tag:linuxfr.org,2005:/tags/sftp/publicLinuxFr.org : les contenus étiquetés avec « sftp »2022-01-22T18:19:55+01:00/favicon.pngtag:linuxfr.org,2005:Post/425552021-12-13T00:22:35+01:002021-12-13T00:22:35+01:00Client SSH/SFTP pour iOS (iPhone)<p>Bonjour.</p>
<p>Quelqu'un peut-il me recommander un client SSH pour iPhone qui</p>
<ul>
<li>ne me demande pas de passer à la version pro dès que j'ajoute une adresse,</li>
<li>ne me prenne pas la tête avec de la pub,</li>
<li>prenne en charge les clés SSH RSA, DSA et ECDSA,</li>
<li>ait une interface graphique pour transférer des fichiers,</li>
<li>fonctionne.</li>
</ul>
<p>Je viens de passer des plombes à essayer un tas de clients comme FTPExplorer, Documents (marche pas avec mes clés), WebFTP, et encore un tas d'autres… Déjà qu'aucun transfert de fichier n'est possible avec ma Manjaro ni avec câble USB ni avec Bluetooth, autant dire que ça me gonfle, cette perte de temps. Alors si quelqu'un a déjà une solution viable, je suis preneur.</p>
<p>Pour info, le téléphone vient juste de se mettre à niveau avec iOS 15.1, sais pas si c'est important mais au cas où…</p>
<p>Merci d'avance.</p>
<div><a href="https://linuxfr.org/forums/general-cherche-logiciel/posts/client-ssh-sftp-pour-ios-iphone.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126255/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/general-cherche-logiciel/posts/client-ssh-sftp-pour-ios-iphone#comments">ouvrir dans le navigateur</a>
</p>
FantastIXhttps://linuxfr.org/nodes/126255/comments.atomtag:linuxfr.org,2005:Post/406372019-11-07T18:51:59+01:002019-11-09T19:40:31+01:00Accès ssh défaillant suite à migration Debian 9 > 10 (résolu)<p>Avé tout le monde.</p>
<p>Je vous soumets un problème qui doit sans doute être peu compliqué pour un veritable admin, mais qui me gâche la fête depuis hier.</p>
<p>J'ai migré avec succès de Debian 9 à 10. Tout s'est bien passé sauf : </p>
<p><strong>mon accès ssh/sftp ne marche plus, le serveur ssh ne répond pas OU refuse la connexion</strong>, malgré mes précautions (j'avais demandé de garder le fichier de config existant). ssh/sftp marchait bien sous Debian 9.</p>
<p>Message PuTTY :</p>
<blockquote>
<p>"Network error : connection refused"</p>
</blockquote>
<p>Message de Core FTP LE : </p>
<blockquote>
<p>"Resolving xx.xxx.xxx.xxx…<br><br>
xx.xxx.xxx.xxx [22] connecting…<br><br>
SFTP connection error - Connection timed out<br>
Can't establish connection --> xx.xxx.xxx.xxx:22 @ Thu Nov 07 15:24:34 2019 (10038-10060) : </p>
</blockquote>
<p>Mon serveur chez OVH :</p>
<pre><code class="sh">Operating system Debian Linux <span class="m">10</span>
Webmin version <span class="m">1</span>.930
Kernel and CPU Linux <span class="m">3</span>.8.13-xxxx-grs-ipv6-64-vps on x86_64
Processor information AMD Opteron<span class="o">(</span>tm<span class="o">)</span> Processor <span class="m">6128</span>, <span class="m">4</span> cores
PHP <span class="m">7</span>.2.24-1+0~20191026.31+debian8~1.gbpbbacde <span class="o">(</span>cli<span class="o">)</span> <span class="o">(</span>built: Oct <span class="m">26</span> <span class="m">2019</span> <span class="m">16</span>:08:53<span class="o">)</span> <span class="o">(</span> NTS <span class="o">)</span>
Copyright <span class="o">(</span>c<span class="o">)</span> <span class="m">1997</span>-2018 The PHP Group
Zend Engine v3.2.0, Copyright <span class="o">(</span>c<span class="o">)</span> <span class="m">1998</span>-2018 Zend Technologies
with Zend OPcache v7.2.24-1+0~20191026.31+debian8~1.gbpbbacde, Copyright <span class="o">(</span>c<span class="o">)</span> <span class="m">1999</span>-2018, by Zend Technologies</code></pre>
<p>J'ai donc desinstallé openssh-server et openssh-client </p>
<pre><code class="sh">apt-get remove openssh-server openssh-client --purge</code></pre>
<p>et nettoyé</p>
<pre><code class="sh">apt-get autoremove
sudo apt-get autoclean</code></pre>
<p>avant de rechercher à nouveau ces deux packages </p>
<pre><code class="sh">apt-get update</code></pre>
<p>Voici ce qui se passe quand je reinstalle openssh-server et openssh-client ("-y --force-yes -f" permet de passer la confirmation de continuation au script, dans webmin)</p>
<pre><code class="sh">apt-get -y --force-yes -f install openssh-server openssh-client
Reading package lists...
Building dependency tree...
Reading state information...
The following additional packages will be installed:
libxmuu1 openssh-sftp-server xauth
Suggested packages:
keychain libpam-ssh monkeysphere ssh-askpass molly-guard rssh ufw
The following NEW packages will be installed:
libxmuu1 openssh-client openssh-server openssh-sftp-server xauth
<span class="m">0</span> upgraded, <span class="m">5</span> newly installed, <span class="m">0</span> to remove and <span class="m">0</span> not upgraded.
<span class="m">4</span> not fully installed or removed.
Need to get <span class="m">64</span>.1 kB/1243 kB of archives.
After this operation, <span class="m">5375</span> kB of additional disk space will be used.
Get:1 http://cdn-fastly.deb.debian.org/debian buster/main amd64 libxmuu1 amd64 <span class="m">2</span>:1.1.2-2+b3 <span class="o">[</span><span class="m">23</span>.9 kB<span class="o">]</span>
Get:2 http://cdn-fastly.deb.debian.org/debian buster/main amd64 xauth amd64 <span class="m">1</span>:1.0.10-1 <span class="o">[</span><span class="m">40</span>.3 kB<span class="o">]</span>
debconf: unable to initialize frontend: Dialog
debconf: <span class="o">(</span>TERM is not set, so the dialog frontend is not usable.<span class="o">)</span>
debconf: falling back to frontend: Readline
debconf: unable to initialize frontend: Readline
debconf: <span class="o">(</span>This frontend requires a controlling tty.<span class="o">)</span>
debconf: falling back to frontend: Teletype
dpkg-preconfigure: unable to re-open stdin:
Fetched <span class="m">64</span>.1 kB in 0s <span class="o">(</span><span class="m">341</span> kB/s<span class="o">)</span>
<span class="o">(</span>Reading database ...
<span class="o">(</span>Reading database ... <span class="m">5</span>%
<span class="o">[</span>...<span class="o">]</span>
<span class="o">(</span>Reading database ... <span class="m">100</span>%
<span class="o">(</span>Reading database ... <span class="m">76387</span> files and directories currently installed.<span class="o">)</span>
Preparing to unpack .../openssh-client_1%3a7.9p1-10+deb10u1_amd64.deb ...
