Créer un serveur SFTP

sebas22 · Le 03/12/2007, à 18:37

Bonjour à tous et à toutes, voilà je voudrais mettre en place un serveur SFTP (SSH) mais je ne sais pas trop comment m'y prendre. En fait lorsque j'installe OpenSSH, j'arrive à me loguer depuis un autre poste au serveur avec le SFTP. Le souci c'est que je vois tous les répertoires de mon disque ce qui ne me plait pas. Je voudrais savoir si il est possible d'afficher qu'un répertoire par exemple et non tout mon disque car même si je peux restreindre les droits suivant les utilisateurs je ne veux pas que le poste client puisse voir tout mon disque...

Est-il possible de faire tout ceci sans pour autant utiliser un logiciel tiers car j'ai vu que ça existait... lequel de ces deux choix est le mieu ? que peut offrir en plus le logiciel...

Merci d'avance.

Uggy · Le 03/12/2007, à 19:17

A ma connaissance il n'y a pas de moyen "natif" dans OpenSSH pour faire cela...
Il faut utiliser des patchs OpenSSH ou d'autres "applis" pour brider le shell...

Fait une recherche sur "sftp chroot" ou "sftp jail" pour avoir une étendue des solutions...
Je n'en ait testé aucune pour l'instant...
Une autre piste pourrait être de faire du FTPS à la place du SFTP... mais ce n'est peut etre pas ce que tu veux...

sebas22 · Le 03/12/2007, à 19:29

En fait c'est pour mon bts c'est une activité pratique, j'avais pri ssl au début et je trouve ça vraiment limité.
J'ai donc opté pour ssh, bien plus complet et qui propose plus d'utilisateur. accès distant, tunnelisation d'un port, sftp ...

Je vais regarder ce que tu m'as proposé la deja merci bien

HallaanLoske · Le 04/12/2007, à 12:46

Bonjour,

Crée un compte sur ta machine, donne comme accès uniquement les répertoires que tu souhaite partager.

Utilise ce compte pour te connecter en sftp.

@+
HallaanLoske

Aneldix · Le 11/03/2008, à 12:17

Bonjour, je remonte ce post car je suis intéréssé par cette solution.

Comment faut il faire pour donner un accès unique à certains répertoire ( /home/nouveauComptePourPartage/partage )

merci pour l'info

®om · Le 11/03/2008, à 12:27

Moi j'utilise MySecureShell...
http://doc.ubuntu-fr.org/serveur/mysecureshell_sftp-server

chrooter certains répertoires ne suffit pas, il faut aussi ne pas donner de shell à l'utilisateur, ce que permet de faire mysecureshell

Ton répertoire partagé sera /home/tonuserquetucrées, et tu peux faire des mount (les liens symboliques ne suffisent pas) pour y mettre d'autres choses dedans...

Uggy · Le 11/03/2008, à 13:30

Uggy a écrit :

A ma connaissance il n'y a pas de moyen "natif" dans OpenSSH pour faire cela...
Il faut utiliser des patchs OpenSSH ou d'autres "applis" pour brider le shell...

Update: Cela semble possible depuis 2 semaines avec la toute derniere version d'OpenSSH

madin60 · Le 21/01/2009, à 02:02

Bonsoir,
Personnellement je teste la solution RSSH :rolleyes:qui restreint le shell ssh et chroot les utilisateurs.
Mais bon la configuration est assez pénible et compliquée:( (probleme de securité a cause du suid de "chroot_helper"). J'y parviens 1 fois sur 3 et les docs sont en anglais (merci Google).
Si quelqu'un a une solution pour limiter le shell de ssh et empecher les utilisateurs distant de se ballader dans l'arborescence, je suis preneur!
Bon je ne lache pas l'affaire et je donne des nouvelles si je parviens à utiliser correctement RSSH.
Au cas ou ca puisse aider quelqu'un voici la doc que j'explore en ce moment http://ubuntuforums.org/showthread.php?t=128206

Uggy · Le 21/01/2009, à 11:06

Comme indiqué au dessus, c'est désormais possible nativement avec des version pas trop vielles d'OpenSSH
-> ChrootDirectory

madin60 · Le 21/01/2009, à 13:47

Je vois. me reste plus qu'a installer la version 5.1 d'OpenSSH. Bon je vais voir ce que je peux faire. La dernière version supporté sur la 8.04 étant la 4.7. Je crois que je suis bon pour une compilation en bonne et due forme. Mais je préférerai créer un paquet .deb de la version 5.1... Allez je retrousse mes manches.

Uggy · Le 21/01/2009, à 15:14

Il il y a environ 3 mois, j'avais cherché, et effectivement je n'avais pas trouvé de paquets... J'avais donc compilé...

madin60 · Le 21/01/2009, à 22:04

Ah y est j'ai compilé openssh-5.1p1. Ne parvenant pas a créer un .deb j'ai été contraint de me résoudre à cette option. Faut que je pense à le mettre à jour maintenant... Merci encore!
Je fais configurer SSH à présent pour mettre en place le chroot. Bonne soirée

yoan31 · Le 21/01/2009, à 22:28

Comme le dis ®om, je te conseille aussi MySecureShell, c'est super simple et tres rapide !

madin60 · Le 22/01/2009, à 12:04

Bon ben la compilation terminée, j'ai ssh mais impossible de me connecter. J'ai un message "connection refused"

Uggy · Le 22/01/2009, à 12:08

fait voir conf, logs.... et droits des reps

Dernière modification par Uggy (Le 22/01/2009, à 12:09)

sinbad83 · Le 22/01/2009, à 12:13

madin60 a écrit :

Bon ben la compilation terminée, j'ai ssh mais impossible de me connecter. J'ai un message "connection refused"

Dans ce cas, vérifie le ou les pare-feu. Vérifie aussi avec nmap (localhost et IP destination).

madin60 · Le 22/01/2009, à 13:51

Bon je baisse les bras... j'ai des fichiers de conf un peu partout dans le systeme, impossible de réinstaller les paquets openssh-server. Bref je formatte et passe en 8.10 c'est plus simple!
Merci!

sinbad83 · Le 22/01/2009, à 18:08

madin60 a écrit :

Bon je baisse les bras... j'ai des fichiers de conf un peu partout dans le systeme, impossible de réinstaller les paquets openssh-server. Bref je formatte et passe en 8.10 c'est plus simple!
Merci!

N'abandonne pas. Prends le temps de regarder la doc de ®om sur le SSH http://rom1v.blogspot.com/2008/08/prsentation-de-ssh.html et celle d'Ubuntu http://doc.ubuntu-fr.org/ssh.

madin60 · Le 02/02/2009, à 01:05

Ok ca marche nickel desormais...
En bonus j'ai un systeme a jour et opérationnel!
Merci à tous pour vos conseils et votre support....
Vive la communauté Linux solidaire

drshadow · Le 04/06/2009, à 17:02

je poursuis ce post pour éviter d'ouvrir de nouveaux topics

je voudrai moi aussi faire en sorte que les utilisateurs sftp ne se baladent pas partout sur l'arboressence et donc la solution du chroot est pas mal.

je me lance donc :

ubuntu 8.10
openssh telechargé ya 15 jours donc je pense avoir la derniere.
le sftp qui va avec du coup^^

et la un truc pas mal c'est rssh qui permet de restreindre les utilisateurs aux commandes voulues.

bon jusque la ca va je teste avec toto c'est bon il ne peut utiliser que le sftp
(testé à partir de file-zila sur un windows)

par contre des que je tente de mettre en place du chroot la c'est mort.

qqn à une idée? ma dernière tentative de modif sur le fichier de conf :

ajouter chrootdirectory /monchemin/dossierpartage

s'est soldée par un cuisant échec : chrootdirectory bad configuration...
je cherche l'erreur, puis apres moultes modif ca donne ca :

Match group sftp
X11Forwarding no
ChrootDirectory %h
AllowTcpForwarding no
ForceCommand internal-sftp

et la c'est autre chose : chrootdirectory not allowd within a match block...

heureusement je bosse sur une vm ce qui me permet de revenir en arrière tres facilement pour tester autre chose.

mais un peu d'aide ne serai pas de trop plz?

Uggy · Le 04/06/2009, à 19:31

Ma conf fontionne et contient

#Subsystem sftp /usr/lib/openssh/sftp-server

# Pour chroot
Subsystem sftp internal-sftp
###
Match User toto
ChrootDirectory /jailSftp
ForceCommand internal-sftp

T'as bien lu la doc y compris ce genre de passage:
This path, and all its components, must be root-owned directories that are not writable by any other user or group.

$ stat /jailSftp/ |grep root
Access: (0555/dr-xr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
$

drshadow · Le 05/06/2009, à 09:47

en théorie oui j'ai lu le passage sur les droits, voici mes sources :
http://www.lea-linux.org/documentations … uris%C3%A9

et http://shapeshed.com/journal/chroot_sft … _intrepid/

mais en fait ce message sur l'erreur dans le chrootdirectory apparait losque je tente de relancer le serveur ssh.

je vai essayer ce que tu me dit comme suit :

modification du fichier de conf pour qu'il corresponde à tes lignes et donc création de l'utilisateur toto dans le groupe sftp,

un match group sftp. par contre ton repertoire /sftpjail est a la racine ou bien c'est une option que tu as spécifiée?

et je vai regarder les droits sur mon arboressence.

drshadow · Le 05/06/2009, à 10:24

re, désolé pour le double post, alors voila ce que j'ai fait

donc je commence par créer à la racine le répertoire jailSftp :

sudo -s pour passer en root
cd / pour se déplacer sur la racine et sortir du /home/$user
mkdir jailSftp pour créer le repertoire

stat /jailSftp/ |grep root (qui me renvoie)
Access: (0755/drwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)

sur ce je fait :

chmod 0555 /jailSftp
stat /jailSftp/ |grep root (qui me renvoie)
Access: (0555/dr-xr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)

donc jusque là on est ok.

je créé mon utilisateur toto et mon groupe sftp

groupadd sftp
adduser --password toto --home /jailSftp/toto toto

j'attribue ensuite manuellement le groupe sftp a toto et je verifie que son shell soit le bon.

donc la tout est en place j'attaque la config de /etc/ssh/sshd_config avec gedit et je met donc comme toi :

#Subsystem sftp /usr/lib/openssh/sftp-server

# Pour chroot
Subsystem sftp internal-sftp
###
Match User toto
ChrootDirectory /jailSftp
ForceCommand internal-sftp

en respectant la casse (on sait jamais).

donc en théorie tout est prêt la je fait un petit :
/etc/init.d/ssh restart

et c'est la qu'il m'engeule en me disant :
/etc/ssh/sshd_config: line 81: Bad configuration option : ChrootDirectory
/etc/ssh/sshd_config: line 81: Directive 'ChrootDirectory' is not allowed within a Match block

impossible à partir de là de relancer le ssh.
je restaure la snapshot d'avant et je reprend.

Uggy · Le 05/06/2009, à 11:05

Tu n'as peut etre pas une version d'openSSH compatible.
Quelle est ta version ?

drshadow · Le 05/06/2009, à 13:33

si je me réfère au fichier /usr/share/doc/openssh-server/README
je dirai la 4.7

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 03/12/2007, à 18:37

Créer un serveur SFTP

#2 Le 03/12/2007, à 19:17

Re : Créer un serveur SFTP

#3 Le 03/12/2007, à 19:29

Re : Créer un serveur SFTP

#4 Le 04/12/2007, à 12:46

Re : Créer un serveur SFTP

#5 Le 11/03/2008, à 12:17

Re : Créer un serveur SFTP

#6 Le 11/03/2008, à 12:27

Re : Créer un serveur SFTP

#7 Le 11/03/2008, à 13:30

Re : Créer un serveur SFTP

#8 Le 21/01/2009, à 02:02

Re : Créer un serveur SFTP

#9 Le 21/01/2009, à 11:06

Re : Créer un serveur SFTP

#10 Le 21/01/2009, à 13:47

Re : Créer un serveur SFTP

#11 Le 21/01/2009, à 15:14

Re : Créer un serveur SFTP

#12 Le 21/01/2009, à 22:04

Re : Créer un serveur SFTP

#13 Le 21/01/2009, à 22:28

Re : Créer un serveur SFTP

#14 Le 22/01/2009, à 12:04

Re : Créer un serveur SFTP

#15 Le 22/01/2009, à 12:08

Re : Créer un serveur SFTP

#16 Le 22/01/2009, à 12:13

Re : Créer un serveur SFTP

#17 Le 22/01/2009, à 13:51

Re : Créer un serveur SFTP

#18 Le 22/01/2009, à 18:08

Re : Créer un serveur SFTP

#19 Le 02/02/2009, à 01:05

Re : Créer un serveur SFTP

#20 Le 04/06/2009, à 17:02

Re : Créer un serveur SFTP

#21 Le 04/06/2009, à 19:31

Re : Créer un serveur SFTP

#22 Le 05/06/2009, à 09:47

Re : Créer un serveur SFTP

#23 Le 05/06/2009, à 10:24

Re : Créer un serveur SFTP

#24 Le 05/06/2009, à 11:05

Re : Créer un serveur SFTP

#25 Le 05/06/2009, à 13:33

Re : Créer un serveur SFTP

Pied de page des forums