Droits d’accès dossier Home

LeGardien · Mai 22, 2019, 5:10pm

Bonjour,

Lorsque des utilisateurs se connectent en SSH au serveur, ils reçoivent l’erreur suivante : Could not chdir to home directory [chemin]: Permission denied
Le dossier auquel les utilisateurs veulent accéder a les autorisations suivantes : drwxrws—
J’ai aussi essayé avec drwxrwsrwx, le dossier a pour propriétaire un autre utilisateur mais le même groupe
Les utilisateurs on tous le même (et un seul) groupe qui est propriétaire de ce dossier.
Selinux est bien désactivé
Malgré mes recherches sur Google je n’ai pas trouvé de réponse…

Merci d’avance

littlejohn75 · Mai 22, 2019, 6:34pm

Pourquoi cacher le chemin ?

Ne pas confondre le répertoire HOME d’un utilisateur et les répertoires qui peuvent être accédés par un utilisateur en lecture seule ou en lecture et écriture.
Vous devez créer autant de répertoires HOME que d’utilisateurs susceptibles de se connecter. Pour vous en convaincre, étudiez où et comment chaque utilisateur peut adapter sa configuration et stocker ses clés d’accès.

debmany openssh-client

et en particulier

man ssh_config

Si l’accès à HOME n’est pas possible, à fortiori $HOME/.ssh ne sera pas accessible et donc pas d’accès par clé
Attention aux permissions du répertoire .ssh

fp2@debpacha:~$ stat .ssh
....
Accès : (0700/drwx------)  UID : ( 1000/     fp2)   GID : ( 1000/     fp2)

En résumé, pour tout utilisateur qui peut légitimement se connecter on doit avoir une réponse adéquate à

getent passwd  _user_

Maintenant, pour le dossier qui pose problème, commencez par expliquer pourquoi vous voulez que plusieurs utilisateurs puissent écrire simultanément dans un même dossier et inspirez-vous du résultat de la commande suivante

stat /tmp

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Celui qui, parti de rien, n’est arrivé nulle part n’a de merci à dire à personne !! »
Pierre Dac

LeGardien · Mai 22, 2019, 9:01pm

Merci pour votre réponse !
Désolé par avance si mes réponses ne sont pas très claires ou ne réponds pas a la question, je débute sur linux/Debian

Voici le chemin : /home/minecraft/maesia/plugins

Ces comptes sont pour que les développeurs puissent accéder uniquement au dossier plugins en ftp (bien que je n’ai pas encore désactiver leur accès ssh pour le moment). Lorsque j’essaie de me connecter en ssh j’ai une erreur
"|Réponse :|530 Authentification incorrecte.|
|Erreur :|Erreur critique : Impossible d’établir une connexion au serveur|
"
Alors que les identifiants sont correct.

Effectivement il n’y a pas de fichier .ssh dans leurs home…

Pour cette commande j’ai la réponse suivante :
dup62:x:1009:1001::/home/minecraft/maesia/plugins:

Je vois que /tmp utilise Sticky Bit ce qui ne permet pas a d’autres utilisateurs de supprimer les fichiers ; j’utilise quant a moi sur ce dossier Sgid

Cordialement

littlejohn75 · Mai 23, 2019, 10:36am

Ouh là !
Il semble que je n’ai pas été clair, en tout cas vous n’avez pas compris la phrase suivante

Il est vrai que j’aurais dû parler de répertoire personnel et préciser qu’il est indispensable que ledit répertoire personnel appartienne audit utilisateur.
Ce n’est pas pour rien que de base un système minimal fournit les commandes /usr/sbin/useradd et /usr/sbin/adduser.
Un peu de lecture est prérequis

sudo apt install debian-goodies
debmany passwd
debmany adduser

Je suppose que vous comprenez que ce genre de chemin ne peut pas convenir pour le répertoire personnel de l’utilisateur qui a le numéro 1009.
( que donne getent passwd 1008 ? )

dpkg-query --search  /home/minecraft/maesia/plugins

devrait vous permettre de savoir d’où vient ce répertoire et éventuellement de rétablir les permissions d’origine.

Ces « développeurs » n’ont donc pas vocation à utiliser la puissance du serveur ? Si c’est uniquement que pour du ftp il y a des techniques pour restreindre les accès mais je connais assez mal le sujet, je laisse à d’autres le soin de répondre.
Notez tout de même qu’avec ssh c’est beaucoup plus clair : pas de compte sur le serveur ==> pas d’accès, à chaque accès on a une trace dans les journaux, le paquet openssh-client fournit la commande sftp et donc un développeur qui ne sait pas utiliser sftp ou filezilla, je dis bof.

Un copier/coller de la commande complète et des retours, une fois cette histoire de répertoire personnel règlée serait la bienvenue (avec une option verbeuse -v pour ssh )
D’abord mettre au point la configuration pour que

ssh -v user@serveur pwd

fonctionne correctement sans erreur, ensuite se pencher sur les permissions du répertoire plugins. (attention à ce que les développeurs ne s’en servznt pas comme d’une poubelle ).

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Un ordinateur c’est comme un frigo : on le branche et ça marche. »
Laurent Serano Directeur informatique, réunion Délégués du Personnel 2010