Re: Besoin explications pour installer SFTP

To: debian-user-french@lists.debian.org
Subject: Re: Besoin explications pour installer SFTP
From: andre_debian@numericable.fr
Date: Mon, 24 Aug 2015 19:03:47 +0200
Message-id: <[🔎] 201508241903.47237.andre_debian@numericable.fr>
In-reply-to: <[🔎] CAMEeNc2WHtgapdeFDKSQCDdfowKt-305WvB0rZwpiLuUfpQ8QQ@mail.gmail.com>
References: <[🔎] CAMEeNc1UkcQX=1mqt-i9sP859RoPXAqifOhou6H5fgpMBqf9YA@mail.gmail.com> <[🔎] 55DB231E.4030508@prego-network.net> <[🔎] CAMEeNc2WHtgapdeFDKSQCDdfowKt-305WvB0rZwpiLuUfpQ8QQ@mail.gmail.com>

Hello,

Pour une connexion vraiment sécurisée avec ssh / sftp,
* ne jamais utiliser le mot de passe *, mais avec des clés,
publique (sur le serveur) et privée (sur le client).

Google t'indiquera moults tutos en tapant : "créer clés ssh".

Sur le client, la clé se situe dans /home/<user>/.ssh/
Sur le serveur dans /home/<user>/.ssh/authorized_key  
souvent /home/root/.ssh/authorized_key

Un rootkit sur ton ordinateur peut capter un mot de passe
et l'envoyer à tierce personne...

Hope it helps :-)

André

On Monday 24 August 2015 17:38:52 Hugues MORIN wrote:
> Questions subsidiaires:
> Comment faire pour assurer la securite de ce "user/password" qui va etre
> fournie a un intervenant?
>
> 1/ mon intervenant doit pourvoir acceder aux fichierx de mon site (dans
> /var/www/monsite)
> Si je cree un repertoire monsite dans /home/orthukyn/
> et que je fais un ln -s /var/www/monsite/ /home/orthukyn/monsite/
> Cela vous semble correct afin qu'il puisse y acceder par son repertoire?
>
> 2/ Je suppose qu'il faut que je cree un chroot pour ce user afin de
> l'enfermer dans son repertoire
> Est ce a l'aide de ces lignes a ajouter dans sshd_config que l'on le fait?
> Match user orthukyn
>        ChrootDirectory /home/orthukyn/
>
> J'ai pas bien compris a quoi servait:
>        ForceCommand internal-sftp
>        AllowTCPForwarding no
>
> Est ce qu'elles sont necessaires?
>
> Afin que le chroot fonctionne il faut que /home/orthukyn/ est les droit
> root:root, c'est bien ca?
>
>
> 3/ Avec le meme user/password, mon intervenant peut aussi acceder au shell
> en ssh.
> J'ai pas tres envie qu'il puisse passer des commandes directement dans le
> shell.
>
> Un des tuto parle de la commande chsh (chsh debora95dftp -s /bin/true)
> Est ce la solution pour bloquer l'acces au shell avec ce user/password?
>
>
>
> Pensez vous que ce soit suffisant pour "enfermer" mon intervenant dans son
> repertoire et ne lui permettre une connexion au serveur qu'en SFTP?
>
> Desole pour toutes ces questions (peut etre un peu neuneu ;-) mais c'est la
> 1ere fois que je fais cette operation.
> Et comme je suis sur un serveur en production, il faut que je sois tres
> prudent (je sais ca ne se fait pas..... mais j'ai pas le choix)
>
> Merci :D
>
> Cordialement
> Hugues
>
> Le 24 août 2015 15:58, Prego Jérémy <jeremy@prego-network.net> a écrit :
> > bonjour,
> >
> > l'accès sftp fonctionne par défault ... rien besoin de rajouter null
> > part.
> >
> > jerem
> >
> > Le 24/08/2015 15:56, Hugues MORIN a écrit :
> >
> > Bonjour a tous
> >
> >
> >
> > J'ai un serveur dedie sur lequel j'heberge des sites.
> > Je ne maitrise pas bien les problemes lies a la securite des serveurs
> > donc je n'ai pas voulu installer de serveur FTP sur ce serveur.
> > J'accede au shell en ssh et j'ai monte en local le systeme de fichier
> > afin d'avoir un acces plus "facile" pour les modifications.
> > Je n'ai que 2 utilisateurs qui peuvent acceder en ssh sur cette machine:
> > root et "myuser"
> >
> > J'ai sur un des sites un probleme technique qui necessite l'intervention
> > d'un technicien.
> > J'ai donc tente d'installe un SFTP (puisque je dispose deja de
> > openssh-server) afin que cet intervenant puisse acceder au dossier qui le
> > concerne sur le serveur.
> > Malheureusement ca etait un echec, je me suis bloque l'acces a mon server
> > et j'ai du demander l'intervention de hebergeur.
> >
> > Je me suis inspire des 2 tuto suivant pour installer le SFTP:
> > https://debian-facile.org/doc:reseau:ssh:tp-sftp-via-openssh-server
> >
> > http://www.ced-info.com/administration-reseaux/installer-facilement-un-se
> >rveur-sftp
> >
> > J'ai dans un premier temps creer un nouveau user avec son groupe et son
> > repertoire:
> > passwd => orthukyn:x:1001:1001:Intervenant
> > Exterieur,,,:/home/orthukyn:/bin/bash
> > group => orthukyn:x:1001:
> > repertoire => /home/orthukyn/
> >
> >
> > Dans sshd_config (qui n'a jamais ete modifie), j'ai ajoute:
> >
> > 1/ #AllowUsers
> > AllowUsers orthukyn
> >
> > 2/ apres UsePAM yes
> > Match user orthukyn
> >        ChrootDirectory /home/orthukyn/
> >        ForceCommand internal-sftp
> >        AllowTCPForwarding no
> >
> > J'ai redemarrer ssh et apres le redemarrage, impossible de se
> > reconnecter.
> >
> > Je ne vois pas ou peut etre mon erreur, surtout que quand on lit les tuto
> > ca a l'air assez simple.
> > Le seul truc sur lequel je doute c'est le AllowUsers.
> > Est ce que je dois y rajouter root et "myuser" pour que ca fonctionne?
> >
> >
> >
> > Cordialement
> > Hugues

Reply to:

Follow-Ups:
- Re: Besoin explications pour installer SFTP
  - From: juke@free.fr

References:
- Besoin explications pour installer SFTP
  - From: Hugues MORIN <morinh@gmail.com>
- Re: Besoin explications pour installer SFTP
  - From: Prego Jérémy <jeremy@prego-network.net>
- Re: Besoin explications pour installer SFTP
  - From: Hugues MORIN <morinh@gmail.com>

Prev by Date: [Résolu] Re: Changer de mainteneur, conserver ses logs :
Next by Date: Re: Logiciel d'architecture
Previous by thread: Re: Besoin explications pour installer SFTP
Next by thread: Re: Besoin explications pour installer SFTP
Index(es):
- Date
- Thread