Isoler mes utilisateurs dans leur dossier courant lors d'un acces ssh et sftp

Support Debian
#1

Bonjour,

Après avoir lu la doc et différent guide, je rencontre un souci pour bloquer mes utilisateurs dans leur répertoires courant et ce même après avoir activé l’instruction DefaultRoot avec le tilde.
j’ai redémarré le service et même redémarrer le serveur et pourtant lorsque je me connecte avec un client FTP, l’utilisateur a toujours la possibilité de naviguer dans la structure de mon système.

J’ai vu que d’autre post était similaire au mien et on leur avait proposé le chroot mais cela pour un utilisateur, est ce que sa pourrai fonctionner si je permet a tout mes utilisateurs de se connecter en ssh et SFTP? car seul l’utilisateur root n’a pas ce droit?

#2

IL me semble que vous n’avez pas bien compris le fonctionnement des options SSH.

Quoiqu’il en soit, ce n’est pas l’option “DefaultRoot” qui va vous permettre ce que vous cherchez à faire.
En effet, c’est le chroot SSH qui va vous permettre de “vérouiller” les utilisateurs à leur répertoire.

Assez simplement vous créez un nouveau groupe, ayant les droits systèmes le plus minimalistes, que vous dédierez à SSH.
Vous attribuerez à ce groupe les différents utilisateurs que vous voudrez “vérouiller”.

Puis dans le fichier de config du service ssh, vous paramétrez le chroot en le liant au groupe ssh créé précédemment.

#3

Bonjour,

vous me dites que l’instruction DefaultRoot n’est pas fait pour bloquer l’utilisateur a son répertoire courant, je peux le concevoir.

mais par contre pourquoi est dans la doc offi de proftpd.org, il dise le contraire?

The DefaultRoot directive controls the default root directory assigned to a user upon login. If DefaultRoot is set to a directory other than “/”, a chroot operation is performed immediately after a client authenticates. This can be used to effectively isolate the client from a portion of the host system filespace. The specified root directory must begin with a / or can be the magic character ‘~’; meaning that the client is chroot jailed into their home directory.

Si je comprend bien la dernière ligne, il disent que si il est activé avec le symble tilde, le chroot se fait automatiquement et permet donc d’isoler l’utilsateur dans son repertoire courant.

#4

Euhhh, comment dire … ?!
Moi, avoir compris, discussion == SSH ; mais vraiment pas FPT, et encore moins ProFTPD.

Donc, là, moi pas pouvoir aider :wink:
(moi, fatigué ; moi devoir faire sieste très sérieusement ) :stuck_out_tongue:

#5

pas de souci, vous n’etes pas fatigué, j’ai bien demander les 2 :), un blocage au niveau SFTP donc avec proFTPD et bien sur un blocage au niveau du SSH, donc si je comprend bien le SSH necessite de passer par le chroot et le SFTP passe par une autre methode, je vais deja essayer de m’attarder sur la methode du chroot alors :).

Deja un grand merci pour m’avoir orienter vers une des possibilités :slight_smile:

#6

Non, pas exactement…
Une fois SSH correctement configuré - et même pas besoin de l’avoir configuré correctement, mais vaut mieux - la couche SFTP est disponible avec.
Pas besoin de configurer ProFTPD, ou un autre serveur FTP.

Tout passera par SSH, car SFTP est grosso-modo une fonctionnalité FTP dans SSH.
Ne pas confondre avec FTPS.

Par contre, la nécessité ensuite est d’avoir un client FTP qui gère les connexions SFTP.
Sous Linux, qui le gère bien, graphiquement est Filezilla.

Et, si : moi == fatigué !

#7

Salut,

Sous Windows surtout, car sur Debian nos gestionnaires de fichiers comme Thunar, et certainement plein d’autres, gèrent très bien le SFTP sans qu’il soit nécessaire d’installer d’autres applications.

Par exemple, dans Thunar, saisir l’URL sftp://user@host:port/chemin/ fonctionne très bien.

#8

Bonsoir, désolé pour le temps de réponse.

Merci pour votre aide, j’ai pu établir la securité que je souhaite au niveau acces utilisateurs :slight_smile: