Ftps très très lent

nestor · Avril 22, 2017, 8:20pm

Bonsoir;

Pourrais tu expliquer quel autre accès pourrait avoir un utilisateur chrooté dans son home et dépourvu d’accès console ssh…

LeRoutard · Avril 22, 2017, 7:07pm

Rien d’autre^^, mais j’avoue que je trouve ca plus pratique gérer avec une bdd, mais le SFTP a l’avantage d’être simple a utiliser.
Pour iptable, je bloque tout par défaut, donc je sais pas comment tester pour voir si ça vient de ça. On peut virer toute les règles d’un coups avec une commande ?

Pour l’histoire du type de connexion avec le port 990, ça n’a jamais marché même si ça avait l’air actif dans iptable et j’ai toujours mit 21 la place.
Après je sais pas si ça dépend du problème mais je trouvais parfois certain mode plus rapide que d’autre cest peut être qu’une coïncidence.

PascalHambourg · Avril 22, 2017, 7:19pm

On peut :
iptables -F
Mais comme les politiques par défaut (-P) sont réglées à DROP, ça bloquerait tout.
Ton script n’a que des règles ACCEPT, donc il suffit de remettre les politiques par défaut à ACCEPT :
iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT

ZW3B · Avril 22, 2017, 9:12pm

SFTP est un accès par le protocole SSH me semble t’il ^^

Certains FTP dont VSFTP et Pure-FTPd (entre autres) peuvent être configurer avec les Home’s des utilisateurs, sans qu’ils n’aient un accès avec un compte machine (/etc/passwd), donc nativement (avec un paramètre de configuration). Sans faire de chroot machine à chaque utilisateur (et donc avec toutes les commandes (ou bien )).

Cordialement,
Romain

ZW3B · Avril 22, 2017, 9:17pm

Et bien aucun !

A part … faire un systeme d’authentification “externe” (BDD, LDAP …) et assisgner des droits usr/services (modules spécifiques d’auth) pour chaques services souhaités.

Cordialement,
Romain

LeRoutard · Avril 22, 2017, 10:15pm

J’ai essayé ton exemple et j’ai le droit a: Connexion refusée

ZW3B · Avril 22, 2017, 10:18pm

iptables -L -v -n

LeRoutard · Avril 22, 2017, 10:41pm

En réalité ca a même tout bloqué, Il faut que je redémarre en mode rescue. Je pensais que ça avait foiré juste l’autre compte FTP et pas tout le reste^^

EDIT: j’ai réussi tout seul, j’ai juste eu besoin de regarder comment monter la partition… Donc la prochaine fois je ferme pas la console avant d’être sur que ça marche.
Donc demain je vais ré-essayé car pour le moment je n’ai pas réussi

ZW3B · Avril 22, 2017, 10:43pm

chroot /var/tonsystemenmoderescue/ su - au pire si tu as besoin de changer un truc

nestor · Avril 23, 2017, 7:44am

Salut,

1: Après tes modifications du “sshd_config”, as tu redémarré le serveur ssh pour prendre en compte les modifications ?

2: Le dossier racine du chroot de chaque utilisateur appartient il à root ?

3: As tu commenté la ligne “UsePAM yes” -> “#UsePAM yes” puis rajouté en dessous “Subsystem sftp internal-sftp” à la place ?

4: As tu utilisé en dessous la méthode “Match User userx” ou le “Match Group sftpusers” ?; dans ce dernier cas, as tu créé un groupe “sftpusers”, puis rajouté les utilisateurs chrootés dans ce groupe? , si “AllowUsers” utilisé, as tu rajouté ces utilisateurs ?, idem si "AllowGroups utilisé, as tu rajouté le groupe “sftpusers” ?

