Vous n'êtes pas identifié(e).
pour le nom_utilisateur : je dois rentrer lequel utilisateur ? le mien ? ma copine ? mon père ?
pour l'ip_ou_nom_machine : même question ...
pour le répertoire_source ; je pense avoir pigé et pense que c'est celui que je veux partager à savoir le dossier "partage" présent sur mon pc
pour l'emplacement_de_montage_local ; je pense que c'est le dossier monté sur les ordis de mon père et ma copine
Merci d'avance pour votre aide...
Hors ligne
Hors ligne
Salut yuksel,
Prenons les choses dans l'ordre.
Il faut déjà que tu rende ta machine accessible depuis l'extérieur de ton réseau pour que ton père puisse y accéder. Pour ça tu as deux solution:
- Ouvrir les ports de ta box, faire une redirection vers ta machine pour la mettre en front. Elle sera alors "accessible par tous" depuis internet. Je met bien des grosses guillemets quand je dis "accessible par tous". On y reviendra si besoin.
- Créer un VPN permettant à ton père d'accéder à ton réseau local ou inversement.
Une fois que toutes les machines concernées peuvent communiquer il ne te reste plus qu'à mettre en place un système de partage.
Pour ça tu as effectivement sshfs mais pas que. Tu peux aussi utiliser le NFS ou encore samba. Si ton partage se limite à 3 utilisateurs et que ça ne bouge pas trop souvent je pense que tu as fait le bon choix en partant une une solution avec sshfs. C'est simple à mettre en place, tu peux avoir un bon niveau de sécurisation des connexions; bref, tout ce qu'il faut.
Dans le cas où tu choisi d'utiliser sshfs il vas falloir que tu réfléchisse à la façon dont tu souhaite gérer tes accès ssh. Un utilisateur par personne? Un utilisateur pour "tous les autres"?
Pour récapituler, tu dois:
- Choisir comment ton père accédera à ton réseau local/ta machine, VPN ou ouverture de port?
- Choisir une méthode de gestion des accès. Un utilisateur par personne? Certificat? ect...
La mise en place d'un serveur sshfs n'est pas très complexe, il faut juste bien y réfléchir en amont pour ne pas avoir de mauvaise surprises
J'ai ouvert le port 22 sur ma freebox ; est ce suffisant ?
Hors ligne
Hors ligne
Et tu as fait une redirection vers ta machine (en IP fixe)?
oui c'est fait
Hors ligne
La partie cruciale est ce que tu mettera dans sshfd_config et ce que tu autorisera dans authorized_key.
Désolé d'ajouter une couche de complexité, mais la sécurité c'est toujours un peu plus compliqué que sans. (mais pas tellement plus au fond)
Dernière modification par otyugh (15-03-2017 23:40:20)
En ligne
Mauvaise idée d'ouvrir le port 22, tu devrais en choisir un autre ; le 22 sera beaucoup plus attaqué par des bots. Oublie pas que sur le net, tu es vulnérable. Utiliser un protocol comme NFS sur le net est dangereux par exemple.
Aussi si tu ne fais pas une identification par clé privée (probablement ce que tu veux pour que ça monte en "1 click", si tu ne chiffres pas ta clé), je te conseille un mot de passe très complexe...
Il est en général conseillé d'installer un petit quelque chose pour bannir les attaques bruteforce, genre fail2ban.
Vlà la ligne que j'ai dans mon fstab :LOGIN@MONSERVEUR.NET:/srv/partage /media/sshfs_partage fuse.sshfs defaults,user,noauto,_netdev,port=39369,identityfile=/home/implijer/.ssh/mykey/rpi1key 0 0
La partie cruciale est ce que tu mettera dans sshfd_config et ce que tu autorisera dans authorized_key.
Désolé d'ajouter une couche de complexité, mais la sécurité c'est toujours un peu plus compliqué que sans. (mais pas tellement plus au fond)
Je comprends que la sécurité soit importante mais étant "débutant", je ne comprends pas grand chose à ce que tu m'as écrit....
Hors ligne
Démarrer le service SSH:
A partir de là tu vas devoir configurer les accès. Tu as plusieurs solutions:
- Créer un utilisateur par personne (plus que recommandé)
- Ouvrir à tous le monde avec une connexion anonyme (pas de login requis)
- Mettre des certificats ou non
Dans un premier temps je te conseil de simplement créer un user de test pour que ta copine (par exemple) puisse vérifier que ton serveur est opérationnel.
Pour créer un user:
A partir de la normalement n'importe quelle personne, sur ton réseau local ou non doit pouvoir accéder à ta machine en SFTP (grâce à SSHFS).
