Bonjour, C'est encore moi ;-) J'ai besoin d'un serveur ftp, qui me sert - entre autre - à faire mes sauvegardes. Pour ça tout va bien. Mais, parce qu'il y a toujours un mais :) J'ai également des amis qui se connectent sur ce serveur de l'extérieur et le problème c'est que je n'arrive pas à trouver avec la config de Yast2 comment envoyer et verrouiller un utilisateur dans son propre répertoire dans le /home et pas à la racine du répertoire /home où tous les utilisateurs sont visibles. Merci pour votre aide. Jeff -- To unsubscribe, e-mail: opensuse-fr+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-fr+owner@opensuse.org
Le 2013-11-22 15:45, Jeff a écrit :
Bonjour,
Bonjour Jeff, [...]
J'ai également des amis qui se connectent sur ce serveur de l'extérieur et le problème c'est que je n'arrive pas à trouver avec la config de Yast2 comment envoyer et verrouiller un utilisateur dans son propre répertoire dans le /home et pas à la racine du répertoire /home où tous les utilisateurs sont visibles.
Soit le serveur "sait" chrooter les répertoires utilisateurs comme pure-ftpd soit il faut le chrooter toi-même. Et à priori, vsftpd sait chrooter tout seul et c'est normalement la configuration par défaut. dans /etc/vsftpd.conf, tu dois avoir des infos sur le sujet, par exemple : # enable/specifiy list of local users to chroot() to their home directory. # if chroot_local_user is YES, then this list becomes a list of users to NOT chroot(). chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list Donc en mettant chroot_local_user = YES dans ce fichier et en relançant vsftpd, tu vas chrooter les répertoires des utilisateurs locaux.. cf http://activedoc.opensuse.org/book/opensuse-reference/chapter-21-setting-up-... http://fr.opensuse.org/FTP_Server_HOWTO#vsftpd et http://en.opensuse.org/SDB:FTP_server#vsftpd A plus Fred -- Well...Nobody's perfect ! : Osgood Fielding III (Joe E. Brown), Some Like It Hot, 1959. https://linuxcounter.net/cert/133016.png -- To unsubscribe, e-mail: opensuse-fr+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-fr+owner@opensuse.org
Le vendredi 22 novembre 2013 17:41:26 Frederic Gautier a écrit :
Le 2013-11-22 15:45, Jeff a écrit :
Bonjour,
Bonjour Jeff,
[...]
J'ai également des amis qui se connectent sur ce serveur de l'extérieur et le problème c'est que je n'arrive pas à trouver avec la config de Yast2 comment envoyer et verrouiller un utilisateur dans son propre répertoire dans le /home et pas à la racine du répertoire /home où tous les utilisateurs sont visibles.
Soit le serveur "sait" chrooter les répertoires utilisateurs comme pure-ftpd soit il faut le chrooter toi-même. Et à priori, vsftpd sait chrooter tout seul et c'est normalement la configuration par défaut.
dans /etc/vsftpd.conf, tu dois avoir des infos sur le sujet, par exemple :
# enable/specifiy list of local users to chroot() to their home directory. # if chroot_local_user is YES, then this list becomes a list of users to NOT chroot(). chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
Donc en mettant chroot_local_user = YES dans ce fichier et en relançant vsftpd, tu vas chrooter les répertoires des utilisateurs locaux..
Malheureusement non ! J'arrive toujours dans le répertoire /home pas dans le home/user. En plus comme avec la 13.1 tous les utilisateurs sont dans le groupe users on se ballade dans le répertoire des autres comme on veut et c'est l'inverse que je recherche : les utilisateurs ftp ne doivent pas pouvoir se ballader partout. Jeff
cf http://activedoc.opensuse.org/book/opensuse-reference/chapter-21-setting-up-> an-ftp-server-with-yast http://fr.opensuse.org/FTP_Server_HOWTO#vsftpd et http://en.opensuse.org/SDB:FTP_server#vsftpd
A plus Fred -- To unsubscribe, e-mail: opensuse-fr+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-fr+owner@opensuse.org
Le vendredi 22 novembre 2013 19:15:08 Jeff a écrit :
Le vendredi 22 novembre 2013 17:41:26 Frederic Gautier a écrit :
Le 2013-11-22 15:45, Jeff a écrit :
Bonjour,
Bonjour Jeff,
[...]
J'ai également des amis qui se connectent sur ce serveur de l'extérieur et le problème c'est que je n'arrive pas à trouver avec la config de Yast2 comment envoyer et verrouiller un utilisateur dans son propre répertoire dans le /home et pas à la racine du répertoire /home où tous les utilisateurs sont visibles.
Soit le serveur "sait" chrooter les répertoires utilisateurs comme pure-ftpd soit il faut le chrooter toi-même. Et à priori, vsftpd sait chrooter tout seul et c'est normalement la configuration par défaut.
dans /etc/vsftpd.conf, tu dois avoir des infos sur le sujet, par exemple :
# enable/specifiy list of local users to chroot() to their home directory. # if chroot_local_user is YES, then this list becomes a list of users to NOT chroot(). chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
Donc en mettant chroot_local_user = YES dans ce fichier et en relançant vsftpd, tu vas chrooter les répertoires des utilisateurs locaux..
Malheureusement non !
J'arrive toujours dans le répertoire /home pas dans le home/user. En plus comme avec la 13.1 tous les utilisateurs sont dans le groupe users on se ballade dans le répertoire des autres comme on veut et c'est l'inverse que je recherche : les utilisateurs ftp ne doivent pas pouvoir se ballader partout.
Jeff
Bon j'avance un peu après avoir modifié le fichier vsftpd.conf comme ceci : chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list Je place les users autorisés dans le vsftpd.chroot_list. Mais les utilisateurs peuvent, une fois arrivé dans leur répertoire directement cette fois-ci, toujours remonter le systeme de fichier de l'ordi. Quelqu'un a une idée ? Merci JEff -- To unsubscribe, e-mail: opensuse-fr+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-fr+owner@opensuse.org
Le 2013-11-22 19:31, Jeff a écrit :
Le vendredi 22 novembre 2013 19:15:08 Jeff a écrit : [...]
Bon j'avance un peu après avoir modifié le fichier vsftpd.conf comme ceci :
chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
Je place les users autorisés dans le vsftpd.chroot_list.
Mais les utilisateurs peuvent, une fois arrivé dans leur répertoire directement cette fois-ci, toujours remonter le systeme de fichier de l'ordi.
installe pure-ftpd ;-)
chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
Attention, tu donnes le droit aux utilisateurs du fichier /etc/vsftpd.chroot_list de se balader partout sur ton serveur. cf Allow Some Users to Roam the Server You also have the option to allow special users to login and be able to move around the server. This means that these will not be jailed. chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list Now edit the /etc/vsftpd.chroot_list file and enter the users you want to allow to roam the server in this file. Enter one user at a time in this list. cf http://beginlinux.com/blog/2009/10/ubuntu-9-10-chroot-jail-for-ftp/ Je vais installer un vsftpd pour voir sa config. Cela fait longtemps que je ne l'ai pas utilisé. Sinon, les utilisateurs via sftp (ftp par ssh) peuvent être chrootés : cf http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/ je l'ai déjà testé et ça fonctionne plutôt bien. A plus Fred -- Well...Nobody's perfect ! : Osgood Fielding III (Joe E. Brown), Some Like It Hot, 1959. https://linuxcounter.net/cert/133016.png -- To unsubscribe, e-mail: opensuse-fr+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-fr+owner@opensuse.org
Le 2013-11-22 19:31, Jeff a écrit :
Le vendredi 22 novembre 2013 19:15:08 Jeff a écrit : [...] Bon j'avance un peu après avoir modifié le fichier vsftpd.conf comme ceci :
chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
Je place les users autorisés dans le vsftpd.chroot_list.
Mais les utilisateurs peuvent, une fois arrivé dans leur répertoire directement cette fois-ci, toujours remonter le systeme de fichier de l'ordi.
