Forum debian-fr.org

Ben si tu as une méthode dont tu es content, pourquoi voudrais-tu en changer ?
Nous, on estime que la présente méthode est "parfaite". L'utilisateur ne peux naviguer que dans un univers TRÈS restreint.

_________________
"L'action est plus efficace que la polémique, mais plus rare."
"Pas de Droite, pas de Gauche mais "ailleurs et partout", "Franchouillard" et même pas honte !
Ricardo (1936-...)

bien oui je c'est bien sa , mais comme les 2 méthodes semble proposée les mêmes avantages, c'est a dir bloquer les users dans leur homes et les limiter au sftp .

l'une avec des paquet supplémentaire a openssh et l'autre non, y'a forcement une différence qui justifie l'ajout de paquet mais je ne la voie pas (je suis pas un expaire ) . Aussi j'aimerai apprendre , les pours , et les contres, ensuite chacun choisi en fonction de c'est priorités et/ou directives (ex facilité de mise en œuvre , sécurités accru , flexibilité ... ).

Bon j'ai quant même trouver quelque différences : avec rssh on a un réglage plus fin des droits, mais c'est un peut plus compliquer a maître en œuvre. niveaux sécurité sa ce vaux on dirais .

_________________
materielcompaq SG3 serie proce: AMD Athlon(tm) II 170u carte graphique: ATI Technologies Inc 760G [Radeon 3000] wifi: néant
sous squeeze amd64

Salut

Non, la méthode sftp+rssh ne bloque pas les users dans leur home: avec cette méthode, tu crées un chroot dans lequel apparaissent les dossiers dev etc et lib puis tous les dossiers que tu as besion de rajouter (des homes pour tes users si tu le désires). Les users ne peuvent sortir de ce chroot (qui n'est pas leur home).
Donc la remarque du lien que tu cites est fausse car imprécise: par "tout « / »", il faut comprendre le / du chroot. Ton serveur ne se limite pas du tout à ça (le / du serveur n'est bien évidemment pas le / du chroot).
De plus avec une gestion fine des droits, les users ne peuvent pas trop se ballader dans les dossiers sensibles du chroot: tu peux interdire à tes users en lecture et écriture les etc lib et usr du chroot, et interdire en écriture dev. Puis mettre les permissions que tu veux sur les dossiers que tu auras rajouté.
Maintenant, la méthode proposé par ton lien (et donc par openssh) doit aussi être efficace. Mais, si tes users sont enfermés dans leurs homes respectifs, ça empêche de partager un dossier commun (travail collaboratif par exemple ) entre différents users. Ça peut en gêner certains.

Avec sftp+rssh, les users peuvent se ballader dans la racine du chroot mais ne peuvent rien y faire (ils ne peuvent pas voir le contenu de etc, lib et usr, et même s'ils peuvent voir le contenu de dev, ils ne peuvent rien y faire). Donc au bilan leur ballade dans le chroot se résume à pas gd chose...Et ils ne peuvent bien évidemment pas se ballader en dehors du chroot (sur ton serveur).

_________________
fixe: Intel Core2Duo E7200 - 2 Go RAM - Nvidia 9500GT Silent - squeeze/sid (amd64) - kde 4.3
portable toshiba satellite pro 4600 (700 MHz 256 ram): debian Lenny Fluxbox
Netbook Samsung NC10: squeeze/sid - Xfce+compiz

@ hulk :
Crois-bien que s'il en avait été autrement, je n'aurais pas donné de permission à ce voyou de Yanlolot pour aller sur mon serveur

_________________
"L'action est plus efficace que la polémique, mais plus rare."
"Pas de Droite, pas de Gauche mais "ailleurs et partout", "Franchouillard" et même pas honte !
Ricardo (1936-...)

Merci beaucoup a tous pour ces infos, tous et plus claire pour moi!

_________________
materielcompaq SG3 serie proce: AMD Athlon(tm) II 170u carte graphique: ATI Technologies Inc 760G [Radeon 3000] wifi: néant
sous squeeze amd64

Salut tout le monde,

J'ai suivi le tuto proposé dans le premier post, très détaillé et facile par ailleurs, seulement j'ai un soucis au niveau du chroot.

Si j'ai bien compris, une fois chroot bien configuré l'utilisateur ne peut pas pouvoir remonter jusqu'à la racine du système et ainsi voir les etc, usr, var et autres ?

Parce que dans mon cas l'utilisateurs peut se balader où il veut.

Au besoin, mon fichier rssh.conf :

logfacility = LOG_USER
allowsftp
umask=022
chrootpath = "/home/sftp"

Petite question, mon utilisateur, appelont-le "machin", doit avoir comme chroot /home/machin obligatoirement ?

si je me log en tant que : machin@localhost, je vois toute l'arborescence de mon serveur : fichiers et autres. Cependant je ne peux pas faire "cat /etc/rssh.conf", est-ce une sécurité suffisante de simplement ne pas pouvoir exécuter les commandes habituelles ?

Merci de vos réponses,
Seb

Ben si tu suis ça à la lettre, 'machin' ne pourra pas remonter plus haut que /home/sftp, qu'il ne verra même pas, seulement :
sftp >
comme invite, si ma mémoire est bonne.

_________________
"L'action est plus efficace que la polémique, mais plus rare."
"Pas de Droite, pas de Gauche mais "ailleurs et partout", "Franchouillard" et même pas honte !
Ricardo (1936-...)

Complètement d'accord, quand il se connecte, le prompt est "sftp>", mais un coup de "lcd .." et il remonte sans problème chez moi. Après s'il ne peut pas effectuer de commande donc ça me va à peu près, mais je pense que j'ai du mal faire un truc.

Je ne comprends pas ta commande "lcd..."
Peux-tu me la donner en entier car moi, j'ai essayé par tous les moyens et je n'ai jamais réussi à remonter plus haut.

_________________
"L'action est plus efficace que la polémique, mais plus rare."
"Pas de Droite, pas de Gauche mais "ailleurs et partout", "Franchouillard" et même pas honte !
Ricardo (1936-...)

C'est complètement de ma faute, je me suis rendu compte en testant avec l'ami pour lequel j'ai fait ce compte qu'en fait, voila ce qui ce passait :
_ Je me connectais en ssh sur mon serveur
_ Je me loggais avec sftp machin@localhost via mon ssh
_ login/mdp correct -> connection acceptée
_ et en faisant "lcd .." je remontais dans l'arborescence de mon système local.

Je sais que ça n'a pas l'air très clair, mais dans ma tête ça l'est ^^

Merci de ton aide en tout cas