Bonjour

Depuis un moment je peux accéder à mon serveur en tant que super-user (je suppose) mais je ne peux permettre à personne d’y accéder pour des raisons que j’ignore.

Je ne sais pas quelle manip j’ai pu faire à part des désinstall de ftp/sftp antérieures. Du coup j’ai suivi un tout petit tuto à cette adresse http://www.kitpages.fr/fr/cms/193/installer-un-sftp-avec-chroot-sur-debian mais de prime abord je n’y ai pas trouvé où l’auteur avait mis les mots de pass mais ça encore ça va j’ai créé un user et je lui ai attribué un passwd sans souci.
Mon souci est que je n’arrive pas à connecté ce user via ssh ou un cient ftp…

Puis-je vous demander d em’aider à résoudre ce problème svp ?

Merci par avance

Bonjour,

Peux-tu fournir la sortie des commandes :

Parce que si tu as suivi ce tuto, il faudrait vérifier que tu ais correctement mis l’utilisateur dans le groupe que tu as autorisé pour le FTP, et qu’il ait le droit de lire le répertoire cible à minima.

Ainsi qu’un extrait des logs de ton ftp (dans /var/log) ne serait pas de refus après une tentative de login échouée.

bonjour.

dans votre tuto:

Créer un compte sftp
Créer un user unix

Créer un user unix classique

useradd testuser --gid sftp_chroot --groups sftp_chroot -m --shell /bin/false

les utilisateurs qui se connectent sur le serveur doivent être des utilisateurs régulièrement enregistrés sur votre machine avec leur login et leur passwd.

[quote=“peria”]Bonjour,

Peux-tu fournir la sortie des commandes :

Parce que si tu as suivi ce tuto, il faudrait vérifier que tu ais correctement mis l’utilisateur dans le groupe que tu as autorisé pour le FTP, et qu’il ait le droit de lire le répertoire cible à minima.

Ainsi qu’un extrait des logs de ton ftp (dans /var/log) ne serait pas de refus après une tentative de login échouée.[/quote]

root@smtp:~# cat /etc/group root:x:0:kri2sis daemon:x:1: bin:x:2: sys:x:3: adm:x:4:www-data tty:x:5: disk:x:6: lp:x:7: mail:x:8: news:x:9: uucp:x:10: man:x:12: proxy:x:13: kmem:x:15: dialout:x:20: fax:x:21: voice:x:22: cdrom:x:24:kri2sis floppy:x:25:kri2sis tape:x:26: sudo:x:27:kri2sis audio:x:29:pulse,kri2sis dip:x:30:kri2sis www-data:x:33:gintoxic,christele,kri2sis,tony backup:x:34: operator:x:37: list:x:38: irc:x:39: src:x:40: gnats:x:41: shadow:x:42: utmp:x:43: video:x:44:kri2sis sasl:x:45: plugdev:x:46:kri2sis staff:x:50: games:x:60: users:x:100:kri2sis,christele,sheitan,gaetan nogroup:x:65534: libuuid:x:101: crontab:x:102: fuse:x:103: scanner:x:104:saned,kri2sis messagebus:x:105: colord:x:106: lpadmin:x:107: ssl-cert:x:108:postgres bluetooth:x:109:kri2sis utempter:x:110: winbindd_priv:x:111: netdev:x:112:kri2sis Debian-exim:x:113: mlocate:x:114: ssh:x:115: avahi:x:116: bind:x:117: dovecot:x:118: pulse:x:119: pulse-access:x:120: postgres:x:121: rtkit:x:122: sambashare:x:123: saned:x:124: debian-spamd:x:125: Debian-gdm:x:126: kri2sis:x:1000:gintoxic,kri2sis gintoxic:x:1001: christele:x:1002: raid:x:1003: tony:x:1004: sftpusers:x:1005:gintoxic,christele,tony,jp mysql:x:127: unbound:x:128: cluebringer:x:129: postfix:x:130: postdrop:x:131: clamav:x:132: amavis:x:133:clamav vmail:x:2000: iredadmin:x:2001: iredapd:x:2002: raid5:x:1006:kri2sis,tony,christele,jp sheitan:x:2003: jp:x:1007: ftpgroup:x:2004: sftp_chroot:x:1008:gaetan

root@smtp:~# ls -l /home total 68 drwxr-xr-x 4 christele www-data 4096 oct. 17 2013 christele drwxr-x--- 2 kri2sis kri2sis 4096 oct. 17 2013 dev drwxr-x--- 2 kri2sis kri2sis 4096 oct. 17 2013 etc drwxr-xr-x 3 root root 4096 févr. 11 11:22 ftp drwxr-xr-x 3 root sftp_chroot 4096 mai 19 00:19 gaetan drwxr-xr-x 25 gintoxic www-data 4096 févr. 8 16:30 gintoxic drwxr-xr-x 2 iredadmin iredadmin 4096 oct. 24 2013 iredadmin drwxr-xr-x 2 iredapd iredapd 4096 oct. 24 2013 iredapd drwxr-xr-x 2 root root 4096 déc. 23 2013 jp drwxr-x--- 35 kri2sis kri2sis 4096 févr. 8 15:18 kri2sis drwxr-x--- 3 kri2sis kri2sis 4096 oct. 17 2013 lib drwxr-x--- 2 kri2sis kri2sis 4096 oct. 17 2013 lib64 drwxrwx--- 12 root raid5 4096 mai 8 2014 raid5 drwxr-xr-x 3 root root 4096 nov. 13 2013 shares drwxr-xr-x 2 sheitan sheitan 4096 nov. 13 2013 sheitan drwxr-xr-x 6 tony www-data 4096 oct. 19 2013 tony drwxr-x--- 4 kri2sis kri2sis 4096 oct. 17 2013 usr

[quote=“avram”]bonjour.

dans votre tuto:

Créer un compte sftp
Créer un user unix

Créer un user unix classique

useradd testuser --gid sftp_chroot --groups sftp_chroot -m --shell /bin/false

les utilisateurs qui se connectent sur le serveur doivent être des utilisateurs régulièrement enregistrés sur votre machine avec leur login et leur passwd.[/quote]

J’ai suivi le tuto mais rien à faire, impossible de logger un seul user…

Qu’entendez-vous par “doivent être des utilisateurs régulièrement enregistrés sur votre machine”, svp ?

bonjour kri2sis.

ce sont les utilisateurs existants sur votre machine qui sont définis par leur login et leur passwd.
Le tuto que vous avez suivi a créé l’utilisateur “testuser” mais il faut lui donner son passwd à l’aide de la commande:

et vous lui créez son mot de passe.

Ensuite vous éditez votre fichier /etc/ssh/sshd_config et vous rajoutez l’utilisateur testuser aux utilisateurs autorisés à se connecter par ssh:

et vous relancez ssh:

Je viens de faire la manip exactement comme dans le tuto en faisant en plus ce que je viens de vous dire et la connection sftp fonctionne avec filezilla pour l’utilisateur testuser.Chez moi ne fonctionne pas en ligne de commande parce que mon port ssh est déporté ou alors je ne dois pas utiliser la bonne syntaxe.

Bonjour et merci

J’ai remplacé tesuser par gaetan et ça ne semble pas fonctionner (du moins je n’arrive pas à le faire fonctionner)

J’ai créer un fichier pour le script mais comme je ne suis pas habitué à Debian, je ne sais pas quoi en faire donc il est je ne sais où…

je ne saisi pas pourquoi je n’y arrive pas et pourtant mes users sont en “AllowUsers” dans le fichier /etc/ssh/sshd_config…

réponse de fileZilla (pareil pour testuser pour qui j’ai refait le tuto)

[quote]Réponse : fzSftp started, protocol_version=2
Commande : open "gaetan@symposion.fr" 666
Commande : Pass: **********
Erreur : Network error: Software caused connection abort
Erreur : Impossible d’établir une connexion au serveur[/quote]

[quote=“kri2sis”]réponse de fileZilla (pareil pour testuser pour qui j’ai refait le tuto)

[quote]Réponse : fzSftp started, protocol_version=2
Commande : open "gaetan@symposion.fr" 666
Commande : Pass: **********
Erreur : Network error: Software caused connection abort
Erreur : Impossible d’établir une connexion au serveur[/quote][/quote]

depuis votre propre machine vous ne pouvez vous connecter QUE en local ,il faut utiliser votre ip locale,celle en 192.168.xx.yy .
dans filezilla:

hôte: sftp://

identifiant: gaetan

mot de passe: passwd gaetan

port: le port de votre serveur ssh

Si vous avez modifié votre fichier sshd_config il faut relancer le serveur pour que les modifications soient prises en compte.

Si j’utilise le pseudo enregistré à la création du serveur, j’accède au serveur avec l’ip externe…

Dans mon cas, je veux qu’il soit accessible à distance par quelques utilisateurs qui se connecterait avec un id unique (testuser par exemple). Donc je dois pouvoir utiliser mon ip externe…

Pour le restart de sshd c’est fait à chaque manip.

Je bloque vraiment et je ne comprends pas.

Merci pour votre aide

il faut que vous testiez votre sftp à partir d’une machine extérieure en utilisant votre ip externe ou votre nom de domaine.La connexion avec l’ip locale permet seulement de vérifier que le sftp est fonctionnel.Si vous pouvez vous connecter en local vous pourrez aussi le faire depuis l’extérieur en utilisant le user “testuser”(ou autre que vous aurez créé).Je ne peux pas vous dire mieux.Je vous ai envoyé un MP.

Je comprends bien mais je n’arrive déjà pas à connecter testuser en local alors que mon autre id le peut et les autres non… étrange…

Bonjour,

Ouvre deux fenêtres :

• une que sera le terminal où tu mettras comme commande :

• une seconde qui sera ton filezilla.

Retente la connexion avec l’utilisateur qui ne fonctionne pas et copie-colle les lignes qui sont apparues dans le terminal, en rapport à ta tentative de connexion.

Il y a des chances pour que les logs nous donnent la solution

bonjour.

quel est votre fichier sshd_config?

[code]# Package generated configuration file

See the sshd_config(5) manpage for details

What ports, IPs and protocols we listen for

Port 666

Use these options to restrict which interfaces/protocols sshd will bind to

#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2

HostKeys for protocol version 2

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

Lifetime and size of ephemeral version 1 server key

KeyRegenerationInterval 3600
ServerKeyBits 768

Logging

SyslogFacility AUTH
LogLevel INFO

Authentication:

LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

Don’t read the user’s ~/.rhosts and ~/.shosts files

IgnoreRhosts yes

For this to work you will also need host keys in /etc/ssh_known_hosts

RhostsRSAAuthentication no

similar for protocol version 2

HostbasedAuthentication no

Uncomment if you don’t trust ~/.ssh/known_hosts for RhostsRSAAuthentication

#IgnoreUserKnownHosts yes

To enable empty passwords, change to yes (NOT RECOMMENDED)

PermitEmptyPasswords no

Change to yes to enable challenge-response passwords (beware issues with

some PAM modules and threads)

ChallengeResponseAuthentication no

Change to no to disable tunnelled clear text passwords

PasswordAuthentication yes

Kerberos options

#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

GSSAPI options

#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

Allow client to pass locale environment variables

AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

Set this to ‘yes’ to enable PAM authentication, account processing,

and session processing. If this is enabled, PAM authentication will

be allowed through the ChallengeResponseAuthentication and

PasswordAuthentication. Depending on your PAM configuration,

PAM authentication via ChallengeResponseAuthentication may bypass

the setting of “PermitRootLogin without-password”.

If you just want the PAM account and session checks to run without

PAM authentication, then enable this but set PasswordAuthentication

and ChallengeResponseAuthentication to ‘no’.

UsePAM yes

AllowUsers gintoxic christele kri2sis tony jp gaetan testuser

Match Group sftp_chroot
ChrootDirectory /home/%u
ForceCommand internal-sftp
AllowTcpForwarding no
[/code]

AllowUsers gintoxic christele kri2sis tony jp gaetan testuser

donnez la sortie de:

voici

root@smtp:~# cat /etc/group |grep sftp_chroot sftp_chroot:x:1008:gaetan,testuser

ces deux users ne se connectent pas avec l’ip externe (au lieu du nom de domaine)

je suppose que gaetan est votre propre login,si c’est le cas faites:

et ensuite:

et essayez à nouveau de vous connecter avec filezilla.

non gaetan est un login test (utilisable de base pour plusieurs users) il a été créé avec le tuto de ce fil

la réponse :

root@smtp:~# deluser gaetan sftp_chroot /usr/sbin/deluser: Impossible de retirer un utilisateur de son groupe primaire.

redonnez