Pour les connexion (par ligne de commande dans un premier temps pour vérifier que ça fonctionne bien):
Si tous se passe bien tu devrais avoir une invite sftp comme ci-dessous:
EDIT: Comme l'a fait remarqué otyugh si tu ouvre ton port 22 tu risque d'avoir quelques soucis. Pour le moment il serait bon de le fermer jusqu'à la fin de tes tests. Surtout que pour le moment tu n'a aucune protection en cas d'intrusions. Les utilisateurs SSH ont un accès total à ta machine! Il y a moyen de limiter ça avec un chroot, on peux voir ça après si tu veux
Dernière modification par moi4567 (15-03-2017 23:47:21)
Hors ligne
Très bien, maintenant que toute les requêtes arrivant sur ta box sont rediriger vers ta machine il te faut monter ton serveur SSHFS.
Pour ça il faut:
Installer SSHFS si ce n'est déjà fait:apt-get install sshfs
Démarrer le service SSH:service ssh start
A partir de là tu vas devoir configurer les accès. Tu as plusieurs solutions:
- Créer un utilisateur par personne (plus que recommandé)
- Ouvrir à tous le monde avec une connexion anonyme (pas de login requis)
- Mettre des certificats ou non
Dans un premier temps je te conseil de simplement créer un user de test pour que ta copine (par exemple) puisse vérifier que ton serveur est opérationnel.
Pour créer un user:useradd usertest
passwd usertest # entrer le mot de passe souhaité
A partir de la normalement n'importe quelle personne, sur ton réseau local ou non doit pouvoir accéder à ta machine en SFTP (grâce à SSHFS).
Pour les connexion (par ligne de commande dans un premier temps pour vérifier que ça fonctionne bien):sftp usertest@ip_de_ta_machine # entrer le mot de passe défini pour usertest
Si tous se passe bien tu devrais avoir une invite sftp comme ci-dessous:sftp>
EDIT: Comme l'a fait remarqué otyugh si tu ouvre ton port 22 tu risque d'avoir quelques soucis. Pour le moment il serait bon de le fermer jusqu'à la fin de tes tests. Surtout que pour le moment tu n'a aucune protection en cas d'intrusions. Les utilisateurs SSH ont un accès total à ta machine! Il y a moyen de limiter ça avec un chroot, on peux voir ça après si tu veux
Ce fameux usertest, je le crée sur mon pc ou sur celui de ma nana ?? question conne peut être...
Dernière modification par yuksel (16-03-2017 00:02:34)
Hors ligne
Dernière modification par moi4567 (16-03-2017 00:02:04)
Hors ligne
Je réponds yes ou no ?
J'ai répondu yes et c'est bon ça marche
Dernière modification par yuksel (16-03-2017 00:16:57)
Hors ligne
Hors ligne
Tu dois répondre "yes" dans ce cas.
Ce message apparaît lorsque la machine ne connais pas le serveur SSH distant. Il y a donc une vérification auprès de l'utilisateur pour s'assurer qu'il n'y a pas de risque (grosso modo).
Étant donné que c'est la première fois que tu te connecte au serveur c'est normal qu'il te demande ça.
En revanche, as-tu fait la commande sftp sur la machine serveur (ta machine) ou cliente (celle de ta copine) ? Car cette commande doit être faite à partir du client.
mince, je l'ai faite depuis mon ordi (donc machine serveur)...j'essaie depuis son ordi à elle : ça marche
Hors ligne
Hors ligne
Parfait, maintenant il vas falloir passer à un point très important, la sécurisation de ton système.
En l'état actuel des choses les utilisateurs qui se connectent à ton serveur ont un accès sur la totalité de ta machine ce qui peut être "fâcheux".
Pour éviter cela nous avons le chroot. Cette fonction permet de limiter les utilisateurs à une zone précise (comme leur dossier home par exemple).
Voici un tuto qui explique bien comment mettre ça en place.
Une fois fait tu pourra te connecter avec l'ordinateur de ta copine et constater que tu es "bloquer" au dossier de partage, ni plus, ni moins.
Ok, j'ai jeté un oeil au tuto et cela me semble un peu dur pour mon niveau mais je vais essayer...
Concrètement, lorsque je tape sur son ordi la commande avec sftp usertest@192.......cela me réponds que je suis connecté mais je peux faire quoi ?? car si, toujours sur son ordi, j'ouvre avec nautilus les répertoires, je n'ai pas mes dossiers qui apparaissent...ou alors je pige pas un truc...