Unpacking openssh-client <span class="o">(</span><span class="m">1</span>:7.9p1-10+deb10u1<span class="o">)</span> ...
Selecting previously unselected package libxmuu1:amd64.
Preparing to unpack .../libxmuu1_2%3a1.1.2-2+b3_amd64.deb ...
Unpacking libxmuu1:amd64 <span class="o">(</span><span class="m">2</span>:1.1.2-2+b3<span class="o">)</span> ...
Selecting previously unselected package openssh-sftp-server.
Preparing to unpack .../openssh-sftp-server_1%3a7.9p1-10+deb10u1_amd64.deb ...
Unpacking openssh-sftp-server <span class="o">(</span><span class="m">1</span>:7.9p1-10+deb10u1<span class="o">)</span> ...
Preparing to unpack .../openssh-server_1%3a7.9p1-10+deb10u1_amd64.deb ...
Unpacking openssh-server <span class="o">(</span><span class="m">1</span>:7.9p1-10+deb10u1<span class="o">)</span> ...
Selecting previously unselected package xauth.
Preparing to unpack .../xauth_1%3a1.0.10-1_amd64.deb ...
Unpacking xauth <span class="o">(</span><span class="m">1</span>:1.0.10-1<span class="o">)</span> ...
Setting up openssh-client <span class="o">(</span><span class="m">1</span>:7.9p1-10+deb10u1<span class="o">)</span> ...
Setting up grub-pc <span class="o">(</span><span class="m">2</span>.02+dfsg1-20<span class="o">)</span> ...
debconf: unable to initialize frontend: Dialog
debconf: <span class="o">(</span>TERM is not set, so the dialog frontend is not usable.<span class="o">)</span>
debconf: falling back to frontend: Readline
Installing <span class="k">for</span> i386-pc platform.
Installation finished. No error reported.
Generating grub configuration file ...
/etc/grub.d/06_OVHkernel: line <span class="m">6</span>: /usr/lib/grub/update-grub_lib: No such file or directory
dpkg: error processing package grub-pc <span class="o">(</span>--configure<span class="o">)</span>:
installed grub-pc package post-installation script subprocess returned error <span class="nb">exit</span> status <span class="m">1</span>
Setting up keyboard-configuration <span class="o">(</span><span class="m">1</span>.193~deb10u1<span class="o">)</span> ...
debconf: unable to initialize frontend: Dialog
debconf: <span class="o">(</span>TERM is not set, so the dialog frontend is not usable.<span class="o">)</span>
debconf: falling back to frontend: Readline
cat: <span class="s1">'/sys/bus/usb/devices/*:*/bInterfaceClass'</span>: No such file or directory
cat: <span class="s1">'/sys/bus/usb/devices/*:*/bInterfaceSubClass'</span>: No such file or directory
cat: <span class="s1">'/sys/bus/usb/devices/*:*/bInterfaceProtocol'</span>: No such file or directory
/var/lib/dpkg/info/keyboard-configuration.postinst: <span class="m">108</span>: /var/lib/dpkg/info/keyboard-configuration.postinst: cannot create /etc/default/keyboard: Permission denied
dpkg: error processing package keyboard-configuration <span class="o">(</span>--configure<span class="o">)</span>:
installed keyboard-configuration package post-installation script subprocess returned error <span class="nb">exit</span> status <span class="m">2</span>
Setting up libxmuu1:amd64 <span class="o">(</span><span class="m">2</span>:1.1.2-2+b3<span class="o">)</span> ...
Setting up openssh-sftp-server <span class="o">(</span><span class="m">1</span>:7.9p1-10+deb10u1<span class="o">)</span> ...
dpkg: dependency problems prevent configuration of console-setup:
console-setup depends on keyboard-configuration <span class="o">(=</span> <span class="m">1</span>.193~deb10u1<span class="o">)</span><span class="p">;</span> however:
Package keyboard-configuration is not configured yet.
dpkg: error processing package console-setup <span class="o">(</span>--configure<span class="o">)</span>:
dependency problems - leaving unconfigured
Setting up openssh-server <span class="o">(</span><span class="m">1</span>:7.9p1-10+deb10u1<span class="o">)</span> ...
debconf: unable to initialize frontend: Dialog
debconf: <span class="o">(</span>TERM is not set, so the dialog frontend is not usable.<span class="o">)</span>
debconf: falling back to frontend: Readline
rescue-ssh.target is a disabled or a static unit, not starting it.
Job <span class="k">for</span> ssh.service failed because the control process exited with error code.
See <span class="s2">"systemctl status ssh.service"</span> and <span class="s2">"journalctl -xe"</span> <span class="k">for</span> details.
invoke-rc.d: initscript ssh, action <span class="s2">"restart"</span> failed.
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded <span class="o">(</span>/lib/systemd/system/ssh.service<span class="p">;</span> enabled<span class="p">;</span> vendor preset: enabled<span class="o">)</span>
Active: activating <span class="o">(</span>auto-restart<span class="o">)</span> <span class="o">(</span>Result: exit-code<span class="o">)</span> since Thu <span class="m">2019</span>-11-07 <span class="m">15</span>:21:08 CET<span class="p">;</span> 9ms ago
Docs: man:sshd<span class="o">(</span><span class="m">8</span><span class="o">)</span>
man:sshd_config<span class="o">(</span><span class="m">5</span><span class="o">)</span>
Process: <span class="m">30350</span> <span class="nv">ExecStartPre</span><span class="o">=</span>/usr/sbin/sshd -t <span class="o">(</span><span class="nv">code</span><span class="o">=</span>exited, <span class="nv">status</span><span class="o">=</span><span class="m">255</span>/EXCEPTION<span class="o">)</span>
dpkg: error processing package openssh-server <span class="o">(</span>--configure<span class="o">)</span>:
installed openssh-server package post-installation script subprocess returned error <span class="nb">exit</span> status <span class="m">1</span>
Setting up xauth <span class="o">(</span><span class="m">1</span>:1.0.10-1<span class="o">)</span> ...
dpkg: dependency problems prevent configuration of console-setup-linux:
console-setup-linux depends on keyboard-configuration <span class="o">(=</span> <span class="m">1</span>.193~deb10u1<span class="o">)</span><span class="p">;</span> however:
Package keyboard-configuration is not configured yet.
dpkg: error processing package console-setup-linux <span class="o">(</span>--configure<span class="o">)</span>:
dependency problems - leaving unconfigured
Processing triggers <span class="k">for</span> systemd <span class="o">(</span><span class="m">241</span>-7~deb10u1<span class="o">)</span> ...
Processing triggers <span class="k">for</span> man-db <span class="o">(</span><span class="m">2</span>.8.5-2<span class="o">)</span> ...
Processing triggers <span class="k">for</span> libc-bin <span class="o">(</span><span class="m">2</span>.28-10<span class="o">)</span> ...
Errors were encountered <span class="k">while</span> processing:
grub-pc
keyboard-configuration
console-setup
openssh-server
console-setup-linux
W: --force-yes is deprecated, use one of the options starting with --allow instead.
E: Sub-process /usr/bin/dpkg returned an error code <span class="o">(</span><span class="m">1</span><span class="o">)</span></code></pre>
<pre><code class="sh">service ssh restart
Job <span class="k">for</span> ssh.service failed because the control process exited with error code.
See <span class="s2">"systemctl status ssh.service"</span> and <span class="s2">"journalctl -xe"</span> <span class="k">for</span> details.</code></pre>
<pre><code class="sh">systemctl status ssh.service
ssh.service - OpenBSD Secure Shell server
Loaded: loaded <span class="o">(</span>/lib/systemd/system/ssh.service<span class="p">;</span> enabled<span class="p">;</span> vendor preset: enabled<span class="o">)</span>
Active: failed <span class="o">(</span>Result: exit-code<span class="o">)</span> since Thu <span class="m">2019</span>-11-07 <span class="m">15</span>:24:53 CET<span class="p">;</span> 18s ago
Docs: man:sshd<span class="o">(</span><span class="m">8</span><span class="o">)</span>
man:sshd_config<span class="o">(</span><span class="m">5</span><span class="o">)</span>
Process: <span class="m">31292</span> <span class="nv">ExecStartPre</span><span class="o">=</span>/usr/sbin/sshd -t <span class="o">(</span><span class="nv">code</span><span class="o">=</span>exited, <span class="nv">status</span><span class="o">=</span><span class="m">255</span>/EXCEPTION<span class="o">)</span>
Nov <span class="m">07</span> <span class="m">15</span>:24:53 vps129566 systemd<span class="o">[</span><span class="m">1</span><span class="o">]</span>: ssh.service: Service <span class="nv">RestartSec</span><span class="o">=</span>100ms expired, scheduling restart.
Nov <span class="m">07</span> <span class="m">15</span>:24:53 vps129566 systemd<span class="o">[</span><span class="m">1</span><span class="o">]</span>: ssh.service: Scheduled restart job, restart counter is at <span class="m">5</span>.
Nov <span class="m">07</span> <span class="m">15</span>:24:53 vps129566 systemd<span class="o">[</span><span class="m">1</span><span class="o">]</span>: Stopped OpenBSD Secure Shell server.
Nov <span class="m">07</span> <span class="m">15</span>:24:53 vps129566 systemd<span class="o">[</span><span class="m">1</span><span class="o">]</span>: ssh.service: Start request repeated too quickly.
Nov <span class="m">07</span> <span class="m">15</span>:24:53 vps129566 systemd<span class="o">[</span><span class="m">1</span><span class="o">]</span>: ssh.service: Failed with result <span class="s1">'exit-code'</span>.
Nov <span class="m">07</span> <span class="m">15</span>:24:53 vps129566 systemd<span class="o">[</span><span class="m">1</span><span class="o">]</span>: Failed to start OpenBSD Secure Shell server.</code></pre>
<p>Je sais qu'il y a des erreurs pour d'autres modules, mais n'ont toutefois pas causé des problèmes tout au long de la migration Debian 7 > 8 > 9 : </p>
<blockquote>
<p>grub-pc<br>
keyboard-configuration<br>
console-setup<br>
console-setup-linux</p>
</blockquote>
<p>(mais je peux me tromper !)<br>
A rectifier … une fois que mon accès ssh/sftp remarche !</p>
<p>Merci de vos lumières, et de votre précieuse assistance !</p>
<p>Christian</p>
<div><a href="https://linuxfr.org/forums/linux-debutant/posts/acces-ssh-defaillant-suite-a-migration-debian-9-10-resolu.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/118569/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-debutant/posts/acces-ssh-defaillant-suite-a-migration-debian-9-10-resolu#comments">ouvrir dans le navigateur</a>
</p>
Kreegohttps://linuxfr.org/nodes/118569/comments.atomtag:linuxfr.org,2005:News/391792019-04-24T15:44:58+02:002019-04-25T22:27:45+02:00Parution d’OpenSSH 8.0Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>OpenSSH 8.0 est disponible depuis le 17 avril 2019. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme <em>telnet</em> et <em>rlogin</em>. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f7777772e6f70656e7373682e636f6d2f696d616765732f6f70656e7373682e676966/openssh.gif" alt="Logo d’OpenSSH" title="Source : https://www.openssh.com/images/openssh.gif"></p>
<p>Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://www.openssh.com/" hreflang="en" href="https://linuxfr.org/redirect/103925">OpenSSH</a></li><li>lien nᵒ 2 : <a title="https://www.openssh.com/txt/release-8.0" hreflang="en" href="https://linuxfr.org/redirect/103926">Notes de version de la 8.0 (texte)</a></li><li>lien nᵒ 3 : <a title="https://www.openssh.com/releasenotes.html" hreflang="en" href="https://linuxfr.org/redirect/103927">Notes de version (historique jusqu’à la version 1.2.2p1)</a></li><li>lien nᵒ 4 : <a title="https://www.openbsd.org/" hreflang="en" href="https://linuxfr.org/redirect/103928">OpenBSD</a></li><li>lien nᵒ 5 : <a title="https://lists.mindrot.org/pipermail/openssh-unix-announce/2019-April/000136.html" hreflang="en" href="https://linuxfr.org/redirect/103929">Annonce d'OpenSSH 8.0 sur la liste de diffusion openssh-unix-announce</a></li><li>lien nᵒ 6 : <a title="https://linuxfr.org/news/openssh-7-9" hreflang="fr" href="https://linuxfr.org/redirect/103930">LinuxFr.org : OpenSSH 7.9</a></li></ul><div><h2 class="sommaire">Sommaire</h2>
<ul class="toc">
<li><a href="#toc-s%C3%A9curit%C3%A9">Sécurité</a></li>
<li><a href="#toc-changements-pouvant-casser-la-compatibilit%C3%A9-ascendante">Changements pouvant casser la compatibilité ascendante</a></li>
<li>
<a href="#toc-changements-depuis-openssh79">Changements depuis OpenSSH 7.9</a><ul>
<li><a href="#toc-nouvelles-fonctionnalit%C3%A9s">Nouvelles fonctionnalités</a></li>
<li><a href="#toc-corrections-de-bogues">Corrections de bogues</a></li>
<li><a href="#toc-portabilit%C3%A9">Portabilité</a></li>
</ul>
</li>
</ul>
<h2 id="toc-sécurité">Sécurité</h2>
<p>Cette nouvelle version corrige en particulier une faiblesse dans <em><a href="https://fr.wikipedia.org/wiki/Secure_copy">scp</a></em> (le programme ainsi que le protocole), identifiée par le numéro <a href="https://nvd.nist.gov/vuln/detail/CVE-2019-6111">CVE-2019-6111</a> : en cas de copie de fichiers d’une machine distante dans un répertoire local, <em>scp</em> ne vérifiait pas si les noms des fichiers envoyés par le serveur correspondaient à ceux demandés par le client. Cela permettait à un serveur malveillant de créer ou de modifier des fichiers sur le système du client.</p>
