Sftp chroot + acces read only

euridice · Février 21, 2016, 7:36pm

bonjour,
je suis parvenu à créer un utilisateur pour un compte sftp :

$ cat /etc/passwd | grep quest quest:x:1001:1003::/home/quest:/sbin/nologin
j’ai bien son home qui appartient à root :

$ ls -ld /home/quest/ drwxr-xr-x 3 root root 4096 Dec 8 20:08 /home/quest/
ce user fait parti de sftpusers :

$ groups quest quest : sftpusers
et dans mon sshd_config :

Match Group sftpusers ChrootDirectory %h ForceCommand internal-sftp
bon maintenant tout ça fonctionne, je me balade dans l’arborescence de home/quest/ je parviens à downloader les fichiers, à en uploader.
maintenant j’aimerais que dans ce chroot, l’utilisateur ai accès en read-only à un répertoire existant, en l’occurrence /media/raid5/testsftp
mon idée ce serait à priori de monter /media/raid5/testsftp dans /home/quest mais avant de le faire si c’est une solution j’aimerais comprendre les implications.
est ce que le fait de faire ça va faire “disparaitre” tous les dossiers / fichiers déjà présents dans /home/quest ?
comment être certain que le répertoire monté le soit en read only seulement ?

en gros je souhaite que mon utilisateur sftp en chroot ne puisse que downloader les fichiers du répertoire monté mais ne puisse rien uploader ou changer dans la structure / noms dudit répertoire, peut être y a t il une solution + propre.

Zbf · Février 21, 2016, 7:36pm

Pas certain d’avoir compris, mais un lien symbolique avec des permissions ajustées correctement pour les fichiers du répertoire, ça peut ptet faire l’affaire…

Aussi, si tu fais un montage, le point de montage doit être un répertoire vide.

Kristy · Février 21, 2016, 7:37pm

Mhhh, c’est juste une histoire de droits en faites.

Si tu mets les droits sur /media/raid5/sftptest/ comme ceci :

chmod 740 chown root:sftpusers

et ensuite tu crées un lien symbolique (plus sur de l’ordre dest/source)

Et le tour est joué non ? ( faut peut etre faire attention aux droits sur le lien symbolique en lui meme).

Franck_FR · Février 21, 2016, 7:37pm

[quote]mon idée ce serait à priori de monter /media/raid5/testsftp dans /home/quest mais avant de le faire si c’est une solution j’aimerais comprendre les implications.
est ce que le fait de faire ça va faire “disparaitre” tous les dossiers / fichiers déjà présents dans /home/quest ?[/quote]

Je ne suis pas sure que ce soit la bonne solution. Mais admettons que…
Alors, tu peux faire un essais par toi même pour répondre à cette question.

-Tu crées un répertoire temporaire n’importe ou puisque tu n’oublieras pas de l’effacer.
-Copie dessus n’importe quels fichiers (pas mouve mais copy).
-Liste les pour t’assurer qu’ils sont réellement là.
-Monte un CD sur le répertoire temporaire fraîchement créé.
-Liste les fichiers dans ce répertoire et tu verras ceux dans le CD.
-démonte le CD
-Liste les fichiers et tu retrouveras les fichiers qu’il y avait avant. Ils étaient masqués mais pas effacés.
-N’oublie pas d’effacer le répertoire temporaire.

euridice · Février 21, 2016, 7:37pm

j’ai trouvé une solution qui me va bien :
mount --bind -o ro /media/raid5/testftp /home/quest/mount