Hors ligne
Nautilus te demandera alors un user/login, tu mettra celui précédemment créer et normalement tu aura accès depuis nautilus
Hors ligne
La commande sftp ouvre une session sftp... Concrètement tu peux passer des commandes sftp à partir du terminal mais tu n'aura accès QUE par là. Si tu veux avoir un accès depuis nautilus du dois aller dans le panneau latéral de gauche > Connexion à un serveur distant (ou quelque chose comme ça) et taper la commande suivante:
sftp://192.168.0.23/dossier/partage
Nautilus te demandera alors un user/login, tu mettra celui précédemment créer et normalement tu aura accès depuis nautilus
Ok, j'ai reussi à me connecter avec nautilus sauf que, comme tu le précisais, ma copine peut monter mon home et avoir accès à tous mes dossiers. Dans mon cas pas forcément gênant car rien à cacher mais c'est surtout si elle fait une fausse manip après et qu'elle efface par inadvertance un dossier ou autre...
donc : si je crée un dossier "partage" sur mon pc et si elle de son coté elle va dans "connexion à un serveur" et tape sftp://192.168.0.23/home/mika/partage, elle accédera au contenu de ce dossier "partage" c'est bien cela ?
Dernière modification par yuksel (27-03-2017 14:32:27)
Hors ligne
Hors ligne
Hors ligne
Si ta copine se connecte avec une chemin précis comme sftp://192.168.0.23/home/mika/partage elle accédera directement à ce dossier en ouvrant son explorateur de fichier mais elle poura toujours remonter dans l’arborescence sans restriction.
Si tu veux limiter ses accès à un dossier précis tu doit suivre ce tuto que je t'avais passé plus haut.
Tu as dis que ce n'étais pas gênant qu'elle puisse accéder à tous ton système. En soit c'est un gros problème. Si quelqu'un d'autre vient à avoir accès à ces login ou à son système à elle la personne en question pourrait faire tous et n'importe quoi sur ton système (pour schématiser). C'est d’ailleurs pour cette même raison que tu DOIS avoir plusieurs utilisateurs pour les connexions. Si jamais tu donne ton user/login c'est une faille supplémentaire non négligeable qui donnera un accès total à ta machine... Surtout que j'imagine que tu as sudo d'installer, ça revient à donner un compte root de ta machine à d'autres personnes.
Même en partant du principe que les personnes à qui tu donne tes logs sont de confiance, une erreur de manip n'est pas impossible comme tu l'as dis. De plus, si ces personnes là font des erreurs et que TES logs se retrouvent on ne sais où, c'est cuit...
Quand tu monte un réseau/système il faut prévoir ce que les utilisateurs peuvent/risque de faire et surtout ce qu'ils ne peuvent pas faire. C'est le plus important.
Une bonne méthode consiste à partir du niveau de blocage maximum et de laisser les droits indispensables petit à petit.
Salut, merci pour tes explications. je comprends très bien l'utilité voire la nécessité de verrouiller l'accés à mon pc même par des personnes de confiance.
Cependant, j'ai l'humilité de reconnaitre que le tuto que tu m'as indiqué pour le chroot est un peu trop complexe pour moi pour l'instant.
Concernant le "usertest" que tu m'as fait crée, lorsque je vais dans /home, je ne le vois pas mais je vois bien le /mika...où est ce fameux "usertest" ??
Hors ligne
[I72600k / radeonhd 6870 /asus p8p67 pro b3/syncmaster 3D Samsung 23p displayport ]
[ hp spectre x360 i5 ] / [ raspbery pi 1.2 ] / [ 2 fixes core 2duo de recup ]
" Y a t il un sous-sol dans votre appartement ? "
Hors ligne
moi4567 a écrit :Si ta copine se connecte avec une chemin précis comme sftp://192.168.0.23/home/mika/partage elle accédera directement à ce dossier en ouvrant son explorateur de fichier mais elle poura toujours remonter dans l’arborescence sans restriction.
Si tu veux limiter ses accès à un dossier précis tu doit suivre ce tuto que je t'avais passé plus haut.
Tu as dis que ce n'étais pas gênant qu'elle puisse accéder à tous ton système. En soit c'est un gros problème. Si quelqu'un d'autre vient à avoir accès à ces login ou à son système à elle la personne en question pourrait faire tous et n'importe quoi sur ton système (pour schématiser). C'est d’ailleurs pour cette même raison que tu DOIS avoir plusieurs utilisateurs pour les connexions. Si jamais tu donne ton user/login c'est une faille supplémentaire non négligeable qui donnera un accès total à ta machine... Surtout que j'imagine que tu as sudo d'installer, ça revient à donner un compte root de ta machine à d'autres personnes.
