Accès SFTP / seulement en lecture ?

Bonjour à toutes et à tous :slightly_smiling:

Une question.
Grâce à ce Forum et à un certain Mr B :wink:, j’ai pu assimiler pas mal d’informations.

Maintenant, j’ai un dernier souci d’accès FTP.

Sur un serveur dédié ovh, j’ai créé un accès SFTP.
Cet accès est ok pour la lecture, mais accès refusé en écriture (impossible de renommer/supprimer fichier ou dossier).

Voici les informations :

Sur mon serveur dédié :
L’utilisateur et le groupe sont “www-data”.
Mais je me connecte avec le login “user123”, en SFTP.

Pour information :

root@MyOwnHost:~# sftp-user list user123

root@MyOwnHost:/home/user123# ls -al
total 20
drwxr-xr-x 2 user123 user123 4096 20 août  10:34 .
drwxr-xr-x 3 root   root     4096 13 avril 12:27 ..
-rw-r--r-- 1 user123 user123  220 13 avril 12:27 .bash_logout
-rw-r--r-- 1 user123 user123 3184 13 avril 12:27 .bashrc
-rw-r--r-- 1 user123 user123  675 13 avril 12:27 .profile
lrwxrwxrwx 1 root   root        9 20 août  10:34 web -> /var/www/

Donc, apparemment, il faudrait que je rajoute l’utilisateur “user123” au groupe “www-data”, n’est ce pas ?

Ou autre chose ?

D’avance, merci :slightly_smiling:

Salut,

[quote=“marveljojo”]Le 1er site est sur un serveur mutualisé ovh.
Les permissions sont les mêmes que sur mon serveur dédié.

L’utilisateur est “93xx users”, mais aucun groupe n’est définit.


Je viens d’appliquer les mêmes permissions sur un autre site sous Joomla.
Or, avec ce dernier, j’arrive bien à modifier le nom du ficher “LICENSE.txt” (permission toujours à 644).
[/quote]

Relis toi, la solution s’y trouve … en creusant, un peu … :wink:

Dans l’idéal, avoir un support écrit tels que : “droit user group acl fichier répertoire Unix” serait un plus.

Cela ressemble à s’y méprendre, à des mots clés . :whistle:

olà,

Merci pour les astuces :wink:

Donc, après différentes recherches, voici ce que j’ai trouvé :

Avant de modifier les droits ACL, savoir s’ils sont présents :
siteduzero.com/informatique/ … mmencer-25

root@MyOwnHost:/home/jojo123/web# grep ACL /boot/config-* grep: /boot/config-*: Aucun fichier ou dossier de ce type root@MyOwnHost:/home/jojo123/web#

Malheureusement, pas :frowning:

dans /boot :

root@MyOwnHost:/home/jojo123/web# cd /boot/ root@MyOwnHost:/boot# ls -al total 8160 drwxr-xr-x 3 root root 4096 10 avril 21:56 . drwxr-xr-x 22 root root 4096 20 août 12:57 .. -rw-r--r-- 1 1002 1002 6134704 2 avril 2012 bzImage-3.2.13-xxxx-grs-ipv6-64 drwxr-xr-x 3 root root 4096 10 avril 21:56 grub -rw-r--r-- 1 1002 1002 2206409 2 avril 2012 System.map-3.2.13-xxxx-grs-ipv6-64 root@MyOwnHost:/boot#

Du coup, compliqué de gérer les ACL (idris.fr/su/Stockage/acl.html)

Ce qui est étrange, c’est que j’ai 3 sous domaines:
2 sont normalement accessibles en lecture+écriture via SFTP
Le joomla, seulement en lecture .

???

Pour information, les dernières commandes lors de la création de mon compte SFTP :

[quote]cd /var/www/
adduser --home /home/jojo123 --shell /bin/MySecureShell jojo123
cd /home/jojo123/
adduser jojo123 www-data
chown -R www-data:www-data /var/www
chmod -R g+rw /var/www
cd /home/jojo123/
umask jojo123
ln -s /var/www/ web[/quote]

Salut,

Je sais bien que je n’aurais pas dû te lâcher les ACL à brut pourpoint, là comme ça.

Tu en as connaissance à présent.

Mais rien ne t’empêches de modifier … “les mots clés” :083

seeks.fr/search?lang=fr&q=dr … ff&ui=stat

Te voici parais.

En prime : un nouveau moteur de recherche, Seeks !!

A vu de nez, je dirais que j’utilise (quotidiennement) les moteurs Seeks à 98 % lors de mes recherches!

fr.wikipedia.org/wiki/Seeks

Merci pour les informations :wink:

Par contre, dois je modifier, ou plutôt créer, mon fichier boot/config ?