<p>Dans les notes de version, les développeurs ajoutent que le protocole SCP est dépassé, rigide et difficile à corriger. Ils continuent en recommandant l’utilisation d’un protocole plus moderne comme <a href="https://fr.wikipedia.org/wiki/SSH_File_Transfer_Protocol">SFTP</a> et <a href="https://fr.wikipedia.org/wiki/rsync" title="Définition Wikipédia">rsync</a> pour le transfert de fichiers.</p>
<h2 id="toc-changements-pouvant-casser-la-compatibilité-ascendante">Changements pouvant casser la compatibilité ascendante</h2>
<p>Comme à chaque note de version, les développeurs mettent en garde les utilisateurs à propos de changements qui pourraient poser problème sur des configurations existantes. Pour cette version, deux changements sont à surveiller de près :</p>
<ul>
<li>
<strong>pour scp</strong>, des vérifications ont été ajoutées afin de refuser des fichiers si l’expansion de caractères spéciaux diffère entre le client et le serveur ; au cas où, l’argument « <code>-T</code> » désactive ce comportement ;</li>
<li>
<strong>pour sshd</strong>, la syntaxe « <code>hôte/port</code> », jugée obsolète, n’est plus utilisable pour les directives <code>ListenAddress</code> et <code>PermitOpen</code> ; elle avait été ajoutée en 2001 en tant qu’alternative à la syntaxe « <code>hôte:port</code> », mais elle est souvent confondue avec une syntaxe de type <a href="https://fr.wikipedia.org/wiki/Adresse_IP#Agr%C3%A9gation_des_adresses" title="Classless Inter‐Domain Routing">CIDR</a>.</li>
</ul>
<h2 id="toc-changements-depuis-openssh79">Changements depuis OpenSSH 7.9</h2>
<h3 id="toc-nouvelles-fonctionnalités">Nouvelles fonctionnalités</h3>
<p>Parmi les nouveautés d’OpenSSH 8.0, on peut trouver :</p>
<ul>
<li>
<code>ssh(1)</code>, <code>ssh-agent(1)</code>, <code>ssh-add(1)</code> : ajout de la prise en charge de clefs ECDS dans les jetons <a href="https://fr.wikipedia.org/wiki/Public_Key_Cryptographic_Standards#11">PKCS#11</a> ;</li>
<li>
<code>ssh(1)</code>, <code>sshd(8)</code> : ajout d’une méthode expérimentale d’échange de clefs résistante à l’informatique quantique, basée sur une combinaison de <em>streamlined <a href="https://en.wikipedia.org/wiki/NTRU">NTRU</a> prime</em> 4591<sup>761</sup> et <a href="https://fr.wikipedia.org/wiki/Curve25519">X25519</a> ;</li>
<li>
<code>ssh-keygen(1)</code> : augmentation de la taille par défaut des clefs RSA à 3072 bits, cela suit une recommandation du <a href="https://fr.wikipedia.org/wiki/NIST" title="National Institute of Standards and Technology">NIST</a>, émise dans la publication spéciale 800-57 ;</li>
<li>
<code>ssh(1)</code> : en cas de demande d’enregistrement d’une nouvelle clef d’hôte, il est possible d’entrer une empreinte de clef à la place de <em>yes</em> ou <em>no</em>, ce qui permet d’en coller une provenant, par exemple, d’un accès « hors ligne » et faire en sorte que le client SSH compare (et accepte ou refuse) à la place de l’utilisateur ;</li>
<li>l’argument <code>-J</code> est disponible en tant qu’alias de l’option <code>ProxyJump</code> dans les outils <em>scp</em> et <em>sftp</em> ;</li>
<li>
<code>ssh-agent(1)</code>, <code>ssh-pkcs11-helper(8)</code> et <code>ssh-add(1)</code> : l’argument <code>-v</code> augmente la verbosité de la sortie, mais passe aussi cette augmentation dans les sous‐processus, comme dans le cas où <code>ssh-pkcs11-helper</code> est démarré depuis <code>ssh-agent</code> ;</li>
<li>
<code>sshd(8)</code> : la variable d’environnement <code>$SSH_CONNECTION</code> est exposée à l’environnement <a href="https://fr.wikipedia.org/wiki/Pluggable_Authentication_Modules" title="Pluggable Authentication Modules (modules d’authentification enfichables)">PAM</a> ; cela permet aux modules PAM d’utiliser le « <em>connection 4‐tuple</em> » (quadruplet de connexion).</li>
</ul>
<p>À noter, pour ce qui est des tailles de clefs, qu’en France celles‐ci font l’objet d’une recommandation de l’<a href="https://fr.wikipedia.org/wiki/Agence_nationale_de_la_s%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information" title="Agence nationale de la sécurité des systèmes d’information">ANSSI</a> par le biais du <a href="http://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/">Référentiel Général de Sécurité (RGS)</a>, et en particulier de son <a href="http://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_B1.pdf">annexe B1</a>.</p>
<h3 id="toc-corrections-de-bogues">Corrections de bogues</h3>
<p>Cette nouvelle version apporte, entre autres, les corrections suivantes :</p>
<ul>
<li>
<code>sshd(8)</code> n’envoie plus de <em><a href="https://fr.wikipedia.org/wiki/keepalive" title="Définition Wikipédia">keepalive</a></em> en double quand la directive <code>ClientAliveCount</code> est activée ;</li>
<li>deux <em>race conditions</em> (« situation de compétition, situation de concurrence, accès concurrents, concurrence critique, course critique, séquencement critique ») ont été corrigées dans <code>sshd(8)</code>, elles sont liées à son redémarrage via <code>SIGHUP</code> ; la première concernant des descripteurs de fichiers restants pouvant empêcher <code>sshd</code> d’écouter sur l’adresse configurée, et l’autre concernant le <code>sshd</code> parent qui redémarre, car il pouvait se fermer avant la fin de la lecture par tous les processus enfants en attente de leur état de ré‐exécution, les laissant ainsi dans un chemin de secours ;</li>
<li>correction d’une mauvaise interaction entre les directives <code>ConnectTimeout</code> et <code>ConnectionAttempts</code> dans le fichier <code>ssh_config</code>, les tentatives de connexion faites après la première ignoraient le délai d’expiration configuré ;</li>
<li>
<code>ssh-keyscan(1)</code> a maintenant un code de retour autre que 0 quand il ne trouve aucune clef ;</li>
<li>
<code>scp</code> va dorénavant nettoyer les noms de fichiers pour autoriser des caractères UTF-8 sans séquence de contrôle de terminal ;</li>
<li>la documentation de l’option <code>ProxyJump</code> (et de l’argument <code>-J</code>) clarifie que la configuration locale ne s’applique pas aux hôtes de rebond ;</li>