Même en partant du principe que les personnes à qui tu donne tes logs sont de confiance, une erreur de manip n'est pas impossible comme tu l'as dis. De plus, si ces personnes là font des erreurs et que TES logs se retrouvent on ne sais où, c'est cuit...
Quand tu monte un réseau/système il faut prévoir ce que les utilisateurs peuvent/risque de faire et surtout ce qu'ils ne peuvent pas faire. C'est le plus important.
Une bonne méthode consiste à partir du niveau de blocage maximum et de laisser les droits indispensables petit à petit.
Salut, merci pour tes explications. je comprends très bien l'utilité voire la nécessité de verrouiller l'accés à mon pc même par des personnes de confiance.
Cependant, j'ai l'humilité de reconnaitre que le tuto que tu m'as indiqué pour le chroot est un peu trop complexe pour moi pour l'instant.
Concernant le "usertest" que tu m'as fait crée, lorsque je vais dans /home, je ne le vois pas mais je vois bien le /mika...où est ce fameux "usertest" ??
Si tu ne te sent pas prêt pour le chroot je te conseil TRÈS fortement de ne pas mettre ton serveur en front via des redirections de ports. Fait plutôt un VPN, même si en soit faire un chroot est bien moins compliqué... Quoi qu'il en soit tu ne peux pas mettre un serveur SSH accessible librement depuis l’extérieur sans chroot, c'est un peux suicidaire.
Concernant le usertest tu as créé le user mais pas le home. C'est pour cette raison que tu ne le vois pas dans ton /home. Pour un utilisateur SFTP ce n'est pas utile de t'encombrer avec ça puisqu'il n'y accédera jamais et dans ce cadre n'en aura jamais besoin
Hors ligne
En ligne
yuksel a écrit :moi4567 a écrit :Si ta copine se connecte avec une chemin précis comme sftp://192.168.0.23/home/mika/partage elle accédera directement à ce dossier en ouvrant son explorateur de fichier mais elle poura toujours remonter dans l’arborescence sans restriction.
Si tu veux limiter ses accès à un dossier précis tu doit suivre ce tuto que je t'avais passé plus haut.
Tu as dis que ce n'étais pas gênant qu'elle puisse accéder à tous ton système. En soit c'est un gros problème. Si quelqu'un d'autre vient à avoir accès à ces login ou à son système à elle la personne en question pourrait faire tous et n'importe quoi sur ton système (pour schématiser). C'est d’ailleurs pour cette même raison que tu DOIS avoir plusieurs utilisateurs pour les connexions. Si jamais tu donne ton user/login c'est une faille supplémentaire non négligeable qui donnera un accès total à ta machine... Surtout que j'imagine que tu as sudo d'installer, ça revient à donner un compte root de ta machine à d'autres personnes.
Même en partant du principe que les personnes à qui tu donne tes logs sont de confiance, une erreur de manip n'est pas impossible comme tu l'as dis. De plus, si ces personnes là font des erreurs et que TES logs se retrouvent on ne sais où, c'est cuit...
Quand tu monte un réseau/système il faut prévoir ce que les utilisateurs peuvent/risque de faire et surtout ce qu'ils ne peuvent pas faire. C'est le plus important.
Une bonne méthode consiste à partir du niveau de blocage maximum et de laisser les droits indispensables petit à petit.
Salut, merci pour tes explications. je comprends très bien l'utilité voire la nécessité de verrouiller l'accés à mon pc même par des personnes de confiance.
Cependant, j'ai l'humilité de reconnaitre que le tuto que tu m'as indiqué pour le chroot est un peu trop complexe pour moi pour l'instant.
Concernant le "usertest" que tu m'as fait crée, lorsque je vais dans /home, je ne le vois pas mais je vois bien le /mika...où est ce fameux "usertest" ??
Si tu ne te sent pas prêt pour le chroot je te conseil TRÈS fortement de ne pas mettre ton serveur en front via des redirections de ports. Fait plutôt un VPN, même si en soit faire un chroot est bien moins compliqué... Quoi qu'il en soit tu ne peux pas mettre un serveur SSH accessible librement depuis l’extérieur sans chroot, c'est un peux suicidaire.
Concernant le usertest tu as créé le user mais pas le home. C'est pour cette raison que tu ne le vois pas dans ton /home. Pour un utilisateur SFTP ce n'est pas utile de t'encombrer avec ça puisqu'il n'y accédera jamais et dans ce cadre n'en aura jamais besoin
Salut, j'ai trouvé ce tuto : http://www.ced-info.com/administration- … rveur-sftp
Puis-je m'en inspirer pour verrouiller l'accès ?
Hors ligne
Hors ligne