Proftpd -mysql : Déconnecté du serveur après l'authentification

Couin · Le 18/01/2019, à 08:33

Helloooo, c’est encore moiiiii lol

Alors voilà, comme j’avais déjà mis proftpd-mysql (plus pratique pour gèrer les utilisateurs je trouve) sur mon autre ubuntu , je retente la même chose sur le 18.04 Server, mais ca ne se passe pas comme prévu.

Je me suis inspiré du tuto suivant :
https://console.nodilex.com/fr/communit … tpd-mysql/

A partir de l'install de proftpd-mod-mysql (psuique j'ai déjà PHP).

J'ai 1 warning sur chaque "GRANT SELECT..." mais à priori les utilisateurs sont créés puisque je les vois ensuite dans phpmyadmin.
J'ai du modifier TYPE=MyISAM par ENGINE=MyISAM dans la création des tables, ainsi que mettre autre chose que '0000-00-00 00:00:00' pour les defaults et mofified dates..

Mais voilà, lorsque je tente de me connecter (Filezilla Client), je me mange directement une déconnexion du serveur après l'authentification (je rentre bien les identifiants que j'ai créé) :

Statut : Connexion à 192.168.0.249:21...
Statut : Connexion établie, attente du message d'accueil...
Réponse : 220 ProFTPD 1.3.5e Server (Debian) [::ffff:192.168.0.249]
Commande : USER couin
Réponse : 331 Mot de passe requis pour couin
Commande : PASS *******
Erreur : Connexion interrompue par le serveur
Erreur : Impossible d'établir une connexion au serveur

Je ne sais pas où chercher l'erreur
Si quelqu'un a eu idée

Merki
Couin

Couin · Le 21/01/2019, à 04:40

Coucoutte

Je n'ai pas l'habitude de upper les sujets mais je suis bloqué dans projet à cause de ce point
J'ai beau rééssayer la procédure, ou même essayer d'autres tuto, rien à faire, je tombe toujours sur le même résultat.

Helpeuuuh lol

Merki

krodelabestiole · Le 21/01/2019, à 05:34

j'utilise pas proftpd, mais avec un message comme "Connexion interrompue par le serveur" je regarderais du côté des logs du serveur.

Couin · Le 22/01/2019, à 07:03

Hello,

Merci pour le coup de palme

Alors dans proftpd.log j'avais une erreur

unrecoverable backend error: (1044) Access denied for user 'proftpd'@'localhost' to database 'proftpd'

Du coup je me suis penché sur le fichier /etc/proftpd/sql.conf notamment au niveau de :

SQLConnectInfo  proftpd@localhost proftpd proftpd

En fait, j’avais mis proftpd@localhost, pensant qu'il s'agissait du même qu’indiqué plus haut (GRANT SELECT ...).
A priori en mettant ftp@localhost à la place je peux me connecter.

Mais je ne puis modifier supprimer envoyer de fichier (c'est balot) , Permission denied qu'i'mdit l'namal .

Je pense que ca doit être un souci de droit sur www . Voici ceux qu'il y a :

couin@u1804:/var/www$ ls -lsa
total 12
4 drwxr-xr-x  3 root root 4096 janv. 15 19:28 .
4 drwxr-xr-x 14 root root 4096 janv. 15 19:28 ..
4 drwxr-xr-x  2 root root 4096 janv. 15 19:29 html

Je pense qu'il doit falloir quelque chose comme chmod mais comment préciser à quel utilisateur ("proftpd" ?) et ou groupe on donne des droits ?

Merki

bruno · Le 22/01/2019, à 18:58

Il faudrait expliquer ce que tu veux faire exactement.

Je suppose que tu veux donner un accès FTP à un utilisateur particulier au dossier qui héberge ton site web.

Il faut donc que ton utilisateur FTP soit propriétaire de ce dossier et de son contenu, et qu'Apache ait à minima les droits en lecture (voire en écriture pour certains fichiers/dossiers).
Il faut aussi que cet utilisateur soit strictement limité (chroot) à ce dossier, c'est à dire qu'il ne puisse pas remonter dans l’arborescence au delà du dossier racine du site.

Au passage, FTP n'est pas sécurisé puisque les mots de passe et les données sont transmise en clair. Il est préférable d'utiliser SFTP.

Dernière modification par bruno (Le 22/01/2019, à 19:00)

Couin · Le 22/01/2019, à 23:03

Hellooo !

