Bonjour,
Il est possible que ce soit mysecureshell qui l'interdit.
Regarde les différentes options disponibles pour trouver celles qui conviennent.
Regardes aussi les options du serveur SSH, je sais qu'en sftp, il n'est pas possible d'écrire dans le dossier root malgré la connexion en root via ssh.
Bonne journée,
[RESOLU] [SOFTWARE] Serveur SFTP / accès terminal SSH
Modérateurs : Francois, maxty01
-
- Modérateur
- Messages : 790
- Enregistré le : dim. 16 nov. 2014 20:53
- Localisation : Charleroi - Belgique
Re: [SOFTWARE] Serveur SFTP / accès terminal SSH
Il n'y a pas de question stupide, il n'y a que des imbéciles qui ne posent pas de question !
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
-
- Messages : 21
- Enregistré le : mar. 19 mai 2015 16:58
Re: [SOFTWARE] Serveur SFTP / accès terminal SSH
Au niveau du fichier config : tout est ok pour moi, je le pense.
Au niveau du fichier config : j'y ai jeté un oeil et tout semble correct aussi.
Pour les droits d'accès, je suis un peu bloqué. Avec mon arborescence, à qui dois je donné l'appartenance de mes dossiers ?
Encore un truc, pour le shell du groupe trusted_shell il ne fonctionne pas. C'est celui par défaut mais puis je le remplacer par /bin/bash ?
Cd,
Code : Tout sélectionner
/etc/ssh/sftp_config
Code : Tout sélectionner
<Default>
GlobalDownload 50k #total speed download for all clients
# o -> bytes k -> kilo bytes m -> mega bytes
GlobalUpload 0 #total speed download for all clients (0 for unlimited)
Download 5k #limit speed download for each connection
Upload 0 #unlimit speed upload for each connection
StayAtHome true #limit client to his home
VirtualChroot true #fake a chroot to the home account
LimitConnection 10 #max connection for the server sftp
LimitConnectionByUser 1 #max connection for the account
LimitConnectionByIP 2 #max connection by ip for the account
Home /home/$USER #overrite home of the user but if you want you can use
# environment variable (ie: Home /home/$USER)
IdleTimeOut 5m #(in second) deconnect client is idle too long time
ResolveIP true #resolve ip to dns
# IgnoreHidden true #treat all hidden files as if they don't exist
# DirFakeUser true #Hide real file/directory owner (just change displayed permissions)
# DirFakeGroup true #Hide real file/directory group (just change displayed permissions)
# DirFakeMode 0400 #Hide real file/directory rights (just change displayed permissions)
#Add execution right for directory if read right is set
HideNoAccess true #Hide file/directory which user has no access
# MaxOpenFilesForUser 20 #limit user to open x files on same time
# MaxWriteFilesForUser 10 #limit user to x upload on same time
# MaxReadFilesForUser 10 #limit user to x download on same time
DefaultRights 0640 0750 #Set default rights for new file and new directory
# MinimumRights 0400 0700 #Set minimum rights for files and dirs
ShowLinksAsLinks false #show links as their destinations
# ConnectionMaxLife 1d #limits connection lifetime to 1 day
# Charset "ISO-8859-15" #set charset of computer
</Default>
#Rules only for group ftp
<Group ftp_web>
Download 25 k/s
LogFile /var/log/sftp-ftp_web.log #Change logfile
#ExpireDate "2007-02-28 18:31:01"
Home /home/sftp/ftp_web #overrite home of the user but if you want you can use
</Group>
<Group ftp_dev>
Download 25 k/s
LogFile /var/log/sftp-ftp_dev.log #Change logfile
#ExpireDate "2007-02-28 18:31:01"
Home /home/sftp/ftp_dev #overrite home of the user but if you want you can use
</Group>
<Group sftp_admin>
IsAdmin true #can admin the server
VirtualChroot false #you must disable chroot to have a full support of admin
StayAtHome true
IdleTimeOut 0
Home /home/sftp #overrite home of the user but if you want you can use
</Group>
<Group old_client>
SftpProtocol 3 #force protocol SFTP
DisableAccount true #disable account
</Group>
#Rules only for group ftpnolimit
<Group ftpnolimit>
Download 0 #0 = unlimited
Upload 0 #0 = unlimited
IdleTimeOut 0 #no timeout
DirFakeUser false #show real user on file/directory
DirFakeGroup false #show real group on file/directory
DirFakeMode 0 #show real rights on file/directory
MaxReadFilesForUser 0 #0 = unlimited but still have the restriction MaxOpenFilesForUser
MaxWriteFilesForUser 0 #0 = unlimited but still have the restriction MaxOpenFilesForUser
</Group>
<Group trusted_users>
Shell /bin/tcsh #give a shell access to TRUSTED clients !!!