<li>autre clarification, cette fois‐ci pour l’argument <code>-e</code> de <code>ssh-keygen</code>, qui n’écrit que des clefs publiques, et non privées ;</li>
<li>
<code>ssh</code> et <code>sshd</code> sont maintenant plus stricts sur le traitement des bannières de protocole, n’autorisant <code>\r</code> qu’immédiatement après <code>\n</code> ;</li>
<li>un certain nombre de fuites de mémoires ont été corrigées, voir les bogues <a href="https://bugzilla.mindrot.org/show_bug.cgi?id=2938">bz#2938</a> et <a href="https://bugzilla.mindrot.org/show_bug.cgi?id=2942">bz#2942</a> ;</li>
<li>le calcul de débit initial a été corrigé dans <code>scp</code> et <code>sftp</code> : il prend maintenant en compte les octets écrits avant que le minuteur démarre et ajuste la programmation des recalculs de débit, ce qui évite un pic de trafic et applique mieux la limite ;</li>
<li>encore une clarification du manuel, cette fois concernant les arguments <code>-F</code> et <code>-R</code> de <code>ssh-keygen</code> : ils acceptent, soit juste le nom d’hôte, soit la syntaxe <code>[nom d’hôte]:port</code> ;</li>
<li>
<code>ssh</code> n’essaie plus de se connecter lorsque la variable d’environnement <code>SSH_AUTH_SOCK</code> est vide (<a href="https://bugzilla.mindrot.org/show_bug.cgi?id=2936">bz#2936</a>) ;</li>
<li>
<code>ssh</code> conservait un <a href="https://fr.wikipedia.org/wiki/Berkeley_sockets"><em>socket</em></a> redondant de <code>ssh-agent</code> (un reste de l’authentification) pendant toute la connexion, ce n’est maintenant plus le cas (<a href="https://bugzilla.mindrot.org/show_bug.cgi?id=2912">bz#2912</a>).</li>
</ul>
<h3 id="toc-portabilité">Portabilité</h3>
<p>Il existe deux versions d’OpenSSH : une dédiée à OpenBSD et une deuxième contenant des correctifs de compatibilité pour les autres systèmes d’exploitation, appelée version <a href="https://www.openssh.com/portable.html">portable</a>.</p>
<p>Pour cette version 8.0, les améliorations concernent avant tout l’utilisation dans Cygwin :</p>
<ul>
<li>
<code>sshd</code> est lancé en tant qu’utilisateur SYSTEM autant que possible, en utilisant S4U pour la création de jeton si cela prend en charge le <em>logon</em> MsV1_0 S4U ;</li>
<li>toujours pour <code>sshd</code>, du code spécifique a été ajouté pour respecter l’insensibilité à la casse des utilisateurs et groupes ;</li>
<li>
<code>sshd</code> n’initialise pas la variable d’environnement <code>$MAIL</code> si la configuration spécifie <code>UsePAM=yes</code>, car PAM s’en charge (<a href="https://bugzilla.mindrot.org/show_bug.cgi?id=2937">bz#2937</a>) ;</li>
<li>le service <code>sshd</code> se nomme dorénavant <code>cygsshd</code> pour éviter une collision avec le portage d’OpenSSH réalisé par Microsoft ;</li>
<li>la compilation avec la branche <code>-dev</code> d’OpenSSL (3.x) est dorénavant autorisée ;</li>
<li>divers problèmes de compilation suivant les versions d’OpenSSL et les options de configuration et ont été corrigés (<a href="https://bugzilla.mindrot.org/show_bug.cgi?id=2931">bz#2931</a> et <a href="https://bugzilla.mindrot.org/show_bug.cgi?id=2921">bz#2921</a>) ;</li>
<li>amélioration des messages d’avertissement dans la mise en place du service Cygwin et retrait du codage en dur du nom du service (<a href="https://bugzilla.mindrot.org/show_bug.cgi?id=2922">bz#2922</a>).</li>
</ul>
</div><div><a href="https://linuxfr.org/news/parution-d-openssh-8-0.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/116986/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/parution-d-openssh-8-0#comments">ouvrir dans le navigateur</a>
</p>
Nils RatusznikZeroHeureDavy DefaudNÿcoVroumpalm123M5oulFlorent Zarahttps://linuxfr.org/nodes/116986/comments.atomtag:linuxfr.org,2005:Post/386492017-11-03T16:56:08+01:002017-11-03T16:56:08+01:00sftp active directory<p>Bonjour à tous!</p>
<p>Je cherche une solution pour configurer un serveur sftp avec des comptes AD.<br>
Le serveur Debian est déjà intégré dans l'AD est nous pouvons nous connecter en ssh (filtre appliqué sur les groupes n'appartenant pas à l'IT).<br>
De plus nous avons mis en place un système de "profile itinérant" avec nfs et aufofs.</p>
<p>Mais je ne trouve pas de tutos qui répondent à mon besoin.</p>
<p>Si vous avez une proposition ou une expérience; votre aide est la bienvenue!</p><div><a href="https://linuxfr.org/forums/linux-debian-ubuntu/posts/sftp-active-directory.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/113015/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-debian-ubuntu/posts/sftp-active-directory#comments">ouvrir dans le navigateur</a>
</p>
hakhak91https://linuxfr.org/nodes/113015/comments.atomtag:linuxfr.org,2005:Post/358062015-09-10T13:03:33+02:002015-09-10T13:05:14+02:00Problème de permissions en SFTP<p>Bonjour,</p>
<p>Je rencontre actuellement un problème pour lequel je ne trouve pas de solution. Je dispose d'un répertoire qui a pour utilisateur "www-data" et pour groupe "web"</p>
<p>Jusque la tout va bien, les permissions sur ce répertoire sont rwxrwxr-x (chmod 775) et recursivement sur les dossiers et fichier qu'il contient.</p>
<p>En me connectant en SSH a mon serveur :<br>
L'utilisateur qu'est www-data peux modifier les fichiers tout vas bien.<br>
Les membres du groupe web peuvent également modifier les fichiers.</p>
<p>En revanche en me connectant en SFTP, les membres du groupe ne peuvent pas modifier les fichiers…</p>
<p>Je pense avoir bien configuré les groupes et les permissions, quelqu'un parmi vous saurait-il d'ou cela peux bien venir ?</p><div><a href="https://linuxfr.org/forums/linux-debutant/posts/probleme-de-permissions-en-sftp.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/106739/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-debutant/posts/probleme-de-permissions-en-sftp#comments">ouvrir dans le navigateur</a>
</p>
kernox85https://linuxfr.org/nodes/106739/comments.atomtag:linuxfr.org,2005:Diary/360722015-08-28T11:37:30+02:002015-08-28T11:37:30+02:00SSHFS est un vrai système de fichiers en réseauLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Cher journal,</p>
<p>Comme tu dois le savoir, il y a (au moins) deux façons générales d'accéder à des fichiers à distance :</p>
<ul>
<li>les protocoles de transfert de fichiers, tels que FTP ou HTTP ;</li>