5: As tu vérifié la raison de l’erreur dans “/var/log/auth.log” ? Les logs vont certainement t’éclairer…

LeRoutard · Avril 23, 2017, 8:52am

Voila, dans la conf:

 #UsePAM yes
    Match Group sftp_chroot
            ChrootDirectory /home/users/
            ForceCommand internal-sftp
            AllowTCPForwarding no

Un ls -l:
drwxrwxrwx 5 root root 4096 avril 23 10:43 users

Ca ne marche toujours pas, qu’est ce que j’ai mal fait ?

nestor · Avril 23, 2017, 9:13am

Je ne vois pas la ligne:

Sinon toutes mes questions + haut.???

A+++

Edit: sur mon serveur, la fin du sshd_config :

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem sftp internal-sftp

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	PermitTTY no
#	ForceCommand cvs server
#PasswordAuthentication no
Match Group sftpusers
ChrootDirectory /%h
         ForceCommand internal-sftp
         AllowTcpForwarding no
         GatewayPorts no
         X11Forwarding no

Et ça fonctionne… les users chrooté pourtant avec un shell “/usr/sbin/nologin”

LeRoutard · Avril 23, 2017, 9:14am

La ligne: Subsystem sftp internal-sftp est bien dans le fichier, je l’avais oublié dans le message.

Bas quand je me connecte j’arrive au ftp je vois la racine: /home/users et on peut en sortir. Donc ça ne fonctionne pas, je vois pas ce que j’ai mal fait, problème de droit encore ?

nestor · Avril 23, 2017, 9:17am

Et tes logs, et les questions plus haut si tu as ou non des directives type “AllowUsers”, etc…

Edit: je ne te comprends pas de trop, t’arrives donc à te connecter ??, effectivement sortir de ce dossier est impossible, principe du chroot …

LeRoutard · Avril 23, 2017, 9:21am

Oui normalement on peut pas sortir du dossier et la oui, donc ça ne fonctionne pas, j’ai mal fait un truck^^
PS: ça a encore planté mon serveur, je croyais que ça fermait pas les connexions active Je vais encore devoir le redémarrer en rescu

nestor · Avril 23, 2017, 9:34am

Si t’arrives a sortir de ton chroot en te logguant avec l’user “toto”, c’est que toto n’appartient pas au groupe “sftp_chroot”

LeRoutard · Avril 23, 2017, 11:44am

C’est bon non:
drwxrwxrwx 5 users sftp_chroot 4096 Apr 23 10:43 users

La conf:

#UsePAM yes
Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160
KexAlgorithms diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1

Subsystem sftp internal-sftp
        Match Group sftp_chroot
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no

nestor · Avril 23, 2017, 12:13pm

Saisis:

Poste le résultat

Puis:

Poste les résultats

Dis moi ou tu veux chrooter chaque user, si c’est dans son home ou ailleurs, ou tous dans le même dossier ou chacun dans un dossier différent…comme je n’ai pas beaucoup de précisions sur ce que tu cherches à obtenir, c’est difficile.

On verra ensuite…mais je dois aller faire mon devoir électoral…

A+++

LeRoutard · Avril 23, 2017, 4:10pm

Ca donne:
users:x:1001:1002:Pseudo,,,:/home/users:/bin/true

Pour le moment a par root je veux chrooter que cet user qui est dans /home/

nestor · Avril 24, 2017, 8:02am

Salut,

T’es bien gentil, mais çà fait 5 à 6 messages que je te demande de répondre aux questions, comment veux tu que je t’aide sans cela ??.

A croire que ce que tu as sur ton serveur est classé “secret défense”; depuis le départ j’ai un doute sur le contenu de ton groupe “sftp_chroot”, et j’en suis toujours sur ma faim…

Ou est la réponse à ceci demandé plus haut:

Si ton utilisateur “users” ne fait pas partie de ce groupe, le chroot ne fonctionnera pas !!!, et comment veux tu que je le sache si tu ne réponds pas aux questions de façon précise, je ne m’appelle pas Mme Irma !!!

En plus décrypte moi ceci:

Tu veux chrooter root ???