Page 2 sur 2
Re: [SOFTWARE] Serveur SFTP / accès terminal SSH
Posté : sam. 6 juin 2015 10:51
par maxty01
Bonjour,
Il est possible que ce soit mysecureshell qui l'interdit.
Regarde les différentes options disponibles pour trouver celles qui conviennent.
Regardes aussi les options du serveur SSH, je sais qu'en sftp, il n'est pas possible d'écrire dans le dossier root malgré la connexion en root via ssh.
Bonne journée,
Re: [SOFTWARE] Serveur SFTP / accès terminal SSH
Posté : sam. 6 juin 2015 12:23
par bigbrownies
Au niveau du fichier config :
tout est ok pour moi, je le pense.
Code : Tout sélectionner
<Default>
GlobalDownload 50k #total speed download for all clients
# o -> bytes k -> kilo bytes m -> mega bytes
GlobalUpload 0 #total speed download for all clients (0 for unlimited)
Download 5k #limit speed download for each connection
Upload 0 #unlimit speed upload for each connection
StayAtHome true #limit client to his home
VirtualChroot true #fake a chroot to the home account
LimitConnection 10 #max connection for the server sftp
LimitConnectionByUser 1 #max connection for the account
LimitConnectionByIP 2 #max connection by ip for the account
Home /home/$USER #overrite home of the user but if you want you can use
# environment variable (ie: Home /home/$USER)
IdleTimeOut 5m #(in second) deconnect client is idle too long time
ResolveIP true #resolve ip to dns
# IgnoreHidden true #treat all hidden files as if they don't exist
# DirFakeUser true #Hide real file/directory owner (just change displayed permissions)
# DirFakeGroup true #Hide real file/directory group (just change displayed permissions)
# DirFakeMode 0400 #Hide real file/directory rights (just change displayed permissions)
#Add execution right for directory if read right is set
HideNoAccess true #Hide file/directory which user has no access
# MaxOpenFilesForUser 20 #limit user to open x files on same time
# MaxWriteFilesForUser 10 #limit user to x upload on same time
# MaxReadFilesForUser 10 #limit user to x download on same time
DefaultRights 0640 0750 #Set default rights for new file and new directory
# MinimumRights 0400 0700 #Set minimum rights for files and dirs
ShowLinksAsLinks false #show links as their destinations
# ConnectionMaxLife 1d #limits connection lifetime to 1 day
# Charset "ISO-8859-15" #set charset of computer
</Default>
#Rules only for group ftp
<Group ftp_web>
Download 25 k/s
LogFile /var/log/sftp-ftp_web.log #Change logfile
#ExpireDate "2007-02-28 18:31:01"
Home /home/sftp/ftp_web #overrite home of the user but if you want you can use
</Group>
<Group ftp_dev>
Download 25 k/s
LogFile /var/log/sftp-ftp_dev.log #Change logfile
#ExpireDate "2007-02-28 18:31:01"
Home /home/sftp/ftp_dev #overrite home of the user but if you want you can use
</Group>
<Group sftp_admin>
IsAdmin true #can admin the server
VirtualChroot false #you must disable chroot to have a full support of admin
StayAtHome true
IdleTimeOut 0
Home /home/sftp #overrite home of the user but if you want you can use
</Group>
<Group old_client>
SftpProtocol 3 #force protocol SFTP
DisableAccount true #disable account
</Group>
#Rules only for group ftpnolimit
<Group ftpnolimit>
Download 0 #0 = unlimited
Upload 0 #0 = unlimited
IdleTimeOut 0 #no timeout
DirFakeUser false #show real user on file/directory
DirFakeGroup false #show real group on file/directory
DirFakeMode 0 #show real rights on file/directory
MaxReadFilesForUser 0 #0 = unlimited but still have the restriction MaxOpenFilesForUser
MaxWriteFilesForUser 0 #0 = unlimited but still have the restriction MaxOpenFilesForUser
</Group>
<Group trusted_users>
Shell /bin/tcsh #give a shell access to TRUSTED clients !!!
</Group>
Au niveau du fichier config :
j'y ai jeté un oeil et tout semble correct aussi.
Code : Tout sélectionner
PrintLastLog no
PrintMotd yes
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding no
X11DisplayOffset 10
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
Pour les droits d'accès, je suis un peu bloqué. Avec mon arborescence, à qui dois je donné l'appartenance de mes dossiers ?
Encore un truc, pour le shell du groupe trusted_shell il ne fonctionne pas. C'est celui par défaut mais puis je le remplacer par /bin/bash ?
Cd,
Re: [SOFTWARE] Serveur SFTP / accès terminal SSH
Posté : dim. 7 juin 2015 15:26
par bigbrownies
Bonjour, voilà comment j'ai résolu le problème.
Pour rappeler, je fonctionnes en droit de groupes pour mes dossiers sftp. j'ai donc créer un groupe sftp où tous mes utilisateurs sftp sont inscrits.
mes dossiers et sous dossiers ont les droits 775 et appartenance au groupe sftp.
Cd
Re: [SOFTWARE] Serveur SFTP / accès terminal SSH
Posté : lun. 8 juin 2015 19:46
par bigbrownies
Me revoilà,
En cherchant un peu j'ai trouvé un packet qui permet d'utiliser des droits d'accès plus complet.
C'est le paquet "acl".
http://sorrodje.alter-it.org/index.php? ... ec-les-acl
Voilà pour l'info, ca m'a permit de mettre au propre mes droits de dossiers pour l'http et le sftp.
Cd,
Re: [RESOLU] [SOFTWARE] Serveur SFTP / accès terminal SSH
Posté : mar. 9 juin 2015 08:29
par Manfraid
Je n'avais jamais utilser les ACL sous UNIX je travaille toujours avec le setuid,setgid et le sticky bit
Re:[SOFTWARE] Serveur SFTP / accès terminal SSH
Posté : mar. 9 juin 2015 18:47
par bigbrownies
J'ai regardé ta manière de faire et ma première impression est que ça a l'air un peu plus lourd.
Je ne dénigre pas ta méthode mais je pense que "ACL" me convient mieux. En tout cas merci d'avoir partagé cette info ^^
EDIT: Je n'ai résolu qu'une partie du problème, celle concernant l'accès SFTP.
J'ai laissé en standby le coté shell puisque j'utilise actuellement un superutilisateur non configuré sous mysecureshell.
Je reviendrai sans doute vers vous pour ce problème.
à savoir que j'utilise le shell "bash" et que dès que je me connecte, la session est automatiquement fermé après une connexion réussie ^^
Avec ce groupe spécial pour utilisateur shell :
Code : Tout sélectionner
<Group trusted_users>
Shell /bin/bash #give a shell access to TRUSTED clients !!!
</Group>