Bloqur l'acces ssh et sftp dossier d'un utilisateur

Diy · Juin 11, 2017, 5:39am

Bonjour ,
J’ai cree l’utilisateur yolo qui est dans le group yolo.
Mais il a un acces ssh et un acces sftp et a tout les dossier en lecture seul.
Je voudrais que yolo ai acces uniquement a son rep. /home/yolo et je voudrais que il ai un mot de passe different pour le serveur ssh.

Donc en sftp il doit avoir comme dossier racine /home/yolo et ne doit pas pouvoir remonter à /home

Et en ssh doit avoir un mot de passe different que le sftp. Comment faire ?
Je suis sur un vps debian 8 avec le serveur ssh et sftp par défaut. Merci

PengouinPdt · Juin 11, 2017, 5:38am

À moins que je ne me trompe, c’est une demande de “Support”. Que fais ce message dans “Pause Café” ?
Merci de relire la FAQ et de veiller à poster dans le bon forum.

jimbo · Juin 11, 2017, 9:00am

tu dois utiliser le chroot pour ca

https://debian-facile.org/doc:reseau:ssh:tp-sftp-via-openssh-server

Alman · Juin 11, 2017, 10:19am

Bonjour Diy,

ce que tu cherches à réaliser est “chrooter” un utilisateur.
Je l’ai réalisé il y a longtemps et une seule fois (c’est dire si je connais…). Regarde le tuto de SFTP : Accès utilisateur via openssh-server.
Ca te donnera au moins une base.

Quant à attribuer un mot de passe SSH différent à yolo, je ne sais pas.
Pour avoir voulu faire une chose similaire, et si je comprend bien la question, je ne me rappelle plus si j’avais réussi ou pas. J’avais trifouillé du côté de la création d’un second couple de clefs avec la commande
ssh-keygen -t rsa
Source : SSH
Tente de voir dans cette direction.
Bonne journée

Edit: Grillé par jimbo

PengouinPdt · Juin 11, 2017, 9:12am

L’idée en soit est bonne.
Néanmoins, étant donné les recommandations de sécurité actuelles, ceci est par trop minimaliste, et pas assez “sécurisé” !

Voilà la commande pour générer une clé robuste, actuellement :
ssh-keygen -t rsa -b nb_bits -f fichier_id -o -a nb_tours

Pour bien comprendre, je vous renvoie aux explications fournies… (sur mon blog).
(il y a toutes les références nécessaires pour qui veut aller plus loin… et surtout bien faire !)

Alman · Juin 11, 2017, 9:21am

Re

Merci pour la commande ! Je l’ai cherché sans jamais la trouver.
Et j’avais ton blog en favoris mais le lien a changé (erreur 404). J’ai cru que tu l’avais coupé. Il est remis dans mes marques-pages

grigric · Juin 11, 2017, 4:35pm

j’ai une solution bien plus simple et super efficace: mysecureshell

ZW3B · Juin 11, 2017, 4:48pm

Salut.

J’ai écris un tuto il y quelques temps.

CF : http://howto.zw3b.fr/linux/serveurs/howto-pure-ftpd-tls-ssl-virtualchroot

Ici les utilisateurs ne sont pas dans le fichier passwd de la machine (et donc n’ont pas de compte machine) et il a un chroot pour chaque répertoire user.

Sinon, pour avoir un utilisateur qui n’ai pas accès à ton serveur SSH ; il faut créer un shell : par exemple ajouter la ligne /bin/false dans le fichier /etc/shells et puis dans le fichier /etc/passwd attribuer aux utilisateurs sans accès SSH ton “fake shell” /bin/false comme shell

Cordialement,
Romain

Diy · Juin 11, 2017, 10:31pm

Bonjour, Merci de vos retours si nombreux.
Donc pour bloquer l’utilisateur yolo dans son repertoire /home/yolo
J’ai ajouter a la fin de /etc/ssh/sshd_config
cela :
Match user yolo
ChrootDirectory /home/yolo/
ForceCommand internal-sftp
AllowTCPForwarding no
X11Forwarding no

Donc c’est bon il est plus possible pour yolo de voir le repertoir de qq’un d’autre ou meme de voir le fichier /home/fichiers ?

Diy · Juin 12, 2017, 1:30am

ebonjour , avec la config ci dessus le sftp et le ssh ne fonctionne pas pour yolo.
Et maintenat je voudrais juste autorise l’ip xxx.xxx.xxx.xxx a se connecter au ssh . C’est possible de le faire pour uniquement l’utilisateur yolo ??

Alman · Juin 12, 2017, 4:52am

Bonjour,
une façon de le savoir est de te connecter sur le compte Yolo et de parcourir les répertoires jusqu’à un autre compte utilisateur par exemple. Si tu ne peux pas le faire, c’est que le compte Yolo est “chrooté”.[quote=“Diy, post:10, topic:73676, full:true”]
ebonjour , avec la config ci dessus le sftp et le ssh ne fonctionne pas pour yolo.Et maintenat je voudrais juste autorise l’ip xxx.xxx.xxx.xxx a se connecter au ssh . C’est possible de le faire pour uniquement l’utilisateur yolo ??
[/quote]

Il pourrait être intéressant que tu nous copies-colles ton fichier et donne les commandes entrées et les résultats.

Pour répondre à ton autre question, il s’agit de changer l’option “ListenAddress”.
Source: Configurer le serveur OpenSSH de Linux
Bonne journée
Edit : Toutefois, fait attention à ne pas bloquer les autres IP, si tu as par exemple un compte te servant à administrer le système.

PengouinPdt · Juin 12, 2017, 5:45am

En effet !

Non, l’option “ListenAddress” sert à lui dire sur qu’elle adresse IP, le serveur SSH va écouter et accepter les connexions entrantes !

Ce qu’il demande là a pour réponse :

AllowUsers adr_ip@id_user

Diy · Juin 13, 2017, 1:51am

Bonsoir, Pour AllowUsers ip@id ,ca bloque tout les ip sauf l’ip idiqué ?
Et uniquement pour l’utilisateur indiqué ce blocage ou pour tout les utilisateurs ?

PengouinPdt · Juin 13, 2017, 10:47am

Çela n’autorise la connexion au serveur SSH seulement pour l’utilisateur X, ne pouvant se connecter qu’à partir de l’ip xxx.yyy.aaa.bbb ou l’équivalent IPv6 - puisque ça fonctionne aussi avec !
à la différence qu’IPv6, il faut inclure l’IP entre [ipv6]@id - de mémoire

Diy · Juin 13, 2017, 10:19pm

Merci beaucoup a tout le monde.
J’ai decider d’utiliser Gadmin-ProFTPD .
Mais c’est securisée ou pas ?
J’ai deja cree un certificat et j’ai changer le port par defaut . C’est suffisant ou pas