Posté(e) le 3 septembre 200717 a Bonsoir, Je possède un serveur dédié debian. Je souhaite mettre en place un acces restreint pour un ami sur le serveur, lui faire au moins un accès via winscp (sftp) et si possible, ssh. Mais cet acces doit etre une prison (chroot) et qu'il n'est pas acces, meme en lecture, au dossier parent de son dossier d'accueil. J'ai essayer divers tutorialmais je n'ai jamais réussi a faire quelque chose de concret, au mieux un acces ssh en ajoutant quelquels librairies mais blocage au niveau du sftp. Je suis maintenant en quete de conseil, sachant que j'ai tout effacer mes anciennes manips afin de repartir sur de bonnes bases. Merci de votre attention.
Posté(e) le 5 septembre 200717 a Auteur Le ftp est pour moi l'ultime solution. Mon ami suivant les memes etudes que moi, nous avons des bases en administration systeme et langage unix et c'est pour cela que je souhaite lui donner cet acces.
Posté(e) le 5 septembre 200717 a Le mieux que j'ai fait sur ce genre de truc, c'est le partage samba. Ca chroote et avec des ACL, c'est génial. Sinon, à ta place, je n'autoriserai pas le mode console (ie : useradd -s /usr/sbin/nologin) et je mettrai des ACL claires sur chacun des répertories, avec héritage (chmod g+s, setfacl -m d:u:... u:...) http://www.coagul.org/article.php3?id_arti...r_recherche=acl LSP, le manchot qui attend patiemment JES
Posté(e) le 5 septembre 200717 a ba le ftp chroot aussi les ACL pourquoi pas, mais uniquement si les permissions unix ne permettent pas de s'en sortir sinon samba il fait over TLS/SSL?
Posté(e) le 7 septembre 200717 a cet acces doit etre une prison (chroot) et qu'il n'est pas acces, meme en lecture, au dossier parent de son dossier d'accueil. A priori, pas trop faisable avec sftp... il y avait déjà eu un sujet là-dessus : là... ... bon ceci dit, c'est à l'arborescence du chroot qu'il aura accès... pas à celle de l'OS dans lequel tournera le chroot (à moins de faire du chroot escaping, ce qui n'est certes pas si dur que ça si le chroot est fait à la truelle)... Sinon, c'est faisable avec du NFSv4 over SSH (j'insiste sur le v4... pas le v3... avec la version 4, on a une racine commune pour les exports, et on ne peut pas en sortir... en plus, c'est simplifié au niveau ports, et ça se SSH-ise super bien, et avec de biens meilleures perfs que le v3... il supporte même Kerberos, et l'implémentation de SPKM est en cours)... Après, si tu veux en rester au FTP, je plussoie le TLS/SSL. C'est moins casse-tête/exotique et mieux documenté...
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.