<li>les systèmes de fichier en réseau, tels que SMB/CIFS et NFS.</li>
</ul><p>La différence, c'est qu'un protocole de transfert sert… à transférer des fichiers, évidemment, tandis qu'un système de fichiers en réseau permettra des choses comme l'ouverture de fichiers, la lecture à une position arbitraire, l'écriture (sans tout envoyer), le renommage ou encore le verrouillage. Certains protocoles de transfert disposent de telles fonctionnalité, mais rarement de façon complète.</p>
<p>Sur SSH, on peut manipuler des fichiers :</p>
<ul>
<li>par SCP, qui à ce qu'il me semble, transfère des fichiers en lançant par SSH des commandes telles que cat ;</li>
<li>par SFTP, un protocole spécifiquement développé pour SSH, dont il constitue un <em>module</em>.</li>
</ul><p>Le nom SFTP laisse penser qu'il s'agit d'un protocole de transfert de fichiers, mais je viens de me rendre compte qu'il n'en était rien : ce protocole a été <a href="https://tools.ietf.org/html/draft-ietf-secsh-filexfer#section-1">conçu pour pouvoir être utilisé aussi bien</a> pour les transfert de fichiers, typiquement, avec un logiciel client comme sftp, avec lequel on fait des choses comme <code>get</code> et <code>put</code>, ou pour servir de système de fichiers en réseau, typiquement pour effectuer un montage avec un pilote comme <a href="http://fuse.sourceforge.net/sshfs.html">sshfs</a>.</p>
<p>Par conséquent, si vous êtes amenés à chercher un moyen d'accéder à vos fichiers en réseau local, autrement qu'en les transférant de machine en machine, ne vous laissez pas tromper par le nom d'sshfs et surtout du protocole SFTP qu'il utilise, vous pouvez le considérer comme une option sérieuse, au même titre que NFS ou CIFS !</p><div><a href="https://linuxfr.org/users/elessar/journaux/sshfs-est-un-vrai-systeme-de-fichiers-en-reseau.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/106620/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/elessar/journaux/sshfs-est-un-vrai-systeme-de-fichiers-en-reseau#comments">ouvrir dans le navigateur</a>
</p>
🚲 Tanguy Ortolohttps://linuxfr.org/nodes/106620/comments.atomtag:linuxfr.org,2005:News/360942015-02-03T08:13:26+01:002015-02-03T09:30:57+01:00Se passer de Dropbox en montant son coffre-fort numérique à la maisonLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Se passer de Dropbox en montant son coffre-fort numérique à la maison, pour moins cher qu'un LaCie, Pour cette recette il vous faut</p>
<ul>
<li>un mini-ordinateur silencieux (OlinuXIuno par exemple, 45 €)</li>
<li>un petit routeur-wifi (le boitier ADSL de votre opérateur fait l'affaire)</li>
<li>2 x 2 To de disque dur en SATA (du gros plateau qui gratte, c'est moins cher)</li>
<li>un socle USB avec deux emplacement SATA (30 €)</li>
<li>une connexion Internet</li>
<li>votre ordinateur de travail, et éventuellement celui d'un second utilisateur</li>
</ul><p><strong>Temps de préparation</strong> : 1h<br><strong>Temps de cuisson</strong> : 2 jours pour la synchronisation initiale des disques<br><strong>Coût de revient</strong> : 50 % du prix d'un boîtier commercial et propriétaire de même capacité</p></div><ul><li>lien nᵒ 1 : <a title="https://www.olimex.com/Products/OLinuXino/A20/A20-OLinuXIno-LIME2/open-source-hardware" hreflang="en" href="https://linuxfr.org/redirect/92979">OlinuXIno LIME2</a></li><li>lien nᵒ 2 : <a title="http://www.guiguishow.info/2013/09/07/auto-hebergement-sur-olinuxino/" hreflang="fr" href="https://linuxfr.org/redirect/92980">GuiGui' Show - Auto-hébergement sur OLinuXino</a></li><li>lien nᵒ 3 : <a title="http://doc.ubuntu-fr.org/raid_logiciel" hreflang="fr" href="https://linuxfr.org/redirect/92981">Documentation Ubuntu-fr : raid logiciel</a></li><li>lien nᵒ 4 : <a title="http://doc.ubuntu-fr.org/cryptsetup" hreflang="fr" href="https://linuxfr.org/redirect/92982">Documentation Ubuntu-fr : cryptsetup</a></li><li>lien nᵒ 5 : <a title="http://doc.ubuntu-fr.org/sshfs" hreflang="fr" href="https://linuxfr.org/redirect/92983">Documentation Ubuntu-fr : sshfs</a></li></ul><div><h2 id="la-recette">La recette</h2>
<h3 id="commandez-un-olinuxino-par-exemple-le-lime2-ou-autre-cubieboard-arduino-raspberry-pi">Commandez un <a href="https://fr.wikipedia.org/wiki/OLinuXino" title="Définition Wikipédia">OLinuXino</a>, par exemple le <a href="https://www.olimex.com/Products/OLinuXino/A20/A20-OLinuXIno-LIME2/open-source-hardware">LIME2</a>, ou autre (cubieboard, arduino, raspberry PI…)</h3>
<p>Avec éventuellement, une batterie, et une carte mémoire pré-configurée avec un système Debian dessus…</p>
<h3 id="ajoutez-y-un-socle-usb-pour-deux-disques-dur-sata">Ajoutez-y un socle USB pour deux disques dur SATA</h3>
<h3 id="préparez-lolinuxino-en-mode-serveur-web-comme-détaillé-ici-par-guigui">Préparez l'OlinuXIno en mode serveur web comme détaillé <a href="http://www.guiguishow.info/2013/09/07/auto-hebergement-sur-olinuxino/">ici par GuiGui</a>
</h3>
<p>Et surtout, changer les mots de passe par défaut des utilisateurs.</p>
<h3 id="partitionnez-et-assemblez-les-deux-disques-en-raid-1">Partitionnez et assemblez les deux disques en RAID 1</h3>
<p><code>sudo cfdisk /dev/sda # créer une partition de toute la taille, de type 0xfd</code></p>
<p>Idem pour <code>/dev/sdb</code>. En cas de besoin, une documentation est disponible en français : <a href="http://doc.ubuntu-fr.org/raid_logiciel">http://doc.ubuntu-fr.org/raid_logiciel</a></p>
<h3 id="créez-le-tableau-raid1">Créez le tableau RAID1</h3>
<p><code>sudo mdadm --create /dev/md0 --level=1 --raid-disks=2 /dev/sda1 /dev/sdb1</code></p>
<h3 id="chiffrez-le-tout">Chiffrez le tout</h3>
<p><code>sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/md0</code></p>
<p>Il faut bien retenir le mot de passe qu'on choisi là. En cas de besoin, une documentation plus détaillée est disponible en français ici : <a href="http://doc.ubuntu-fr.org/cryptsetup">http://doc.ubuntu-fr.org/cryptsetup</a></p>
<h3 id="ouvrez-formatez-et-montez-le-disque">Ouvrez, formatez et montez le disque</h3>
<p><code>sudo cryptsetup luksOpen /dev/md0 luks-md0</code><br><code>sudo mkfs.ext4 /dev/mapper/luks-md0</code><br><code>sudo mkdir /mnt/md0</code><br><code>sudo echo "/dev/mapper/luks-md0 /mnt/md0 auto default 0 1" >> /etc/fstab</code><br><code>mount /mnt/md0</code></p>
