon le niveau souhaité

    Posté par  . Évalué à 2.

    Il y a plusieurs solutions à ton problème :

    - Niveau système : voir (x)inetd et /etc/host.allow & /etc/host.deny
    xinetd permet une configuration plus souple qu'inetd à toutes fins utiles
    - Niveau ssh : comme dit précédement, voir sshd_config
    - Niveau ftp : comme dit précédement, voir utilisateurs virtuels (n'existant pas sur le système donc sans accès ssh)

    La solution 3 me semble être celle la plus "locale" (i.e. sans incidence sur le reste du système) donc la plus adaptée à ton problème à mon sens.
  • # pour le nologin

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    "J'ai essayer d'attribué un shell fake "/bin/nologin" ceci fonctionne parfaitement , mais du coup l'utilisateur ne peut plus se connecter via FTP ... C'est con il faut il shell valide pour que ftp fonctionne... ça me pose un gros probleme de sécurité les utilisateurs peuvent se balader dans mon serveurs et j'aimerais mieu évité...."

    Je viens de consulter le /etc/shells d'une CentOS 4, le nologin est : /sbin/nologin
    Et bien sûr, si je fais "file /sbin/nologin", je vois qu'il s'agit d'un exécutable.

    Essaie donc de regarder dans /etc/shells et de voir si un faux shell existe pour cet usage.
    • [^] # Re: pour le nologin

      Posté par  . Évalué à 1.

      Sous linux lorsque tu va attribuer un shell comme ca pour qu'il soit pris en compte par le système tu va devoir le spécifier dans le fichier /etc/shells. Par contre utilise plutot le shell /bin/false Ce shell empêche l'ouverture de session c'est ce que j'utilise pour faire mes ftp et j'ai jamais eu de problème. Donc attribut ce shell, ensuite tu fait simplement un : echo "/bin/false" > /etc/shells Normalement plus de problème
      • [^] # Re: pour le nologin

        Posté par  . Évalué à 3.

        Normalement plus de problème


        Il ne manque pas un > supplémentaire dans ta commande ?
        • [^] # Re: pour le nologin

          Posté par  . Évalué à 2.

          Oups effectivement, j'en ai oublié un, en espérant que tu t'en soit appercu avant, sinon tu remet uniquement les shells dont tu te sert comme sa ce sera plus sécurisé au passage.
  • # Aide création compte ftp

    Posté par  . Évalué à 2.

    Merci a tous pour vos réponses, décidement j'ai pas eu de chance j'me suis inscrit et j'ai posé cette question juste avant le crash de linuxfr :(

    Alors voila je pense avoir fait le maximum pour évité les indésirable dans ma connexion ssh!

    j'ai reconfiguré sshd pour n'autorisé que l'accès avec mon nom d'utilisateurs de plus dans hosts.deny je block tout les IP du sshd et j'ai créé un ptit script php (proteger par un mot de passe évidement) qui ajoute mon IP actuel dans hosts.allow lorsque j'ai besoin d'acceder au shell et qui l'efface après une certaine periode d'inactivité.

    J'ai égallement tester /sbin/nologin et /bin/flase les deux fonctionnes , je ne sais pas lequel est le mieu alors peut etre pourrier vous m'aider sur ce point ?


    Y a t'il d'autre chose que je pourrais faire pour évité de me faire pirater mon serveur ? tout perdre les infos de mes clients ou simplement un down de quelques heures ça serait catastrophique :-/


    Merci a tous pour votre aide très apprécié!
    • [^] # Re: Aide création compte ftp

      Posté par  (site web personnel) . Évalué à 2.

      >Y a t'il d'autre chose que je pourrais faire pour évité de me faire pirater mon serveur ? tout perdre les infos de mes clients

      Faire du sftp ! Lors de l'identification de tes clients, vérifie que le mot de passe ne transite pas en clair (ce qui est fait par défaut), sinon c'est assez vulnérable ;-)

      Adhérer à l'April, ça vous tente ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.