Le vendredi 22 novembre 2013 21:45:46 Jeff a écrit :
Le vendredi 22 novembre 2013 20:56:54 Frederic Gautier a écrit :
Le 2013-11-22 19:31, Jeff a écrit :
Le vendredi 22 novembre 2013 19:15:08 Jeff a écrit : [...]
Bon j'avance un peu après avoir modifié le fichier vsftpd.conf comme ceci :
chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
Je place les users autorisés dans le vsftpd.chroot_list.
Mais les utilisateurs peuvent, une fois arrivé dans leur répertoire directement cette fois-ci, toujours remonter le systeme de fichier de l'ordi.
Quelqu'un a une idée ?
Une bonne lecture : https://wiki.debian.org/fr/vsftpd ---------8<--------- Gestion des utilisateurs
Confinement des utilisateurs Les comptes utilisateurs peuvent avoir accès aux fichiers de tout le système ce qui n'est pas toujours souhaitable et peux aider à compromettre la machine, il peuvent être confinés en modifiant vsftpd.conf :
chroot_local_user=YES La racine de leur FTP sera alors leur répertoire personnel.
Malgré tout, un compte peut être utilisé pour se connecter ailleurs qu'au ftp : ssh, getty (login du terminal) sont des exemples. Il aura alors quand même accès au reste du système par le shell. Vous pouvez configurer les services donnés en exemple pour bloquer le compte ou pour le confiner, mais la solution généraliste est de désactiver le shell pour l'utilisateur.
Pour cela on assigne le shell de l'utilisateur vers false, un simple binaire qui renvoie un signal d'erreur :
usermod -s /bin/false Il faut ensuite ajouter false à la liste des shells :
/bin/false >> /etc/shells
--------->8---------
A plus Fred
Salut Fred,
J'ai bien suivi la config conseillée mais fillezilla me répond : 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
Que faire ?
Merci
Ok j'ai trouvé il suffit d'ajouter sans vsftpd.conf la ligne allow_writeable_chroot=YES J'ai désormais ce que je souhaite : les utilisateurs se connectent avec login et MDP et ils ne peuvent pas sortir de leur répertoire. Merci à tous pour votre aide Jeff -- To unsubscribe, e-mail: opensuse-fr+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-fr+owner@opensuse.org