En fait, ma question principale est de savoir si je ne peux pas, en quelques minutes, donner les droits “root” à l’utilisateur SFTP “jojo123” ?

Peut être plus rapide … cela me donner le temps d’étudier les ACL :wink:

De quoi parles tu ?

Quelques minutes ? Non !! Seconde(s) (une voire trois) !!!

NON !! Certainement pas !!!

ps : non pas que ce ne soit pas possible, Root à tous les pouvoirs pour ce faire !

La Sécurité de ton Serveur en dépend !!!

Mais après tout c’est Ton serveur, libre à toi … :mrgreen: !

Il sort d’où ce shell /bin/MySecureShell ?
Si tu suis un guide particulier, cite-le nous s’il te plait, en nous précisant les opérations menées.
mysecureshell :
mysecureshell.sourceforge.net/fr/faq.html
Celui-ci date d’etch :
howtoforge.com/mysecureshell … ebian_etch

[quote]
This tutorial shows how to install MySecureShell on a Debian Etch system. MySecureShell is an SFTP server that is based on OpenSSH and can be configured in many ways, e.g. it has support for chrooting users into their homedirs or for limiting upload-/download bandwidths. MySecureShell makes SFTP available for users that do not have shell access so that these users do not have to use the insecure FTP protocol anymore.[/quote]

Deux remarques :

  1. sftp n’est pas ftp, sftp s’appuye sur ssh. Il suffit d’installer openssh-server sur une banale installation debian pour profiter de sftp sans avoir à installer Mysecureshell. Il convient donc de se pencher sur les réglages du serveur ssh.
  2. Mysecureshell est un shell qui ne te donne accès qu’à sftp. Ce n’est pas un shell plein comme /bin/bash. Tu ne peux pas mener un login. Tu ne peux pas passer de commandes bash.

Échantillon de commandes interactives de sftp :
$ man sftp

INTERACTIVE COMMANDS
     Once in interactive mode, sftp understands a set of commands similar to
     those of ftp(1).  Commands are case insensitive.  Pathnames that contain
     spaces must be enclosed in quotes.  Any special characters contained
     within pathnames that are recognized by glob(3) must be escaped with
     backslashes (‘\’).

     bye     Quit sftp.

     cd path
             Change remote directory to path.

     chgrp grp path
             Change group of file path to grp.  path may contain glob(3) char‐
             acters and may match multiple files.  grp must be a numeric GID.

     chmod mode path
             Change permissions of file path to mode.  path may contain
             glob(3) characters and may match multiple files.

     chown own path
             Change owner of file path to own.  path may contain glob(3) char‐
             acters and may match multiple files.  own must be a numeric UID.

     df [-hi] [path]
             Display usage information for the filesystem holding the current
             directory (or path if specified).  If the -h flag is specified,
             the capacity information will be displayed using "human-readable"
             suffixes.  The -i flag requests display of inode information in
             addition to capacity information.  This command is only supported
             on servers that implement the “statvfs@openssh.com” extension.

     exit    Quit sftp.

     get [-Ppr] remote-path [local-path]
 ...

Pour retrouver un shell qui permette de sortir du carcan de sftp, il te suffirait de donner un shell plein comme /bin/zsh à ton utilisateur.

mysecureshell.sourceforge.net/fr … question11

[quote]
Q11: Comment faire si je veux utiliser MySecureShell juste pour la partie SFTP ?

IMPORTANT, vous devez être au courant des impacts de cette manipulation:

les utilisateurs qui auront un shell autre que /bin/MySecureShell pourront se connecter normalement via SSH
cette méthode empêche de fonctionner correctement les utilisateurs qui ont un shell /bin/MySecureShell

Suivant la version d’OpenSSH, il y a 2 moyens de procédés.

A partir de la version 4.5 d’OpenSSH, il suffit de rajouter la ligne suivante au fichier /etc/ssh/sshd_config (peut être différent suivant votre système d’exploitation) :

Subsystem sftp /bin/MySecureShell -c sftp-server

Et sinon pour les anciennes version d’OpenSSH, vous devez créer un script shell /bin/MySecureShell.sh (avec les droits 0755) avec comme contenu:

#!/bin/sh

/bin/MySecureShell -c sftp-server

il suffit de rajouter la ligne suivante au fichier /etc/ssh/sshd_config (peut être différent suivant votre système d’exploitation) :

Subsystem sftp /bin/MySecureShell.sh[/quote]

arrfff !!

Merci pour vos informations.
Mon but était d’avoir un accès FTP sécurisé, j’ai dû me mélanger les pinces … :frowning:
Je vais retrouver mes infos et vous les faire parvenir :slightly_smiling:

Mici ^^