Bonjour,

Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en
sftp, mais pas ouvrir de shell interactif par slogin?

Il me semble qu'essayer de redéfinir son shell par défaut dans /etc/passwd
ne marchera pas car sftp fait en fait exécuter des commandes par un shell
d'après ce que j'en ai compris...

Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine
autorisé?

Ça doit être un FAQ mais google ne m'aide pas trop sur ce coup. Merci
d'avance pour votre aide.

Manuel.

mpg wrote in message <fbf74o$2uhn$1@talisker.lacave.net>:
> Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement en
> sftp, mais pas ouvrir de shell interactif par slogin?

http://www.pizzashack.org/rssh/

> Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
> par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
> oui, cela a-t-il un effet sur les liens symboliques pointant horsdu domaine
> autorisé?

Cherche chroot dans la FAQ.

Le Sun, 02 Sep 2007 22:40:56 +0200, mpg a écrit:

> Ça doit être un FAQ mais google ne m'aide pas trop sur ce coup. Merci
> d'avance pour votre aide.

Je suis également intéressé par les réponses.

Le (on) dimanche 02 septembre 2007 22:46, Nicolas George a écrit (wrote) :

> mpg wrote in message <fbf74o$2uhn$1@talisker.lacave.net>:
>> Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement
>> en sftp, mais pas ouvrir de shell interactif par slogin?
>
> http://www.pizzashack.org/rssh/
>
Cool, c'est exactement ce que je cherchais.

>> Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
>> par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
>> oui, cela a-t-il un effet sur les liens symboliques pointant horsdu
>> domaine autorisé?
>
> Cherche chroot dans la FAQ.

Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que
j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas
accès au filesystem en dehors de <newroot> : en particulier les liens
symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien
ça?

Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
niveau de /home, et pas de leur $HOME...

Bon, je vais installer ça, feuilleter la doc et faire des tests pour
commencer, je reviens si j'ai d'autres questions.

Manuel.

Le (on) dimanche 02 septembre 2007 22:46, Nicolas George a écrit (wrote) :

> mpg wrote in message <fbf74o$2uhn$1@talisker.lacave.net>:
>> Y a-t-il moyen de créer un utilisateur qui puisse se connecter uniquement
>> en sftp, mais pas ouvrir de shell interactif par slogin?
>
> http://www.pizzashack.org/rssh/
>
Cool, c'est exactement ce que je cherchais.

>> Par ailleurs, peut-on restreindre spécifiquement les répertoires visibles
>> par l'utilisateur en sftp (par exemple, ne pas sortir de son /home). Si
>> oui, cela a-t-il un effet sur les liens symboliques pointant horsdu
>> domaine autorisé?
>
> Cherche chroot dans la FAQ.

Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que
j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas
accès au filesystem en dehors de <newroot> : en particulier les liens
symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien
ça?

Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
niveau de /home, et pas de leur $HOME...

Bon, je vais installer ça, feuilleter la doc et faire des tests pour
commencer, je reviens si j'ai d'autres questions.

Manuel.

Le Mon, 03 Sep 2007 00:41:50 +0200, mpg a écrit:

> Vu. Par contre, je n'ai jamais fait joujou avec chroot, mais d'après ce que
> j'en comprends le programme qui est exécuté sous chroot <newroot> n'a pas
> accès au filesystem en dehors de <newroot> : en particulier les liens
> symboliques pointant vers l'extérieur lui paraîtront cassés, c'est bien
> ça?

Oui si "vers l'extérieur" signifie hors de la zone "chrootée"

> Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
> niveau de /home, et pas de leur $HOME...

Tu peux créer un environnement complet, par exemple en /home/jail pour
ceux que tu veux chrooter (attention, ça signifie quand même que les
utilisateurs peuvent potentiellement se faire des crasses entre eux).

Sinon, suivant les usage, un "mount -o bind ..." est extrèmement
agréable pour ce genre de jeux. Maintenant ça dépend aussi du nombre
d'utilisateur.

Eric

Le Tue, 04 Sep 2007 01:55:30 +0200, Eric Razny a écrit:

> Tu peux créer un environnement complet, par exemple en /home/jail pour
> ceux que tu veux chrooter (attention, ça signifie quand même que les
> utilisateurs peuvent potentiellement se faire des crasses entre eux).

Précision, si l'usage est limité à sftp ou scp, sauf faille dans ces
outils ou permissions à la con dans les répertoire tout va bien. Je
pensais d'avantage à un ssh en environnement chroote

Le Tue, 04 Sep 2007 01:55:30 +0200, Eric Razny a écrit:

> Tu peux créer un environnement complet, par exemple en /home/jail pour
> ceux que tu veux chrooter (attention, ça signifie quand même que les
> utilisateurs peuvent potentiellement se faire des crasses entre eux).

Précision, si l'usage est limité à sftp ou scp, sauf faille dans ces
outils ou permissions à la con dans les répertoire tout va bien. Je
pensais d'avantage à un ssh en environnement chroote

mpg a écrit :
> Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
> niveau de /home, et pas de leur $HOME...

http://www.hsc.fr/ressources/breves/...penssh.html.fr

mpg a écrit :
> Si c'est le cas, il faudrait que je puisse chrooter les utilisateurs au
> niveau de /home, et pas de leur $HOME...

http://www.hsc.fr/ressources/breves/...penssh.html.fr