[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Chroot sftp et problème de droits...



Le Tue, 17 Mar 2009 15:08:13 +0100,
Yves Rutschle <debian.anti-spam@rutschle.net> a écrit :
>On Tue, Mar 17, 2009 at 02:45:59PM +0100, David BERCOT wrote:
>> Au niveau de la connexion, tout roule. En revanche, le propriétaire
>> du home chrooté est root (c'est obligatoire) et les droits sont en
>> 755 (là encore, en 777 par exemple [juste pour tester ;-)], ça ne
>> marche plus).
>
>Peux-tu donner plus de détails sur ce que tu as mis dans ton
>sshd_config, et montrer les droits des répertoires (ta
>configuration ne me parait pas claire). D'autre part,
>comment cela ne "marche plus"? Y-a-t-il des messages quelque
>part dans /var/log/auth.log?

Alors, voici la partie intéressante de mon sshd_config :
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

UsePAM yes

Match user mon_user
        ForceCommand internal-sftp
        ChrootDirectory /mon_user/
Sur ce répertoire, c'est root qui est propriétaire et les droits sont
en 755, avec root.root.

Si jamais root n'est plus le propriétaire ou si je mets du 777, j'ai
l'erreur suivante la connexion :
Read from remote host 10.21.2.205: Connection reset by peer
Couldn't read packet: Connection reset by peer
Et, dans mon /var/log/auth.log, j'ai ceci :
Mar 17 15:27:47 neo sshd[11285]: Accepted password for mon_user from
10.21.2.10 port 46824 ssh2 Mar 17 15:27:47 neo sshd[11285]: (pam_unix)
session opened for user mon_user by (uid=0) Mar 17 15:27:47 neo
sshd[11287]: fatal: bad ownership or modes for chroot directory
component "/mon_user/" Mar 17 15:27:47 neo sshd[11285]:
(pam_unix) session closed for user mon_user

>> Donc, mon user de base n'a pas le droit d'écrire ni de modifier dans
>> son propre home...
>
>C'est "sftp", avec "s" pour "sécurisé": ta configuration est
>très bien securisée, c'est pas ce que tu recherches? :)

Elle l'est un poil trop ;-)
En fait, si, lorsque l'utilisateur est connecté, je change les droits
ou le propriétaire, ça marche. Mais bon, après, il ne pourra plus se
reconnecter ;-)

David.


Reply to: