Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
doc:reseau:ssh:tp-sftp-via-openssh-server [09/07/2014 12:58] captnfab [SFTP Accès utilisateur via openssh-server] |
doc:reseau:ssh:tp-sftp-via-openssh-server [12/01/2016 17:31] milou [Configuration] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== SFTP Accès utilisateur via openssh-server ====== | + | ====== SFTP : Accès utilisateur via openssh-server ====== |
* Objet : Créer un accès SFTP-only via OpenSsh en accès à distance | * Objet : Créer un accès SFTP-only via OpenSsh en accès à distance | ||
Ligne 5: | Ligne 5: | ||
* Commentaires : //Réalisé sur Debian Wheezy 7.5 ( kimsufi OVH )// | * Commentaires : //Réalisé sur Debian Wheezy 7.5 ( kimsufi OVH )// | ||
* Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
- | * Suivi : {{tag>à-placer}} | + | * Suivi : |
- | * Création par [[user>Galliezb]] 08/07/2014 | + | * Création par [[user>Galliezb]] le 08/07/2014 |
- | * Testé par [[user>Galliezb]] (07/07/2014) | + | * Testé par [[user>Galliezb]] le 08/07/2014 |
* Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?id=9376 | ici]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?id=9376 | ici]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
Ligne 17: | Ligne 17: | ||
===== Installation ===== | ===== Installation ===== | ||
- | Il vous faudra le [[:doc:reseau:ssh:server|serveur ssh]] ''openssh-server'' d'installé sur le serveur. | + | Il vous faudra le [[:doc:reseau:ssh:serveur|serveur ssh]] ''openssh-server'' d'installé sur le serveur. |
<note>Je peux vérifier qu'OpenSsh est installé via la commande [[:doc:systeme:apt:apt-cache |apt-cache policy openssh]]</note> | <note>Je peux vérifier qu'OpenSsh est installé via la commande [[:doc:systeme:apt:apt-cache |apt-cache policy openssh]]</note> | ||
Ligne 23: | Ligne 23: | ||
Installation d'OpenSsh-server | Installation d'OpenSsh-server | ||
<code root> | <code root> | ||
- | apt-get install openssh-server | + | apt-get update && apt-get install openssh-server |
</code> | </code> | ||
Ligne 48: | Ligne 48: | ||
n'est pas présent, utilisez [[doc:systeme:mkdir | mkdir]] pour le créer (//dans mon cas, c'est fait automatiquement//) | n'est pas présent, utilisez [[doc:systeme:mkdir | mkdir]] pour le créer (//dans mon cas, c'est fait automatiquement//) | ||
- | === Configuration d'OpenSSH | + | === Configuration d'OpenSSH === |
Modifions la configuration d'openssh pour permettre à cet utilisateur de se connecter. | Modifions la configuration d'openssh pour permettre à cet utilisateur de se connecter. | ||
Ligne 58: | Ligne 58: | ||
Voici les lignes à modifier : | Voici les lignes à modifier : | ||
- | <code bash> | + | <file config Extrait de sshd_config> |
port 22 | port 22 | ||
PermitRootLogin no | PermitRootLogin no | ||
Ligne 69: | Ligne 69: | ||
ForceCommand internal-sftp | ForceCommand internal-sftp | ||
AllowTCPForwarding no | AllowTCPForwarding no | ||
- | </code> | + | </file> |
<note important> | <note important> | ||
Ligne 77: | Ligne 78: | ||
Explications : | Explications : | ||
* **''Port 22''** : la valeur d'écoute du service ssh, pensez à changer de port, c'est mieux pour la sécurité. | * **''Port 22''** : la valeur d'écoute du service ssh, pensez à changer de port, c'est mieux pour la sécurité. | ||
+ | |||
* **''PermitRootLogin no''** : on ne se connecte pas en root sur le serveur. On passe par un utilisateur qui lui passera en root. Toujours mieux pour la sécurité. | * **''PermitRootLogin no''** : on ne se connecte pas en root sur le serveur. On passe par un utilisateur qui lui passera en root. Toujours mieux pour la sécurité. | ||
+ | |||
* **''AllowUsers debora95dftp vos-éventuels-autres-utilisateurs''** : ici on autorise uniquement debora (et nos éventuels autres utilisateurs) à se connecter via ssh | * **''AllowUsers debora95dftp vos-éventuels-autres-utilisateurs''** : ici on autorise uniquement debora (et nos éventuels autres utilisateurs) à se connecter via ssh | ||
+ | |||
* **''Match user debora95dftp''** : tout ce qui va suivre ne concerne que debora95dftp | * **''Match user debora95dftp''** : tout ce qui va suivre ne concerne que debora95dftp | ||
+ | |||
* **''ChrootDirectory /home/debora95dftp/''**: debora sera cloisonnée dans son répertoire et ne pourra pas remonter aux répertoires parents. | * **''ChrootDirectory /home/debora95dftp/''**: debora sera cloisonnée dans son répertoire et ne pourra pas remonter aux répertoires parents. | ||
+ | |||
* **''ForceCommand internal-sftp''**: ([[http://www.openssh.com/cgi-bin/man.cgi?query=sshd_config |doc infos]] ) | * **''ForceCommand internal-sftp''**: ([[http://www.openssh.com/cgi-bin/man.cgi?query=sshd_config |doc infos]] ) | ||
+ | |||
* **''AllowTCPForwarding no''** : voir lien ci-dessus | * **''AllowTCPForwarding no''** : voir lien ci-dessus | ||
Ligne 109: | Ligne 116: | ||
<code root> | <code root> | ||
- | mkdir /home/debora95dftp/writeable/ | + | mkdir /home/debora95dftp/writeable/</code> |
- | chown debora95dftp:debora95dftp /home/debora95dftp/writeable/ | + | <code root>chown debora95dftp:debora95dftp /home/debora95dftp/writeable/</code> |
- | chmod -R 755 /home/debora95dftp/writeable/ | + | <code root>chmod -R 755 /home/debora95dftp/writeable/ |
</code> | </code> | ||
Ligne 134: | Ligne 141: | ||
* Vérifier qu'[[:doc:reseau:iptables |iptables]] ne bloque pas le port que vous souhaitez utiliser | * Vérifier qu'[[:doc:reseau:iptables |iptables]] ne bloque pas le port que vous souhaitez utiliser | ||
+ | |||
* Vérifier que votre utilisateur est bien dans ''AllowUsers'' (dans ''/etc/ssh/sshd_config'') | * Vérifier que votre utilisateur est bien dans ''AllowUsers'' (dans ''/etc/ssh/sshd_config'') | ||
+ | |||
* Vérifier que le répertoire de l'utilisateur est bien en ''root'' | * Vérifier que le répertoire de l'utilisateur est bien en ''root'' | ||
<code user>ls -l /home/</code> | <code user>ls -l /home/</code> |