</Group>
Code : Tout sélectionner
/etc/ssh/sshd_config
Code : Tout sélectionner
PrintLastLog no
PrintMotd yes
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding no
X11DisplayOffset 10
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
Encore un truc, pour le shell du groupe trusted_shell il ne fonctionne pas. C'est celui par défaut mais puis je le remplacer par /bin/bash ?
Cd,
-
- Messages : 21
- Enregistré le : mar. 19 mai 2015 16:58
Re: [SOFTWARE] Serveur SFTP / accès terminal SSH
Bonjour, voilà comment j'ai résolu le problème.
Pour rappeler, je fonctionnes en droit de groupes pour mes dossiers sftp. j'ai donc créer un groupe sftp où tous mes utilisateurs sftp sont inscrits.
mes dossiers et sous dossiers ont les droits 775 et appartenance au groupe sftp.
Cd
Pour rappeler, je fonctionnes en droit de groupes pour mes dossiers sftp. j'ai donc créer un groupe sftp où tous mes utilisateurs sftp sont inscrits.
mes dossiers et sous dossiers ont les droits 775 et appartenance au groupe sftp.
Cd
-
- Messages : 21
- Enregistré le : mar. 19 mai 2015 16:58
Re: [SOFTWARE] Serveur SFTP / accès terminal SSH
Me revoilà,
En cherchant un peu j'ai trouvé un packet qui permet d'utiliser des droits d'accès plus complet.
C'est le paquet "acl". http://sorrodje.alter-it.org/index.php? ... ec-les-acl
Voilà pour l'info, ca m'a permit de mettre au propre mes droits de dossiers pour l'http et le sftp.
Cd,
En cherchant un peu j'ai trouvé un packet qui permet d'utiliser des droits d'accès plus complet.
C'est le paquet "acl". http://sorrodje.alter-it.org/index.php? ... ec-les-acl
Voilà pour l'info, ca m'a permit de mettre au propre mes droits de dossiers pour l'http et le sftp.
Cd,
Modifié en dernier par bigbrownies le mar. 9 juin 2015 21:51, modifié 1 fois.
Re: [RESOLU] [SOFTWARE] Serveur SFTP / accès terminal SSH
Je n'avais jamais utilser les ACL sous UNIX je travaille toujours avec le setuid,setgid et le sticky bit
NAS : DIY OS Debian: DD250Go + 3x2To + 6To
Raspberry pi : 2B OS : Raspbian
Se tromper est humain, Vraiment foutre la merde nécessite le mot de passe de root.
Raspberry pi : 2B OS : Raspbian
Se tromper est humain, Vraiment foutre la merde nécessite le mot de passe de root.
-
- Messages : 21
- Enregistré le : mar. 19 mai 2015 16:58
Re:[SOFTWARE] Serveur SFTP / accès terminal SSH
J'ai regardé ta manière de faire et ma première impression est que ça a l'air un peu plus lourd.
Je ne dénigre pas ta méthode mais je pense que "ACL" me convient mieux. En tout cas merci d'avoir partagé cette info ^^
EDIT: Je n'ai résolu qu'une partie du problème, celle concernant l'accès SFTP.
J'ai laissé en standby le coté shell puisque j'utilise actuellement un superutilisateur non configuré sous mysecureshell.
Je reviendrai sans doute vers vous pour ce problème.
à savoir que j'utilise le shell "bash" et que dès que je me connecte, la session est automatiquement fermé après une connexion réussie ^^
Avec ce groupe spécial pour utilisateur shell :
Je ne dénigre pas ta méthode mais je pense que "ACL" me convient mieux. En tout cas merci d'avoir partagé cette info ^^
EDIT: Je n'ai résolu qu'une partie du problème, celle concernant l'accès SFTP.
J'ai laissé en standby le coté shell puisque j'utilise actuellement un superutilisateur non configuré sous mysecureshell.
Je reviendrai sans doute vers vous pour ce problème.
à savoir que j'utilise le shell "bash" et que dès que je me connecte, la session est automatiquement fermé après une connexion réussie ^^
Avec ce groupe spécial pour utilisateur shell :
Code : Tout sélectionner
<Group trusted_users>
Shell /bin/bash #give a shell access to TRUSTED clients !!!
</Group>