Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 04-01-2014 19:35:54

didrod
Membre
Inscription : 04-01-2014

Access denied chroot user répertoire

Bonjour !

Je viens à vous car je voudrais chrooter un utilisateur à son répertoire /home/user. Mais je n'y arrive pas !

J'ai tout d'abord créer le user et son mot de passe

# sudo adduser mdp user



puis j'ai ensuite modifier le fichier /etc/passwd en changeant

user:x:1008:1008::/:/bin/bash


par

user:x:1008:1008::/home/user:/bin/bash



et ensuite je l'ai ajouter dans les permissions de connexion ssh en modifier AllowUser dans le fichier /etc/ssh/sshd_config
aussi j'ai ajouter

Match User user
Chroot Directory /home/user



enfin j'ai redemarrer ssh et tenté de me connecter avec user

"Access denied"



une idée ? merci de vos lumières

Dernière modification par didrod (04-01-2014 19:37:42)

Hors ligne

#2 04-01-2014 19:55:27

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Access denied chroot user répertoire

Comme dit sur IRC, la commande

adduser mdp user


n'est pas bonne, il faut définir le pass.


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#3 04-01-2014 19:57:41

didrod
Membre
Inscription : 04-01-2014

Re : Access denied chroot user répertoire

oui effectivement, je viens de

#sudo deluser user


puis

#sudo adduser user


et j'ai défini comme cela le reste

mais maintenant j'ai un autre soucis pour me connecter en ssh

"Server unexpectdly closed network connection"

Dernière modification par didrod (04-01-2014 19:58:58)

Hors ligne

#4 04-01-2014 20:23:11

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Access denied chroot user répertoire

Un problème par discussion, ce serait bien que tu ouvres un nouveau fil pour le ssh maintenant... smile

Et pis comme la réserve de point chocolat n'est pas encore vide, utilise les balises codes pour du code, voir ce tuto alléchant :
Le code, ça pique moins les yeux en couleur

Yeaaaaaaaaaaaah lol

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#5 04-01-2014 20:24:09

luxer
Membre
Distrib. : jessie/testing/sid--siduction
Noyau : 3.12-x-686-pae GCC4.8 (i686-linux-gnu)
(G)UI : xfce-4.10.0-5
Inscription : 12-02-2010

Re : Access denied chroot user répertoire

smile

Si Beethoven vivait encore il utiliserait lmms sur Debian

Hors ligne

#6 04-01-2014 20:53:21

didrod
Membre
Inscription : 04-01-2014

Re : Access denied chroot user répertoire

justement mon soucis c'est de réussir à chrooter le user dans son /home quand il se connecte en ssh !

a la demande de captnfab =>

cat /etc/ssh/sshd_config


# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
AllowUsers admin user

Match User user
        ChrootDirectory /home/user
 

Dernière modification par didrod (04-01-2014 20:55:06)

Hors ligne

#7 04-01-2014 22:20:53

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Access denied chroot user répertoire

bon ben je ferai alors ballepeau pour le point choco..
C'est dur mais c'est df ! big_smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#8 05-01-2014 21:01:04

didrod
Membre
Inscription : 04-01-2014

Re : Access denied chroot user répertoire

Des nouvelles, donc à la demande de captnfab j'ai retirer

Match User user
        ChrootDirectory /home/user



et je peux maintenant me connecter en ssh avec le user nouvellement créer. Mais il n'est pas chrooter dans son répertoire... il peux se balader sad

Dernière modification par didrod (05-01-2014 21:11:02)

Hors ligne

#9 05-01-2014 21:07:56

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Access denied chroot user répertoire

Salut Didrod,

Ok, donc tout va bien.

Il faut savoir qu'un chroot, comme son nom l'indique, change la racine du système de fichier.
Ok, si tu changes la racine de ton système de fichier pour /home/user, l'utilisateur ne pourra même plus exécuter de shell, vu qu'il n'y a pas de shell dans /home/user/bin/bash smile

Un peu de doc ici : http://allanfeid.com/content/creating-c … ssh-access

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#10 05-01-2014 21:12:13

didrod
Membre
Inscription : 04-01-2014

Re : Access denied chroot user répertoire

Ahh donc comme il n'a pas de shell.. quand il veut se connecter il n'y a rien qui se passe, alors le terminal se ferme, c'est ça ?
Je regarde ton lien et je vous tiens au jus

Hors ligne

#11 05-01-2014 21:16:44

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Access denied chroot user répertoire

Il tente d'exécuter le shell, donc lance /bin/bash (ou n'importe quel shell indiqué dans /etc/passwd pour l'utilisateur user, ne trouve pas le fichier, donc renvoie une erreur et tue la connexion.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#12 07-01-2014 00:08:24

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : Access denied chroot user répertoire

captnfab a écrit :

Il tente d'exécuter le shell, donc lance /bin/bash (ou n'importe quel shell indiqué dans /etc/passwd pour l'utilisateur user, ne trouve pas le fichier, donc renvoie une erreur et tue la connexion.



c'est exact, sinon il faut importer un shell dans le chroot, (http://www.pariscyber.com/security/chroot.php) par contre le sftp ne pose pas de problème pour le chroot et c'est déjà pas mal puisque le user peut écrire lire dans son dossier respectif du chroot.

sftp user@serveur


tu as essayé ?

chose importante et impérative: chaque dossier parent doit appartenir à root:user et en droit 750 sinon le message d'erreur sera le suivant: Write failed: Broken pipe

par exemple si le user est chrooté dans  /partage/machin  cela implique que les deux répertoires partage et machin appartiennent  à root:user en tous les deux en droits 750.
pour que user puisse avoir des droits d'écriture il faudra donc créer un nouveau répertoire en 775  à l'intérieur du chroot.

perso, je n' ai pas chrooté dans mon home car il n'est pas en 750, j'ai chrooté ailleurs sur une autre partition.

Dernière modification par nikau (07-01-2014 00:34:42)

Hors ligne

Pied de page des forums