[RESOLU] [SOFTWARE] Serveur SFTP / accès terminal SSH

[bigbrownies]

Bonjour,

Si je suis ici aujourd'hui c'est que je suis à cours de ressources. J'ai fouillé le web pour trouver ma solution mais je ne la vois pas. Je m'en remet à vous. Sans doute je suis passé à coté de quelque chose.

Voilà je vais vous expliquer un peu le contexte. Je prends la main sur Débian à travers la raspberry-pi sous Raspbian (Debian wheezy 7.8) qui est donc sous processeur ARM.
Aujourd'hui est installé sur la machine un serveur apache, une bdd mysql + phpmyadmin et ssh(de base) avec un utilisateur pi préconfiguré.
Ce que je cherche à faire c'est de créer des groupes chrootés dans leurs dossiers (liés symboliquement à un seul et unique dossier source).
J'aimerai désactiver l'utilisateur pi (trop connu) pour en changer mais rester utilisateur libre de mon système non chrooté.

EDIT: les problèmes que je rencontre sont les suivant :
- Mon user "6Q_rtG59[p" n'arrive pas à se connecter au terminal SSH et en SFTP tandis que l'utilisateur "pi" que je souhaite remplacer y accède.
- Mon user "tech0" arrive à se connecter en SFTP mais il est impossible de rentrer dans les dossiers "sitetech" et "siteclient". Je pense que c'est un problème de droit d'accès aux dossiers et/ou l'appartenance des dossiers.
- Mon user "tech0" arrive à se connecter au terminal SSH mais est déconnecté instantanément du serveur. Il doit y avoir une option que je n'ai pas vu qui lui interdit cela.

Aujourd'hui, voila à quoi ressemble mon /etc/ssh/sshd_config :

Code : Tout sélectionner

Port 22
Protocol 2

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key

UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768

SyslogFacility AUTH
LogLevel INFO

LoginGraceTime 120
PermitRootLogin no
StrictModes yes
#RSAAuthentication yes

PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
#IgnoreUserKnownHosts yes

PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

#Subsystem sftp /usr/lib/openssh/sftp-server
#Subsystem sftp /bin/false
Subsystem sftp internal-sftp

UsePAM yes

#DenyUsers root
#AllowUsers 6Q_rtG59[p,pi
#DenyGroups root
#AllowGroups siteclient,sitetech,pi,6Q_rtG59[p,pi

Match Group siteclient
        ChrootDirectory /home/users/%u
        ForceCommand internal-sftp
        X11Forwarding no
        AllowTCPForwarding no

Match Group sitetech
        ChrootDirectory /home/users/%u
        ForceCommand internal-sftp
        X11Forwarding no
        AllowTCPForwarding no

Quand je met :

Code : Tout sélectionner

#DenyUsers root
#AllowUsers 6Q_rtG59[p,pi
#DenyGroups root
#AllowGroups siteclient,sitetech,pi,6Q_rtG59[p,pi

en non commenté alors mon accès au serveur est refusé quelque soit l'utilisateur, quelque soit le groupe de l'utilisateur.

mon arborescence :

Code : Tout sélectionner

/
|--/home
     |---/pi
     |---/sftp
     |     |---/siteclient
     |     |      |---/public_html
     |     |---/sitetech
     |     |      |---/public_html
     |---/users
     |     |---/tech0
     |     |      |---/sitclient
     |     |      |      |---/public_html
     |     |      |---/sitetech
     |     |      |      |---/public_html
     |---/6Q_rtG59[p

Pour information à l'aide de la commande

Code : Tout sélectionner

sudo ln -s /home/sft/siteclient /home/users/tech0

j'ai créer un lien symbolique entre les dossiers.

mes droits et possessions de dossiers :
ls -ld /home

Code : Tout sélectionner

drwxr-xr-x 7 root root 4096 mai   19 08:59 /home

ls -l /home

Code : Tout sélectionner

total 20
drwxr-xr-x 2 6Q_rtG59[p 6Q_rtG59[p 4096 mai   19 09:05 6Q_rtG59[p
drwxr-xr-x 3 pi         pi         4096 mai   19 12:39 pi
drwxr-xr-x 5 root       root       4096 mai   19 08:39 sftp
drwxr-xr-x 3 root       root       4096 mai   19 08:40 users
drwxrwxrwx 2 root       root       4096 mai    9 16:41 www

ls -l /home/sftp

Code : Tout sélectionner

total 12
drwxr-xr-x 3 root root 4096 mai   19 08:46 centrale
drwxr-xr-x 3 root root 4096 mai   19 08:41 siteclient
drwxr-xr-x 3 root root 4096 mai   19 08:44 sitetech

ls -l /home/sftp/siteclient

Code : Tout sélectionner

total 4
drwxrwxr-x 2 root siteclient 4096 mai   19 08:41 public_html

ls -l /home/sftp/sitetech

Code : Tout sélectionner

total 4
drwxrwxr-x 2 root sitetech 4096 mai   19 08:44 public_html

ls -l /home/users

Code : Tout sélectionner

total 4
drwxr-xr-x 2 root root 4096 mai   19 12:05 tech0

ls -l /home/users/tech0

Code : Tout sélectionner

total 0
lrwxrwxrwx 1 tech0 root 21 mai   19 11:58 siteclient -> /home/sftp/siteclient
lrwxrwxrwx 1 tech0 root 19 mai   19 12:05 sitetech -> /home/sftp/sitetech

mon /etc/group :

Code : Tout sélectionner

root:x:0:
adm:x:4:pi,6Q_rtG59[p
dialout:x:20:pi,6Q_rtG59[p
cdrom:x:24:pi,6Q_rtG59[p
sudo:x:27:pi,6Q_rtG59[p
audio:x:29:pi,6Q_rtG59[p
video:x:44:pi,6Q_rtG59[p
plugdev:x:46:pi,6Q_rtG59[p
games:x:60:pi,6Q_rtG59[p
users:x:100:pi,6Q_rtG59[p
pi:x:1000:
netdev:x:105:pi,6Q_rtG59[p
input:x:999:pi,6Q_rtG59[p
indiecity:x:1001:root
spi:x:1002:pi,6Q_rtG59[p
gpio:x:1003:pi,6Q_rtG59[p
siteclient:x:1004:6Q_rtG59[p
sitetech:x:1005:6Q_rtG59[p
6Q_rtG59[p:x:1007:6Q_rtG59[p

je n'ai mis que les groupes intéressants pour mon problème, si vous voulez plus de détail, dites le moi.

mon /etc/passwd :

Code : Tout sélectionner

tech0:x:1001:1004::/home/users/tech0:/bin/bash
6Q_rtG59[p:x:1002:1007::/home/6Q_rtG59[p:/bin/bash
pi:x:1000:1000:,,,:/home/pi:/bin/bash

je n'ai mis que les utilisateurs intéressants pour mon problème, si vous voulez plus de détail, dites le moi.

Je vous aurai bien envoyé le log auth.log mais celui ne donne rien.

Merci par avance du temps que vous m'offrirez.

J'ai essayé d'être le plus clair possible que ce soit en écriture qu'en schéma/code.

Cd, bigbrownies

[bigbrownies]

Je reviens à vous avec quelques informations et questionnements.

Mon user "tech0" arrive à se connecter en SFTP mais il est impossible de rentrer dans les dossiers "sitetech" et "siteclient". Je pense que c'est un problème de droit d'accès aux dossiers et/ou l'appartenance des dossiers.

voila de la part de filezilla ce que j'obtiens :

Code : Tout sélectionner

Statut :	Démarrage du téléchargement de /sitetech
Commande :	get "sitetech" "C:\Users\Oriano Jean\Desktop\sitetech"
Erreur :	/sitetech: open for read: no such file or directory
Erreur :	Échec du transfert du fichier

Voila la version de mon Open-ssh : OpenSSH_6.0p1 Debian-4+deb7u2, OpenSSL 1.0.1e 11 Feb 2013

J'ai vu sur quelques forum que la version pouvait poser problème (BUG)
Ils disent que c'est du au nom des dossiers qui ne doivent pas avoir de caractères spéciaux. Est il possible que ce soit la même chose avec le nom d'utilisateur car il y a un 0 dans mon nom d'utilisateur "tech0".
Je vais test ça.

EDIT: Ce n'est pas ça le problème.

[maxty01]

Bonsoir,

A ta première question je répondrai :
Ton utilisateur n'est pas "traditionnel" et je doute que le SSH apprécie cette subtilité.
Et je serai du même avis pour ton second utilisateur, mais j'ai des doutes.

Est-ce que, selon tes besoins, tu ne devrais pas utiliser un ftp (ou ftps avec la couche SSL) pour ton projet ?
Le SFTP est plus utile pour l'administration système, je l'utilise très régulièrement au boulot, mais en tant que root ...

Bonne soirée,

[Manfraid]

Personnellement j'utilise mysecureshell pour la gestion du sftp mais je ne sais pas si il existe or raspian de l'utilise que pour debian

édit : si tu es passer en version 8 de raspbian (Jessie) le paquet existe dans la distribution

Voici la documentation ici

[bigbrownies]

Merci pour vos réponses rapides ^^

Ton utilisateur n'est pas "traditionnel" et je doute que le SSH apprécie cette subtilité.
Et je serai du même avis pour ton second utilisateur, mais j'ai des doutes.

Qu'entends tu par traditionnel ?

Est-ce que, selon tes besoins, tu ne devrais pas utiliser un ftp (ou ftps avec la couche SSL) pour ton projet ?
Le SFTP est plus utile pour l'administration système, je l'utilise très régulièrement au boulot, mais en tant que root ...

J'ai déjà mis en place un serveur FTPS avec couche SSL mais cela n'autorise pas mes utilisateurs à accéder au Terminal.
De plus j'ai vu, le long des forums et articles, que le protocôle SSH sécurisait grandement la connexion au serveur.
Puis si j'utilise FTPS, il me faut quand même configurer mon serveur SFTP / SSH pour mon "admin" serveur. Parceque l'utilisateur de base pi a une clef 2048 (j'aimerai passer en 4096), le nom reste simple.

édit : si tu es passer en version 8 de raspbian (Jessie) le paquet existe dans la distribution

Voici la documentation ici

Je suis entreint de mettre à jour ma raspberry pi, je tiens au courant.

[maxty01]

Bonsoir,

Ton utilisateur n'est pas "traditionnel" et je doute que le SSH apprécie cette subtilité.
Et je serai du même avis pour ton second utilisateur, mais j'ai des doutes.

Qu'entends tu par traditionnel ?

Un utilisateur uniquement en alphanumérique, et pas aussi complexe qu'un mot de passe, voila ce que je voulais dire.

Bonne soirée,

[Korhm]

Bonjour,

- Mon user "6Q_rtG59[p" n'arrive pas à se connecter au terminal SSH et en SFTP tandis que l'utilisateur "pi" que je souhaite remplacer y accède.

C'est peut-être un problème de nom d'utilisateur comme l'a soulevé maxty01.
A priori, voici ce d'indique la documentation POSIX
3.431 User Name
A string that is used to identify a user; see also User Database. To be portable across systems conforming to POSIX.1-2008, the value is composed of characters from the portable filename character set. The <hyphen> character should not be used as the first character of a portable user name.

3.278 Portable Filename Character Set
The set of characters from which portable filenames are constructed.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
a b c d e f g h i j k l m n o p q r s t u v w x y z
0 1 2 3 4 5 6 7 8 9 . _ -

=> Le caractère [ pose peut-être quelques problèmes (?)

-------------------------------------------------------------------------------------------------------------

- Mon user "tech0" arrive à se connecter en SFTP mais il est impossible de rentrer dans les dossiers "sitetech" et "siteclient". Je pense que c'est un problème de droit d'accès aux dossiers et/ou l'appartenance des dossiers.

Le problème ici est que le serveur sftp ne suit pas vraiment les liens symboliques.
Quand tu te logues avec ton user, le /home/users/tech0 devient la racine du serveur sftp ("/"). Quand tu tentes d'accéder à /home/sftp/siteclient via le lien sympoblique, le sftp va l'interpréter commer /home/users/tech0/home/sft/siteclient ...
La solution est de monté /home/sftp/siteclient dans /home/usres/tech0 grâce à une option un peu spéciale de la commande mount :

Code : Tout sélectionner

mount --bind /home/sftp/siteclient /home/users/tech0/siteclient

Et ne pas oublié de le mettre dans /etc/fstab

Code : Tout sélectionner

/home/sftp/siteclient /home/users/tech0/siteclient    none    bind    0    0

-------------------------------------------------------------------------------------------------------------

- Mon user "tech0" arrive à se connecter au terminal SSH mais est déconnecté instantanément du serveur. Il doit y avoir une option que je n'ai pas vu qui lui interdit cela.

Est-ce que tu obtiens le prompt du mot de passe ?
Y a t'il un message d'erreur particulier ? Que disent les logs ?

[bigbrownies]

J'ai simplifier le compte admin en le nomant admin (pour les test).
J'ai ensuite suivis le conseil de mysecureshell vu que maintenant raspbian est dispo sous jessie avec le pacquet intégré.
La mise en place est plus simple et instinctive.

Problème "contourné" mais pour moi c'est une solution.

Voila le lien vers la doc :
http://mysecureshell.readthedocs.org/en ... group.html

Et un petit tuto :
http://www.unixmen.com/setup-secure-ftp ... cureshell/

[maxty01]

Bonjour,

Merci pour le partage d'informations.

N'hésite pas à mettre un [RESOLU] dans le Sujet.

Bien à toi,

[bigbrownies]

Je me permet de réouvrir le sujet.

Pour résumé les précédents postes, j'ai installé mysecureshell sous raspbian jessie 8.0.
J'arrive à me connecter en sftp mais je n'ai pas de droit d'écriture sur mes dossiers.
Dès que je fais une tentative d'upload ou de créer un dossier/fichier j'ai le message permission denied.
J'imagine que c'est un problème de droits sur mes dossiers ?

mon arborescence est sous root:root et permissions 755.

Cd,