[RESOLU] [SOFTWARE] Serveur SFTP / accès terminal SSH

[maxty01]

Bonjour,

Il est possible que ce soit mysecureshell qui l'interdit.
Regarde les différentes options disponibles pour trouver celles qui conviennent.

Regardes aussi les options du serveur SSH, je sais qu'en sftp, il n'est pas possible d'écrire dans le dossier root malgré la connexion en root via ssh.

Bonne journée,

[bigbrownies]

Au niveau du fichier config :

Code : Tout sélectionner

/etc/ssh/sftp_config

tout est ok pour moi, je le pense.

Code : Tout sélectionner

<Default>
        GlobalDownload          50k     #total speed download for all clients
                                        # o -> bytes   k -> kilo bytes   m -> mega bytes
        GlobalUpload            0       #total speed download for all clients (0 for unlimited)
        Download                5k      #limit speed download for each connection
        Upload                  0       #unlimit speed upload for each connection
        StayAtHome              true    #limit client to his home
        VirtualChroot           true    #fake a chroot to the home account
        LimitConnection         10      #max connection for the server sftp
        LimitConnectionByUser   1       #max connection for the account
        LimitConnectionByIP     2       #max connection by ip for the account
        Home                    /home/$USER     #overrite home of the user but if you want you can use
                                        #       environment variable (ie: Home /home/$USER)
        IdleTimeOut             5m      #(in second) deconnect client is idle too long time
        ResolveIP               true    #resolve ip to dns
#       IgnoreHidden            true    #treat all hidden files as if they don't exist
#       DirFakeUser             true    #Hide real file/directory owner (just change displayed permissions)
#       DirFakeGroup            true    #Hide real file/directory group (just change displayed permissions)
#       DirFakeMode             0400    #Hide real file/directory rights (just change displayed permissions)
                                        #Add execution right for directory if read right is set
        HideNoAccess            true    #Hide file/directory which user has no access
#       MaxOpenFilesForUser     20      #limit user to open x files on same time
#       MaxWriteFilesForUser    10      #limit user to x upload on same time
#       MaxReadFilesForUser     10      #limit user to x download on same time
        DefaultRights           0640 0750       #Set default rights for new file and new directory
#       MinimumRights           0400 0700       #Set minimum rights for files and dirs

        ShowLinksAsLinks        false   #show links as their destinations
#       ConnectionMaxLife       1d      #limits connection lifetime to 1 day

#       Charset                 "ISO-8859-15"   #set charset of computer
</Default>

#Rules only for group ftp
<Group ftp_web>
        Download        25 k/s
        LogFile         /var/log/sftp-ftp_web.log       #Change logfile
        #ExpireDate     "2007-02-28 18:31:01"
        Home            /home/sftp/ftp_web     #overrite home of the user but if you want you can use
</Group>

<Group ftp_dev>
        Download        25 k/s
        LogFile         /var/log/sftp-ftp_dev.log       #Change logfile
        #ExpireDate     "2007-02-28 18:31:01"
        Home            /home/sftp/ftp_dev     #overrite home of the user but if you want you can use
</Group>
<Group sftp_admin>
        IsAdmin         true            #can admin the server
        VirtualChroot   false           #you must disable chroot to have a full support of admin
        StayAtHome      true
        IdleTimeOut     0
        Home            /home/sftp     #overrite home of the user but if you want you can use
</Group>

<Group old_client>
        SftpProtocol            3       #force protocol SFTP
        DisableAccount          true    #disable account
</Group>

#Rules only for group ftpnolimit
<Group ftpnolimit>
        Download                0       #0 = unlimited
        Upload                  0       #0 = unlimited
        IdleTimeOut             0       #no timeout
        DirFakeUser             false   #show real user on file/directory
        DirFakeGroup            false   #show real group on file/directory
        DirFakeMode             0       #show real rights on file/directory
        MaxReadFilesForUser     0       #0 = unlimited but still have the restriction MaxOpenFilesForUser
        MaxWriteFilesForUser    0       #0 = unlimited but still have the restriction MaxOpenFilesForUser
</Group>
<Group trusted_users>
        Shell           /bin/tcsh       #give a shell access to TRUSTED clients !!!
</Group>

Au niveau du fichier config :

Code : Tout sélectionner

/etc/ssh/sshd_config

j'y ai jeté un oeil et tout semble correct aussi.

Code : Tout sélectionner

PrintLastLog no
PrintMotd yes

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key

UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no

X11Forwarding no
X11DisplayOffset 10
TCPKeepAlive yes
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

Pour les droits d'accès, je suis un peu bloqué. Avec mon arborescence, à qui dois je donné l'appartenance de mes dossiers ?

Encore un truc, pour le shell du groupe trusted_shell il ne fonctionne pas. C'est celui par défaut mais puis je le remplacer par /bin/bash ?
Cd,

[bigbrownies]

Bonjour, voilà comment j'ai résolu le problème.

Pour rappeler, je fonctionnes en droit de groupes pour mes dossiers sftp. j'ai donc créer un groupe sftp où tous mes utilisateurs sftp sont inscrits.
mes dossiers et sous dossiers ont les droits 775 et appartenance au groupe sftp.

Cd

[bigbrownies]

Me revoilà,

En cherchant un peu j'ai trouvé un packet qui permet d'utiliser des droits d'accès plus complet.

C'est le paquet "acl". http://sorrodje.alter-it.org/index.php? ... ec-les-acl

Voilà pour l'info, ca m'a permit de mettre au propre mes droits de dossiers pour l'http et le sftp.

Cd,

[Manfraid]

Je n'avais jamais utilser les ACL sous UNIX je travaille toujours avec le setuid,setgid et le sticky bit

[bigbrownies]

J'ai regardé ta manière de faire et ma première impression est que ça a l'air un peu plus lourd.
Je ne dénigre pas ta méthode mais je pense que "ACL" me convient mieux. En tout cas merci d'avoir partagé cette info ^^

EDIT: Je n'ai résolu qu'une partie du problème, celle concernant l'accès SFTP.
J'ai laissé en standby le coté shell puisque j'utilise actuellement un superutilisateur non configuré sous mysecureshell.
Je reviendrai sans doute vers vous pour ce problème.

à savoir que j'utilise le shell "bash" et que dès que je me connecte, la session est automatiquement fermé après une connexion réussie ^^

Avec ce groupe spécial pour utilisateur shell :

Code : Tout sélectionner

<Group trusted_users>
        Shell           /bin/bash       #give a shell access to TRUSTED clients !!!
</Group>