Forum Linux.redhat sftp sur redhat el5

Posté par  .
Étiquettes : aucune
0
26
mar.
2009
bonjour,

je souhaitais monter un petit serveur sftp. j'ai vu sur le net qu'avec openssl c'etait facile. j'ai donc créé un user, puis j'ai essayé de me connecter en sftp avec filezilla ca fonctionne. le soucis c'est que je peux me ballader partout. j'ai trouvé ce petit tuto pour chrooter mon user

http://smhteam.info/wiki/index.linux.php5?wiki=ChrooterUnUti(...)

si je me connecte en console, en ssh ca fonctionne. je suis bien chrooté tout le tralala. le soucis c'est que maintenant avec filezilla ca ne fonctionne plus (delai d'attente trop long impossible de se connecter au serveur).

y a t il un truc a faire en plus, un truc que j'aurrais oublié ??
  • # sftp sur redhat el5

    Posté par  . Évalué à 1.

    ps:

    petite info suplementaire: pour me connecter en sftp avec filezilla je vais dans le menu "gestion des site" de filezilla je cré une nouvelle connection en utilisant comme "type de serveur" "SFTP - SSH file transfer protocol"
  • # Pas bon ...

    Posté par  . Évalué à 3.

    Si mes souvenirs sont bons, sftp se connecte via ssh et lance ensuite le binaire sftp-server afin de gérer la partie transfert de fichiers.
    Il te faut donc à tout prix avoir sftp-server dans ton chroot ainsi que toutes ses dépendances.
    • [^] # Re: Pas bon ...

      Posté par  . Évalué à 1.

      j'ai copié sftp-server dans le repertoire bin du chroot. j'ai fais un ldd /.../sftp-server afin de vir les librairie dont depend sftp-server puis je les ai copiées dans le repertoire lib du chroot. malheureusement j'ai toujours le meme soucis :(
    • [^] # Re: Pas bon ...

      Posté par  . Évalué à 1.

      ps:

      je suis allé voir un petit peux dans les log genre message deja. j'ai bien un "session opened for user monuser" puis quand du coté client ca dit echeque j'ai un "session closed" dans messages.
      dans secure j'ai un "Accepted password for monuser" suivis d'un "subsystem request for sftp" .
  • # strace/lsof

    Posté par  (site web personnel) . Évalué à 1.

    strace et lsof sont tes amis

    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

    • [^] # Re: strace/lsof

      Posté par  . Évalué à 2.

      mes amis mes amis...je ne suis pas certain. je ne comprends rien aux résultats donné de la commande strace -o toto.txt sftp monuser@monftp :(((
  • # Le sFTP intégré à OpenSSH ?

    Posté par  . Évalué à 4.

    Si tu as un OpenSSH assez récent (il me semble que ça marche depuis le 4.8 ou le 4.9, de mémoire), pourquoi ne pas utiliser le sFTP intégré à OpenSSH ?

    Il permet notamment d'interdire le login à un shell, pour certains utilisateurs, par exemple membres d'un groupe, et de ne leur laisser que la possibilité de se connecter pour faire des opérations en sFTP.

    Dans le fichier de config (sous Debian, par exemple) "/etc/ssh/sshd_config", tu remplaces :

    Subsystem sftp /usr/lib/openssh/sftp-server

    par :

    Subsystem sftp internal-sftp

    Pour matcher qui est restreint au chrooted sFTP, et à la vue de quoi il se limite, par exemple en limitant l'accès pour les utilisateurs membres du groupe "sftponly" à leur "/home/$user", tu rajoutes aussi :

    Match group sftponly
    ChrootDirectory /home/%u
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp

    Et hop : ça marche nickel - les utilisateurs membres de ce groupe n'auront accès à rien d'autre que ce qui est dans leur "/home/$user".

    Un tuto pus détaillé ici, par exemple : http://www.debian-administration.org/articles/590

    Ça évite notamment de se trimballer un chroot complet (avec des binaires et la totale, ce qui est très douteux, si le but est d'améliorer la sécurité), qu'il faudra créer, maintenir, et ce pour autant d'utilisateurs qu'il y en a... : dans le chrooted sFTP d'OpenSSH, seules les données sont accessibles (ça n'a rien à voir avec le chroot traditionnel, qui est une méthode très inefficace pour améliorer la sécurité, puisqu'il se contente généralement de recopier les mêmes binaires que ceux de la racine de l'arborescence ; mêmes binaires soumis aux même failles, en outre) - c'est plus à voir comme des ACL propres pour savoir qui peut accéder à un shell, et qui ne peut faire que des bêtes scp et cie...
    • [^] # Re: Le sFTP intégré à OpenSSH ?

