Serveur sftp, shell réduit (rssh) et chroot

J’ai vraiment du mal à comprendre où j’ai pu merder!!! :075

Quelle perte de temps, en plus je ne peux plus me servir de fetchmail/exim :013 :013

Bon, je verrais demain en espérant que rien n’est irréversible :017

Merci d’avance :006

Il est quand même super drôle le message de fetchmail (hier j’étais fatigué je l’ai pas vu).

Vérifie qui tu es whoami

Personne apparemment :

whoami whoami : impossible de trouver le nom de l'utilisateur ayant l'ID 1000

Et le /etc/passwd :

root:x:0:0:root:/root:/bin/zsh daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh Debian-exim:x:101:103::/var/spool/exim4:/bin/false statd:x:102:65534::/var/lib/nfs:/bin/false
genpashiro:x:1000:1000:genpashiro,:/home/genpashiro:/bin/zsh

messagebus:x:103:106::/var/run/dbus:/bin/false gdm:x:105:108:Gnome Display Manager:/var/lib/gdm:/bin/false usbmux:x:106:46:usbmux daemon,,,:/home/usbmux:/bin/false haldaemon:x:107:109:Hardware abstraction layer,,,:/var/run/hald:/bin/false logcheck:x:108:111:logcheck system account,,,:/var/lib/logcheck:/bin/false fetchmail:x:104:65534::/var/lib/fetchmail:/bin/false sshd:x:109:65534::/var/run/sshd:/usr/sbin/nologin jerome:x:1001:1001::/home/jerome:/usr/bin/rssh

Toutes mes désols…
Bizarre ton truc, ça m’est pas encore arrivé. Et si tu refiles à jerome (jerome:x:1001:1001::/home/jerome:/usr/bin/rssh) un shell normal (/bin/bash ou autre), l’accepte-t-il , ce jerome , ton ordi ?

[quote]Déjà, j’ai dû renommer le passwd à partir d’un live CD
Il avait été renommé en passwd~[/quote]
J’me demande bien pourquoi ? Dans le tuto, il faut juste copier certaines entrées de /etc/passwd dans le passwd du chroot. Normalement, ton /etc/passwd ne bouge pas:

[quote=“tuto”]–> ajoutons cet utilisateur dans le fichier passwd du chroot
Code:
#grep machin /etc/passwd >> /home/sftp/etc/passwd[/quote]

PS: que donne ls -al /etc/passwd ? (-rw-r–r-- ou -rw-------, bon dans le 1er cas, moins bon dans le 2eme)

PARFAIT YANLOLOT!!!

Effectivement, il s’agissait d’un problème de droit…

Problème résolu avec un

Il faut absolument que la vérification des droits d’un fichier soit un réflexe pour moi…

J’avais déjà ouvert un problème similaire aptitude-search-verouille-en-t29801.html

Bon, après je n’arrive pas à savoir à quel moment j’ai pu passer les droits 600 à ce fichier…
Aller, je met ça sur le compte de la fatigue!!!

Je continue ton tuto en tout cas, cette solution me plaît!

A ce moment là je pense: "Déjà, j’ai dû renommer le passwd à partir d’un live CD. Il avait été renommé en passwd~"
Je crois que c’est la copie passwd~ qui avait ces droits.
J’me demanderai plutôt quelle manip a pu faire disparaître /etc/passwd

Oui, exactement!!

Par contre, comme tu utilises le port 666, ne penses tu pas qu’il puisse être utile de mentionner dans la partie V, que la connexion au sftp avec un port différent se fait de cette façon :

sftp -P 666 jerome@localhost??

Bon, après je suis un débutant et ce n’est peut être pas utile de le mentionner pour d’autres…

si, carrément !
[edit] c’est corrigé, merci :wink: [/edit]

Concernant la partie log, j’utilise rsyslog et j’aimerais savoir dans quel rubrique il est préférable d’ajouter la ligne dans rsyslog.conf?

Modules, Global Directives, rules??

Je ne m’étais jamais posé la question. Perso, je l’ai mis à la fin de la section module (ce qui, maintenant que tu le demandes, ne me paraît pas le “meilleur” endroit…je le mettrai plutôt tout à la fin de RULES). M’enfin, du moment que tu le mets n’importe où après $ModLoad imuxsock, je pense que ça marchera.

Pour la modif’ de sshd_config, dans cette rubrique :

# Logging SyslogFacility LOCAL6 LogLevel INFO

Je peux remplacer le AUTH du sshd par défaut par LOCAL6??

bien sûr: en remplaçant AUTH par local6, en en ajoutant local6.info /var/log/sshd dans rsyslog.conf, les logs de connexion de ssh seront dans /var/log/sshd.
J’ai fais cela pour plus de lisibilité. Sinon, ils sont noyés dans /var/log/auth.log.

Ok, bon c’est parfait, tout est terminé pour moi

Donc, un double GRAND MERCI à toi, d’une part pour m’avoir aidé à réparer ce que j’avais cassé et d’autres part, merci beaucoup pour la qualité et l’efficacité de ce tuto!!

Y a pas de bile :smiley:

Cette partie là :

#adduser machin --shell /usr/bin/rssh #grep machin /etc/passwd >> /home/sftp/etc/passwd
est risquée et, je pense plus simple ainsi :

Comme ça on a pas à toucher à /etc/passwd

S’il y a vraiment besoin que l’utilisateur soit dans les deux fichiers :

est plus sur.

oui, c’est nécessaire, sinon, impossible de se connecter au serveur.

[quote=“MisterFreez”]#adduser --conf /home/sftp/etc/passwd machin --shell /usr/bin/rssh

Comme ça on a pas à toucher à /etc/passwd

S’il y a vraiment besoin que l’utilisateur soit dans les deux fichiers :

est plus sur.[/quote]
@rouge: tu veux sans doute dire: /home/sftp/etc/passwd >> /etc/passwd (et on touche donc finalement à /etc/passwd)
Quelle est la différence entre #grep machin et #grep ‘^machin:’, du point de vue “sûr” ?

[quote=“yanlolot”][quote=“MisterFreez”]#adduser --conf /home/sftp/etc/passwd machin --shell /usr/bin/rssh

Comme ça on a pas à toucher à /etc/passwd

S’il y a vraiment besoin que l’utilisateur soit dans les deux fichiers :

est plus sur.[/quote]
@rouge: tu veux sans doute dire: /home/sftp/etc/passwd >> /etc/passwd (et on touche donc finalement à /etc/passwd)
Quelle est la différence entre #grep machin et #grep ‘^machin:’, du point de vue “sûr” ?[/quote]
Avec #grep machin tu risque de “matcher” un peu tout et n’importe quoi. Par exemple si tu as un utilisateur qui s’appelle home ou bash, tu as aussi le problème d’un utilisateur qui s’appellerait “machine” et que tu veut créer un utilisateur “machin”. Je ne sais pas comment ça se comporte si le fichier passwd a des entrées dupliquées, mais je pense que c’est toujours mieux d’éviter de le faire :slightly_smiling:

[quote=“MisterFreez”]
… Par exemple si tu as un utilisateur qui s’appelle home ou bash, tu as aussi le problème d’un utilisateur qui s’appellerait “machine” et que tu veut créer un utilisateur “machin”. Je ne sais pas comment ça se comporte si le fichier passwd a des entrées dupliquées, mais je pense que c’est toujours mieux d’éviter de le faire :slightly_smiling:[/quote]Là, tu pinailles un peu quand même :smiley:
Il pourrait aussi s’appeler “rooot” :017
Franchement, je pense que le tuto de Yan est au point maintenant.

michel/michelle C’est pas quelque chose qui n’arrive jamais.

C’est vrai…et c’est donc corrigé.