En effet je n’ai pas vraiment décrit le besoin.
Je fais une VM avec ubuntu 18.04 server , pour être dans la même configuration qu'un éventuel VPS que je vais prendre chez OVH pour tester un site et si concluant, basculer dessus.
Etant une vraie quiche en linux (on l'aura tous vu ahah), je veux limiter les différences entre mes tests d'installation et l'installation sur le VPS.

Le projet concerne un seul site donc dans l'absolu je pourrais le mettre directement à la racine mais si je veux en mettre un autre, ca va pas être terrible.

Sur un autre serveur (ou icelui avec le vieux ubuntu lol) j’avais mis proftpdl avec mysql car j'avais trouvé pratique l'idée de créer les utilisateurs indépendamment de dans l'OS même (j'ai franchement plus que du mal avec la gestion des utilisateurs et des droits sur linux).

Alors entre temps , je suis parvenu à ce que proftpd puisse accèder au www par les commandes suivantes

sudo chown -R $USER:www-data /var/www
sudo chmod -R 775 /var/www

(Avant j'ai fais ca mais je sais pas si c'est obligatoire)

sudo usermod -a -G www-data couin
sudo usermod -a -G www-data proftpd

================

Après je ne suis pas contre le fait de revoir ma copie comme on dit (pour FTP => SFTP).

Pour les droits, c’est là que je bloque complètement (et les divers tutos ne m'ont pas aidés à comprendre), chmod, chown, chroot (connaissais pas celui là lol ), arrive pas à piger comment on défini qui a quel droit, rien que d'en parler et réfléchir à comment tourner mon problème, ca me file mal au crane

bruno · Le 23/01/2019, à 09:50

Couin a écrit :

Sur un autre serveur (ou icelui avec le vieux ubuntu lol) j’avais mis proftpdl avec mysql car j'avais trouvé pratique l'idée de créer les utilisateurs indépendamment de dans l'OS même (j'ai franchement plus que du mal avec la gestion des utilisateurs et des droits sur linux).

Non ce n'est pas plus pratique, au contraire.
Pour la gestion des droits et des utilisateurs, il va falloir que tu apprennes, c'est la base pour apprendre à gérer un serveur . Et ne t'inquiètes pas, on a tous commencé par être des « quiches »

Couin a écrit :

Alors entre temps , je suis parvenu à ce que proftpd puisse accèder au www par les commandes suivantes
sudo chown -R $USER:www-data /var/www
sudo chmod -R 775 /var/www

Ok pour la première commande qui fait que tous ce qui se trouve sous /var/www appartient à couin ($USER conteient le nom de l'utilisateur courant) et au groupe www-data
Par contre la seconde donne des permissions excessives : cela rend en particulier tous les fichiers exécutables pour tout le monde. Des permissions suivantes seraient plus sûres (on pourrait être encore plus strict):

- dossiers : rwxrwxr--x
- fichiers : rw-rw-r--

Pour rétablir cela :

sudo chmod -R -x /var/www
sudo chmod -R +X /var/www

La première commande enlève le droit d'exécution (x) sur tous les fichiers et d'entrée dans les dossiers. La seconde replace le droit d'entrer (X) sur tous les dossiers.

Je déconseille fortement l'usage de chmod en mode octal (chmod xxx) surtout lorsqu'on débute.

Couin a écrit :

(Avant j'ai fais ca mais je sais pas si c'est obligatoire)
sudo usermod -a -G www-data couin
sudo usermod -a -G www-data proftpd

Inutile et risqué. Tu as ajouté l'utilisateur couin au groupe www-data. À la rigueur l'inverse :www-data dans le groupe couin, peut servir. Cela permettrait à Apache (www-data) de lire, voire modifier, des fichiers qui appartiendraient au groupe couin, ce qui est le cas des fichiers crées par couin.
Je ne comprend me pas l’intérêt de la seconde commande …

Couin · Le 24/01/2019, à 17:53

Hello,

Merci pour cette réponse qui devrait m'aider, je vais potasser là dessus.
(Concernant la 2eme commande, je pensais que ca aurait permis à l'utilisateur proftpd d'avoir les memes droits sur le répertoire /var/www ) .

Merci encore
Couin

Couin · Le 26/01/2019, à 06:23

Hello,

Bon, je ne m'en sors absolument pas du tout ...
Je suis reparti d'une image avec juste LAMP installé. Je n'ai pas remis proftpd.

J'ai fais un VirtualHost "lesite1.fr" qui pointe vers le répertoire "/var/www/lesite1.fr" . Après modif de mon hosts client (win10), j'arrive sur "Index Of" quand je vais sur http://lesite1.fr .

Pour ce qui est de mettre le serveur sftp, j'ai constaté après fouille, que c'était déjà actif du fait que j'ai open-ssh.
Si je me connecte en tant que couin, j'accède en lecture seule à tout le disque (c'est normal ?).

Je créé un utilisateur "lesite1.fr" avec son mot de passe. Si je me connecte en sftp, j'ai la même arborescence et droits de lecture sur tout le disque (euh?!) .

Après, voilà, je suis toujours bloqué au même point pfff, c'est plus que désespérant, j'ai franchement plus que du mal, ça ne veut absolument pas rentrer ...

Pour reprendre l'analogie avec une voiture dans l'article sur les droits, je trouve que les choix sont vraiment restreints : On peut soit être proprio, soit conducteur secondaire, soit étranger à la voiture.

Mais si par exemple :
- Pierre est propriétaire de la voiture
- Sa femme Janine est dans le groupe des conducteurs secondaire
- Le reste du monde, donc étranger au véhicule, peut juste regarder la voiture.
Comment font les gosses pour rentrer dans la voiture sachant qu'ils sont ni conducteurs secondaires, ni propriétaires, ni étrangers ?

Pour en revenir à sftp, des divers tutos que j'ai trouvé, aucun ne m'a aidé ....
https://debian-facile.org/doc:reseau:ss … ssh-server avec celui là , je me suis foutu dehors de la console SSH (oui, ils disent bien si on a pas un deuxième compte blabla, mais comment on fait ? pffff). Pas pu aller plus loin.
Le dernier en date (de recherche), celui ci https://www.le-geek.com/openssh-creer-u … ous-linux/ , il faut créer un groupe (sftplimited) qui a le même chemin chroot que l'utilisateur et dans lequel on met l'utilisateur (donc ici lesite1.fr), donc si un jour je veux faire lesite2.fr , quel chroot il aura ?
Je ne comprends rien de rien ...
De plus, dès que je touche au fichier sshd_config, je me mange ça comme erreur au restant :

Job for ssh.service failed because the control process exited with error code.
See "systemctl status ssh.service" and "journalctl -xe" for details.

et dans le journal il y a

Failed to start OpenBSD Secure Shell server.

Une recherche sur le net m’emmène encore vers pas grand chose de révélant ... Pffff les emmerdes à tiroirs c'est bon là ...

Il n'y pas un tuto avec "faire ca, ca, ca et ca" et ca marche à coup sur sans s’empêtrer dans les emmerdes ? Parce que là c'est infernal l'histoire

Je viens d'essayer encore un autre tuto ( https://www.supinfo.com/articles/single … tp-chroote ) , à la commande

 useradd lesite1.fr -gid sftp_chroot -groups sftp_chroot -m -shell /bin/false

il me retourne

useradd: group 'id' does not exist

J'en ai marre, il est presque 5h30, j'ai la tronche en bouillie ...

Si tu connais un tuto, je veux bien, car là j'en ai vraiment marre d’être bloqué par sûrement une connerie

Merki

Couin · Le 26/01/2019, à 16:23

Reu !

Bon, alors, on s'y remet...

Déjà l'erreur quand on redémarre ssh après avoir modifié la conf, c'(était dû à une faute de frappe (pffff!!!) ... Subsystm sftp internal-sftpau lieu de Subsystem... Bravo le couin !!!

Du coup, j'ai créé un groupe sftp (je sais ce n'est pas très original mais c’est déjà un sac de noeuds dans ma tête lol), j'ai ajouté l'utilisateur "lesite1.fr" dans ce groupe par la commande sudo usermod -g sftp lesite1.fr

Dans la config ssh, j'ai ajouté :

AllowGroups sftp couin
Match group sftp
        ChrootDirectory /var/www
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp

Redémarré ssh, et testé la connexion est maintenant ok avec "lesite1.fr" via filezilla.

En revanche, j’atterris dans le dossier www et non "lesite1.fr" (dossier qui est dans www) et du coup, je peux voir (mais pas écrire) les dossiers d'à coté (par exemple "lesite2.fr" ).

Bon déjà ça avance un peu, je continue les recherches.

A ploutch'

Dernière modification par Couin (Le 26/01/2019, à 16:24)

bruno · Le 26/01/2019, à 17:34

Si tu veux pouvoir gérer proprement plusieurs utilisateurs le /var/www n'est pas l'idéal.
J'explique sur un exemple d'organisation, à toi d'adpter.

Les sites web sont tous dans /srv/web/ avec le schéma d'organisation suivant :

- le site lui même est dans : /srv/web/site1/www
- les logs sont dans /srv/web/site1/www/logs
etc.

Les utilisateurs sont définis avec leur dossier personnel comme étant /srv/web/site1 (home, voir l'option -d de la commande usermod pour attribuer/changer le dossier personnel). Ce dossier doit appartenir à root.
Leur groupe principal est webhosting (sftp pour toi).
Le dossier /srv/web/site1/www et son contenu appartiennent à l'utilisateur site1 et au groupe webhosting.
L'utilisateur www-data est membre du groupe webhosting.
Le fichier sshd_config contient ceci :

Match group webhosting
        ChrootDirectory %h
        AllowTcpForwarding no
        ForceCommand internal-sftp

Ainsi ces utilisateurs sont bloqués dans leur dossier personnel (chroot), c'est à dire /srv/web/site1 ou /srv/web/site2, etc.
Il ne peuvent faire que du SFTP et n'ont pas de shell.

Dernière modification par bruno (Le 26/01/2019, à 17:35)

Couin · Le 26/01/2019, à 19:52

Re,

Merci

Alors reparti de l'image LAMP , j’ai adapté ton exemple

Point de vu sftp : j’atterris dans le répertoire lesite1.fr , est-ce possible d’atterrir dans www , histoire d'éviter que l'utilisateur le supprime ?
J'ai essayé de changer le home de l'utilisateur lesite1.fr, de rajouter /www après mais ca croute le sftp.

Je peux accéder depuis une machine client (mais autre petit souci, mais je vais ouvrir un autre sujet pour pas tout emmêler).

En tout cas merci à toi c’est vraiment sympa le gros coup de pouce

Couin · Le 27/01/2019, à 00:48

Re,

Bon le petit souci en question était du au short_open_tag sur Off donc ça c’est bon .

En revanche , un petit souci, je pense lié toujours aux droits.

Je veux installer un tchat (https://justblab.com/) . Celui ci marche très bien sur mon serveur en 12.04 et aussi sur le site qui est pour le moment chez un hébergeur.
Toutefois, si je veux partir d'une install neuve, donc avec un fichier config.php vide (normal ca), la page me retourne une erreur concernant l'impossibilité d'écrire sur ce fichier :

config.php is not writeable. CHMOD it to 777 and reload the install.

Pourtant, un autre script ailleurs sur le site , me permet d'envoyer des fichier depuis une page php .
Au niveau des droits j'ai ça :

 drwxrwxrwx 23 lesite1.fr www-data 4096 janv. 26 21:54 www

Du coup, je sèche un pneu (bon c’est pas nouveau en fait lol).

Après je peux contourner en réinjectant les tables et le fichier de config déjà fait, nécessaires au tchat, mais j'aimerais quand même pouvoir faire un truc qui marche à 100%

Ca doit être une broutille mais je vois pas

Si tu as une tite idée

Merki
Couin

Dernière modification par Couin (Le 27/01/2019, à 00:48)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 18/01/2019, à 08:33

Proftpd -mysql : Déconnecté du serveur après l'authentification

#2 Le 21/01/2019, à 04:40

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#3 Le 21/01/2019, à 05:34

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#4 Le 22/01/2019, à 07:03

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#5 Le 22/01/2019, à 18:58

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#6 Le 22/01/2019, à 23:03

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#7 Le 23/01/2019, à 09:50

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#8 Le 24/01/2019, à 17:53

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#9 Le 26/01/2019, à 06:23

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#10 Le 26/01/2019, à 16:23

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#11 Le 26/01/2019, à 17:34

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#12 Le 26/01/2019, à 19:52

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

#13 Le 27/01/2019, à 00:48

Re : Proftpd -mysql : Déconnecté du serveur après l'authentification

Pied de page des forums