      Posté par  . Évalué à 1.

      hello aefron

      j'ai testé le petit tuto en question. ca fonctionne po :( . je ne suis pas chrooté du tout. de plus y a un truc que j'ai pas compris, le mec fait un chown root.root sur le repertoire home du user. du coup comment fait on pour y entrer ?
      • [^] # Re: Le sFTP intégré à OpenSSH ?

        Posté par  . Évalué à 2.

        Hum, commence par checker ta version d'OpenSSH (je ne connais pas de site qui référence les paquets RHEL à-la http://packages.debian.org/ , donc, je ne peux regarder à ta place, mais tu ne devrais pas avoir de soucis en regardant ça avec le gestionnaire de paquets) ; comme je l'ai dit, c'est assez récent...

        Sinon, pour le "chown", cf "The directory in which to chroot() must be owned by root" (ie "Le répertoire dans lequel chrooter doit être la propriété de root")... probablement parce que ssh tourne sous root (bon, ça n'explique pas tout, mais en faisant ça, ça marche chez moi - et en ne le faisant pas, ça ne marche pas [je viens de revérifier sur un compte de test]... peut-être est-ce pour que les utilisateurs ne modifient par leur "~/.ssh"...).

        Cela étant, ce n'est qu'un "chown", et pas un "chown -R" : les fichiers à l'intérieur peuvent parfaitement être la propriété de n'importe qui : je m'en sers chez moi pour accéder en écriture à tous les partages de fichiers (NFS n'est que pour la lecture seule de ce qui est commun à tous, dans mon installation), et même si le "/home/$user" est la propriété de root et que les autres ne peuvent le lire directement, ce qui est dedans est parfaitement accessible aux utilisateurs qui se sont logués (ils ne peuvent pas écrire directement dans le "/home/$user", mais j'ai créé des sous-répertoires dont ils sont propriétaires, et ils peuvent y faire ce qu'ils veulent - exemple : "sftp://aefron@mon-serveur/", qui pointe, sur le serveur, sur "/home/aefron", n'est pas accessible à "aefron", mais "sftp://aefron@mon-serveur/mldonkey/", qui pointe, sur le serveur, sur "/home/aefron/mldonkey", l'est parfaitement ;) ).

        En outre, je n'ai pas retesté "/usr/lib/openssh/sftp-server" depuis Etch, mais je n'obtenais pas mieux que 1,5Mio/s avec lui, alors que je suis à 7,5Mio/s avec le "internal-sftp" (sur un réseau 100MBps... ce qui fait qu'avec l'overhead du chiffrement, j'ai enfin un sFTP qui exploite le réseau décemment)... bref, je ne reviendrais jamais en arrière (le chroot par user, j'ai donné dans le passé - plus jamais) - encore faut-il un OpenSSH assez récent : certes, certes. Comme je le disais, commence par regarder par là - mais sinon, oui, le "chown root:root" des "/home/$user" est impératif (par contre, en dessous, c'est bon, ils peuvent accéder si tu leur donne le droit - c'est même l'intérêt).
    • [^] # Re: Le sFTP intégré à OpenSSH ?

      Posté par  . Évalué à 2.

      ps:

      en fait si ça fonctionne pas c'est parce que sur la machine ou j'ai fait le test c'est une version 4.3 :(
      le serveur sur lequel je voudrait mettre ce truc en place est une version 3.9 :(( c'est une vielle redhat el3
      • [^] # Re: Le sFTP intégré à OpenSSH ?

        Posté par  . Évalué à 2.

        Ah, bah oui... là, c'est trop vieux... on en est à la 5.2, maintenant :p

        Bon, c'est logique, en même temps : RHEL5 est sortie il y a plus de 2 ans (et RHEL3, il y a plus de 5 ans), et on ne peut ipso facto pas avoir le bleeding-edge et la stabilité des versions...

        ... sinon, si tu as un serveur qui supporte les conteneurs (VServer, OpenVZ), ou autre forme de virtualisation, une petite Debian Lenny (qui devrait être la version Stable de Debian pendant encore 2 ans, et qui sera supportée encore un an de plus), en attendant RHEL6, pour dans un an, ça peut le faire...

        Sinon, bah, bonne bourre avec les chroots à l'ancienne :p
        • [^] # Re: Le sFTP intégré à OpenSSH ?

          Posté par  . Évalué à 1.

          merci pour toute ces infos Aefron.

          je vais chercher encore un peux , mais je ne suis pas trop obtimiste sur ce coup la.
          il ne doit pas manquer grand chose dans mon affaire car avec une connexion ssh tout est good, le chrootage fonctionne tout ca. par contre en sftp j'ai pas de connexion. enfin d'apres ce que je vo dans secure j'ai bien une connexion de faite mais j'ai pas de listage du repertoire dans filezilla ou d'invite en ligne de commande.

          bref...en tout cas merci beaucoup

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.