Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-04-2014 21:43:00

Sagaroth
Membre
Inscription : 07-04-2014

Bloquer les utilisateurs dans leur dossier

Salut à tous ! big_smile

Voilà mon problème.

J'ai plusieurs utilisateurs.
Une FTPWEB que j'ai crée en local sur ma machine Debian et un bon nombre d'autre que j'ai crée via un active directory Windows (::rolleyes:) qui peuvent se connecter sur ma Debian.

FTWEB possède le répertoire /var/www comme home par défaut. Tous les autres possèdent /home/GSB/leur_id comme home par défaut.
Lorsque je me connecte sur un client FTP, c'est parfait, ils sont bloqué à leur répertoire home et ne peuvent accéder au répertoire parent. Mais lorsque je me connecte en SSH ou que je me rend directement sur l'OS, les utilisateur peuvent accéder à tout les répertoires parents. Ils ne sont pas bloqué dans leur home.


Comment puis-je résoudre celà ?

Merci d'avance !

Gaël

Hors ligne

#2 07-04-2014 22:20:14

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : Bloquer les utilisateurs dans leur dossier

Bonjour et Bienvenue

Je n'ai jamais essayé, je ne sais pas si il y a plus simple, mais j'ai entendu parlé du chroot jail qui doit permettre de réaliser ce que tu souhaites smile

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#3 07-04-2014 22:25:22

Sagaroth
Membre
Inscription : 07-04-2014

Re : Bloquer les utilisateurs dans leur dossier

Merci pour le bienvenue smile
Je vais tenter de me renseigner à ce sujet wink Merci de la piste smile

Dernière modification par Sagaroth (07-04-2014 23:23:16)

Hors ligne

#4 07-04-2014 22:31:35

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : Bloquer les utilisateurs dans leur dossier

Sagaroth a écrit :

Merci de la piste



De rien smile

Je m'aperçois aussi que le manpage de sshd_config donne des information à ce sujet wink

manpage de sshd_config a écrit :

ChrootDirectory

Specifies the pathname of a directory to chroot(2) to after authentication. All components of the pathname must be root-owned directories that are not writable by any other user or group. After the chroot, sshd(8) changes the working directory to the user’s home directory.

The pathname may contain the following tokens that are expanded at runtime once the connecting user has been authenticated: %% is replaced by a literal ’%’, %h is replaced by the home directory of the user being authenticated, and %u is replaced by the username of that user.

The ChrootDirectory must contain the necessary files and directories to support the user’s session. For an interactive session this requires at least a shell, typically sh(1), and basic /dev nodes such as null(4), zero(4), stdin(4), stdout(4), stderr(4), arandom(4) and tty(4) devices. For file transfer sessions using ’’sftp’’, no additional configuration of the environment is necessary if the in-process sftp server is used, though sessions which use logging do require /dev/log inside the chroot directory (see sftp-server(8) for details).

The default is not to chroot(2).


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#5 07-04-2014 22:49:26

Sagaroth
Membre
Inscription : 07-04-2014

Re : Bloquer les utilisateurs dans leur dossier

Je ne pense pas que ce soit spécifique à ma configuration SSH étant donné que le problème est toujours présent lorsque je me rend directement sur la machine (via Vsphere de Vmware car c'est une VM) wink

Dernière modification par Sagaroth (07-04-2014 22:51:04)

Hors ligne

#6 08-04-2014 11:35:45

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Bloquer les utilisateurs dans leur dossier

Salut,
Tu veux peut-être interdire l'obtention d'un shell distant mais autoriser sftp via ssh ?

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#7 08-04-2014 14:45:51

Sagaroth
Membre
Inscription : 07-04-2014

Re : Bloquer les utilisateurs dans leur dossier

Salut à toi !
Non en fait je veux que mes utilisateurs puissent quand même avoir accès à un shell distant et aussi a un FTP. Mais je veux que , lorsqu'ils se connectent en shell, ils ne puissent pas remonter au delà de leur dossier Home. c'est à dire que si ils sont à la racine de leur home, lorsqu'il tentent de remonter dans l'arborescence, ils reçoivent un message leur notifiant une interdiction.

Dernière modification par Sagaroth (08-04-2014 14:48:18)

Hors ligne

#8 08-04-2014 14:51:32

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Bloquer les utilisateurs dans leur dossier

@sagaroth: c'est étrange comme demande.

Le shell lui-même est dans /bin/bash, ls est dans /bin/ls. Tu ne peux pas les empêcher de remonter au delà de leur /home ET leur laisser un shell. Sauf à faire un chroot jail, impliquant de placer le shell et toutes ses dépendances dans le home de chacun.

Par contre, tu peux empêcher l'accès à certains fichiers en gérant les droits UNIX de ceux-ci.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#9 08-04-2014 16:32:53

Sagaroth
Membre
Inscription : 07-04-2014

Re : Bloquer les utilisateurs dans leur dossier

Je me disais bien, merci pour la confirmation tongue
Je vais donc essayer au moins de bloquer l'accès en lecture/écriture de sorte qu'un utilisateur ne puisse pas lire ou écrire dans le dossier d'un autre utilisateur.

Dernière modification par Sagaroth (08-04-2014 16:34:59)

Hors ligne

Pied de page des forums