<h3 id="Émincez-votre-boîtier-modemrouteur-adsl-grossièrement">Émincez votre boîtier modem/routeur ADSL grossièrement</h3>
<p>Pour rediriger le port 22 (ou 443 au choix) vers l'OlinuXIno.</p>
<h3 id="configurez-votre-machine">Configurez votre machine</h3>
<h4 id="au-moulin-à-fstab">Au moulin à <code>fstab</code>
</h4>
<p>Pour vous pour monter localement le répertoire de votre OlinuXIno via sshfs :<br><code>sudo echo "sshfs#$USER@oli:/mnt/md0 /mnt/oli fuse defaults,users,noauto 0 0" >> /etc/fstab</code></p>
<p>Remplacez <code>$USER</code> par ce que vous avez en cuisine.</p>
<p>En cas de besoin, une documentation plus détaillée est disponible en français ici : <a href="http://doc.ubuntu-fr.org/sshfs">http://doc.ubuntu-fr.org/sshfs</a></p>
<h4 id="ajoutez-une-pincée-detchosts">Ajoutez une pincée d'/etc/hosts</h4>
<p><code>sudo echo "XXX.XXX.XXX.XXX oli" >> /etc/hosts</code></p>
<p>Pour qu' « oli » pointe vers l'IP publique du boîtier ADSL.</p>
<h3 id="et-cest-prêt">Et c'est prêt !</h3>
<p>Maintenant, depuis n'importe quelle connexion Internet, en tapant : <code>mount /mnt/oli</code> vous pouvez enfourner vos données dans votre coffre-fort numérique, distant, chez vous, chiffré, redondé.</p>
<p>En ajoutant un nouvel utilisateur sur l'OlinuXIno, vous voilà avec du partage de fichiers sécurisés "à la Dropbox". Z'avez plus qu'à jouer finement sur les droits d'accès.</p>
<p>Le prochain épisode expliquera, pour le dessert, comment configurer votre serveur domestique personnel en <em>seedbox</em> pour soigner votre ratio Bittorrent !</p>
<h3 id="ps">PS</h3>
<p>Un petit :<br><code>sudo echo "Host oli\n\tPort 443" >> /etc/ssh/ssh_config</code></p>
<p>Dans le /etc/ssh/ssh_config, permet de passer par le port 443, celui du HTTPS sensé être accessible partout…</p>
<h3 id="pps">PPS</h3>
<p>J'ai eu la meme préoccupation il a y quelques années, et c'était un poil moins simple : <a href="http://s.d12s.fr/realisations/tutos/Debian_sftp_chroot.html">http://s.d12s.fr/realisations/tutos/Debian_sftp_chroot.html</a></p>
<h3 id="bonus">Bonus</h3>
<p>Pour s'assurer qu'un utilisateur n'a accès au serveur domestique qu'en SFTP, et à un sous répertoire précis (son bac à sable) :</p>
<pre><code class="sh">sudo usermod -s /usr/lib/sftp-server user2
sudo <span class="nb">echo</span> <span class="s1">'/usr/lib/sftp-server'</span> >> /etc/shells</code></pre>
<p>Le dossier de l'utilisateur doit appartenir à root:root</p>
<pre><code class="sh">sudo mkdir /mnt/md1/user2</code></pre>
<p>L'utilisateur viendra ecrire la dedans, le dossier doit lui appartenir : </p>
<pre><code class="sh">sudo mkdir /mnt/md1/user2/ecriture
sudo chown user2.user2 /mnt/md1/user2/ecriture</code></pre>
<p>il faut maintenant configurer ssh pour verrouiller l'utilisateur dans son dossier :</p>
<pre><code class="sh">sudo <span class="nb">echo</span> <span class="s2">"Subsystem sftp /usr/lib/openssh/sftp-server\n\tChrootDirectory /mnt/md1/%u\n\tX11Forwarding no\n\tAllowTcpForwarding no\n\tForceCommand internal-sftp"</span> >> /etc/ssh/sshd_config</code></pre>
<p>Pour partager entre tous les utilisateurs du serveur domestique :</p>
<pre><code class="sh">sudo mkdir /mnt/md1/user2/partage <span class="c"># (pour partager entre utilisateurs)</span>
sudo chmod <span class="m">777</span> /mnt/md1/user2/partage
sudo <span class="nb">echo</span> <span class="s2">"/mnt/md1/partage /mnt/md1/user2/partage none defaults,rbind 0 0"</span> >> /etc/fstab</code></pre>
<p>Si on souhaite partager tout le disque, mais en lecture seule, de manière récursive dans un sous répertoire, il est possible de faire :</p>
<pre><code class="sh">sudo mkdir /mnt/md1/user2/tout-le-disque-en-lecture-seule <span class="c"># (l'utilisateur pourra voir le reste du disque là)</span>
sudo <span class="nb">echo</span> <span class="s2">"bindfs#/mnt/md1 /mnt/md1/pressecitron/oli-lecture-seule fuse perms=a=rX 0 0"</span> >> /etc/fstab</code></pre>
<p>Dans tous les cas, sur l'ordinateur d'user2, il faut encore au moins :<br>
- configurer <code>/etc/hosts</code> pour qu'oli existe<br>
- s'assurer que : <code>sudo apt-get install fuse</code><br>
- créer le dossier « oli » local : <code>sudo mkdir /mnt/oli</code><br>
- et configurer <code>/etc/fstab/</code> avec<br><code>sudo echo "sshfs#$USER@oli:/ /mnt/oli fuse defaults,users,noauto 0 0" >> /etc/fstab</code></p></div><div><a href="https://linuxfr.org/news/se-passer-de-dropbox-en-montant-son-coffre-fort-numerique-a-la-maison.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/104659/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/se-passer-de-dropbox-en-montant-son-coffre-fort-numerique-a-la-maison#comments">ouvrir dans le navigateur</a>
</p>
SiltaärNÿcoBenoît SibaudNeoXbubar🦥https://linuxfr.org/nodes/104659/comments.atomtag:linuxfr.org,2005:Diary/355652015-01-28T15:33:44+01:002015-01-28T15:33:44+01:00Pourquoi cette ordure d'FTPS reste si populaire ?!Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Hey tout le monde !</p>
<p>Vous savez tous ce qu'est FTPS, c'est le FTP mais avec une sur-couche SSL pour crypter les envois et éviter que tout le monde voient vos fichiers lorsque vous les consulter. Maintenant comment installer serveur FTPS ? Beaucoup proposeront d'installer ProFTPd, d'autres le trouvant trop compliqué préféreront PureFTPd et pour finir globalement les autres utiliseront VsFTPd réputé pour sa sécurité. En somme : soit on utilise un serveur FTP simple, mais pas sécurisé et incomplet (PureFTPd), soit un très complet et plus ou moins sécurisé si bien configuré (ProFTPd), soit la meilleure option à mon avis : VsFTPd, très reconnu en terme de sécurité, un peu plus simple et suffisant en fonctionnalités.</p>
<p>Mais on a oublié une solution encore plus sûr, plus simple et relativement puissante : SFTP (combiné à <a href="http://mysecureshell.sourceforge.net/fr/index.html">MySecureShell</a>) !</p>
<p>SFTP tranche sur tous les points ! Il est clairement plus avancé, propre et sécurisé, mais ce qui démolie complètement FTPS, c'est qu'il est BIEN PLUS SIMPLE !!!</p>
<p>Pourquoi autant d'administrateurs réseau se font pirater à cause de leur incapacité à configurer ProFTPd correctement, alors qu'il suffit qu'ils baissent la tête pour observer une solution simple et qui mettra fin à leur manque de sécurité. FTP(S) est dépassé et c'est tout !</p>
<p>Alors franchement va falloir que vous m'expliquez pourquoi vous, administrateurs réseau, utilisez encore cette vieillerie d'FTPS ?!</p><div><a href="https://linuxfr.org/users/texom512/journaux/pourquoi-cette-ordure-d-ftps-reste-si-populaire.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/104631/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/texom512/journaux/pourquoi-cette-ordure-d-ftps-reste-si-populaire#comments">ouvrir dans le navigateur</a>
</p>
texom512https://linuxfr.org/nodes/104631/comments.atomtag:linuxfr.org,2005:Post/337582014-03-13T16:18:06+01:002014-03-13T16:18:06+01:00[cluster ftp]<p>Bonjour,</p>
<p>Je souhaiterais faire un cluster ftp sécurisé (j'ai testé vsftp qui a l'air pas mal mais j'ai pas trouvé pour le "clusterer"</p>
<p>Quels serveurs FTP seraient disponibles pour faire cela</p>
<p>Quelles sont leurs avantages/inconvénients ? (qualité des logs ,sécurité, souplesse, robustesse etc…)</p>
<p>Y'a t'il un moyen d'améliorer la haute disponibilité (plusieurs serveurs load balancés partageant les data via nfs etc..) </p>
<p>Environnement RHEL6.5</p>
<p>Merci</p><div><a href="https://linuxfr.org/forums/linux-general/posts/cluster-ftp.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/101535/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-general/posts/cluster-ftp#comments">ouvrir dans le navigateur</a>
</p>
lettershttps://linuxfr.org/nodes/101535/comments.atomtag:linuxfr.org,2005:Post/332432013-10-28T13:22:06+01:002013-10-28T13:22:06+01:00Serveur web : sftp<p>Bonjour à tous,</p>
<p>J'ai besoin d'un petit coup de main pour monter mon serveur.</p>
<p>Pour résumer, j'ai une part de serveur chez gandi.net. J'ai installé une distribution Ubuntu 12.10 (64bits). J'ai configuré SSH pour m'y connecter assez proprement depuis chez moi :</p>
<p>Pour résumé :</p>
<p>Je me suis sert de mon utilisateur de base : <strong>Thom</strong>. Je l'ai mis dans un groupe <strong>sshusers</strong> auquel j'ai autorisé de faire du ssh.</p>
<p><em>/etc/ssh/sshd_config</em></p>
<pre><code class="bash"><span class="c"># Changement du port par défaut</span>
Port 986
<span class="c"># Authentification:</span>
LoginGraceTime 30
PermitRootLogin no
StrictModes yes
AllowGroups sshusers
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
MaxAuthTries 2
MaxStartups 2</code></pre>
<p>Ça été ma première étape, celle qui a marché.</p>
<p>Ensuite, vient un peu mon problème.</p>
<p>J'aimerai me crée un petit espace web pour déposer les fichiers d'un site statique. Je n'ai pas besoin d'un vrai serveur web : pas d'apache, pas de base de donnée… mais seulement d'un petit espace web.</p>
<p>Du coup, je m’intéresse au protocole <strong>FTP</strong>. En feuilletant un peu, je me dis que ça serait mieux que j'installe directement un serveur <strong>SFTP</strong> : apparemment moins lourd, pas forcement besoin d'installer de gros logiciel comme <strong>proftpd</strong>… mais c'est là que ça bloque…<br>
Pas moyen de trouver un tuto qui marche chez moi: </p>
<ul>
<li><a href="http://www.ced-info.com/administration-reseaux/installer-facilement-un-serveur-sftp">http://www.ced-info.com/administration-reseaux/installer-facilement-un-serveur-sftp</a></li>
<li><a href="http://blog.srmklive.com/2013/04/24/how-to-setup-sftp-server-ftp-over-ssh-in-ubuntu/">http://blog.srmklive.com/2013/04/24/how-to-setup-sftp-server-ftp-over-ssh-in-ubuntu/</a></li>
<li><a href="http://www.mbeckler.org/blog/2012/09/20/setting-up-chroot-sftp-server-on-ubuntu-12-04/">http://www.mbeckler.org/blog/2012/09/20/setting-up-chroot-sftp-server-on-ubuntu-12-04/</a></li>
</ul><p>Dans ce que j'en comprends, je n'ai rien à installer d'autre à la base.<br>
Mais il faut que je me crée un groupe <strong>sftpusers</strong> dans lequel je met mon utilisateur et que je modifie un peu mon <em>/etc/ssh/sshd_config</em> :</p>
<pre><code class="bash">Subsystem sftp internal-sftp
Match Group sftpusers
ChrootDirectory /var/www/
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp</code></pre>
<p>Mais, voilà, à chaque fois que je fais ça, je ne peux plus me connecter en ssh sur le serveur…</p>
<p>Auriez-vous des pistes, des lectures, des conseils ?<br>
Merci !</p><div><a href="https://linuxfr.org/forums/linux-debutant/posts/serveur-web-sftp.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/100144/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-debutant/posts/serveur-web-sftp#comments">ouvrir dans le navigateur</a>
</p>
Thomhttps://linuxfr.org/nodes/100144/comments.atomtag:linuxfr.org,2005:Post/305652011-10-13T14:01:04+02:002011-10-13T14:01:04+02:00[Besoin d'aide] Accès SFTP limité (rssh, chroot, etc.)<p>Bonjour,</p>
<p>J'ai mis en place un serveur SFTP qui fonctionne très bien. J'ai créer 2 utilisateurs (user1 et user2) qui ont chacun un répertoire dans /home. Leur accès est limité à scp et sftp grâce à rssh.</p>
<p>Ce que je souhaite faire, c'est que user1 et user2 n'accède qu'à leur zone, en lecture/écriture et c'est tout. J'ai donc d'abord pensé à faire un chroot. N'ayant jamais fais ça, j'ai commencé à chercher des tutos et lire le man (brièvement je l'avoue). J'ai longtemps entendu parler de chroot, je pensais que c'était une chose assez simple mais en fait il faut copier initialement des fichiers (/bin /usr etc) dans la zone chrootée.</p>
<p>Je trouve ça assez barbare non ?<br />
Quid des mises à jours (les binaires dans le jail ne seront jamais mis à jour par le système de paquets) ?<br />
Bref, est-ce réellement nécessaire pour simplement faire du dépôt de données ?<br />
Existe-t-il des méthodes "automatisée" pour le faire proprement (sur CentOS) ?<br />
Il y a t-il plus simple pour faire ce que je veux ?</p>
<p>Merci de votre attention.</p><div><a href="https://linuxfr.org/forums/linux-general/posts/besoin-daide-acc%C3%A8s-sftp-limit%C3%A9-rssh-chroot-etc.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/87798/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-general/posts/besoin-daide-acc%C3%A8s-sftp-limit%C3%A9-rssh-chroot-etc#comments">ouvrir dans le navigateur</a>
</p>
WhiteCathttps://linuxfr.org/nodes/87798/comments.atom