Quelqu'un a une idée ?
Une bonne lecture : https://wiki.debian.org/fr/vsftpd ---------8<--------- Gestion des utilisateurs Confinement des utilisateurs Les comptes utilisateurs peuvent avoir accès aux fichiers de tout le système ce qui n'est pas toujours souhaitable et peux aider à compromettre la machine, il peuvent être confinés en modifiant vsftpd.conf : chroot_local_user=YES La racine de leur FTP sera alors leur répertoire personnel. Malgré tout, un compte peut être utilisé pour se connecter ailleurs qu'au ftp : ssh, getty (login du terminal) sont des exemples. Il aura alors quand même accès au reste du système par le shell. Vous pouvez configurer les services donnés en exemple pour bloquer le compte ou pour le confiner, mais la solution généraliste est de désactiver le shell pour l'utilisateur. Pour cela on assigne le shell de l'utilisateur vers false, un simple binaire qui renvoie un signal d'erreur : usermod -s /bin/false Il faut ensuite ajouter false à la liste des shells : /bin/false >> /etc/shells --------->8--------- A plus Fred -- Well...Nobody's perfect ! : Osgood Fielding III (Joe E. Brown), Some Like It Hot, 1959. https://linuxcounter.net/cert/133016.png -- To unsubscribe, e-mail: opensuse-fr+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-fr+owner@opensuse.org
Le vendredi 22 novembre 2013 20:56:54 Frederic Gautier a écrit :
Le 2013-11-22 19:31, Jeff a écrit :
Le vendredi 22 novembre 2013 19:15:08 Jeff a écrit : [...]
Bon j'avance un peu après avoir modifié le fichier vsftpd.conf comme ceci :
chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
Je place les users autorisés dans le vsftpd.chroot_list.
Mais les utilisateurs peuvent, une fois arrivé dans leur répertoire directement cette fois-ci, toujours remonter le systeme de fichier de l'ordi.
Quelqu'un a une idée ?
Une bonne lecture : https://wiki.debian.org/fr/vsftpd ---------8<--------- Gestion des utilisateurs
Confinement des utilisateurs Les comptes utilisateurs peuvent avoir accès aux fichiers de tout le système ce qui n'est pas toujours souhaitable et peux aider à compromettre la machine, il peuvent être confinés en modifiant vsftpd.conf :
chroot_local_user=YES La racine de leur FTP sera alors leur répertoire personnel.
Malgré tout, un compte peut être utilisé pour se connecter ailleurs qu'au ftp : ssh, getty (login du terminal) sont des exemples. Il aura alors quand même accès au reste du système par le shell. Vous pouvez configurer les services donnés en exemple pour bloquer le compte ou pour le confiner, mais la solution généraliste est de désactiver le shell pour l'utilisateur.
Pour cela on assigne le shell de l'utilisateur vers false, un simple binaire qui renvoie un signal d'erreur :
usermod -s /bin/false Il faut ensuite ajouter false à la liste des shells :
/bin/false >> /etc/shells
--------->8---------
A plus Fred
Salut Fred, J'ai bien suivi la config conseillée mais fillezilla me répond : 500 OOPS: vsftpd: refusing to run with writable root inside chroot() Que faire ? Merci -- To unsubscribe, e-mail: opensuse-fr+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-fr+owner@opensuse.org
Le vendredi 22 novembre 2013 21:45:46 Jeff a écrit :
Le vendredi 22 novembre 2013 20:56:54 Frederic Gautier a écrit :
Le 2013-11-22 19:31, Jeff a écrit :
Le vendredi 22 novembre 2013 19:15:08 Jeff a écrit : [...]
Bon j'avance un peu après avoir modifié le fichier vsftpd.conf comme ceci :
chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
Je place les users autorisés dans le vsftpd.chroot_list.
Mais les utilisateurs peuvent, une fois arrivé dans leur répertoire directement cette fois-ci, toujours remonter le systeme de fichier de l'ordi.
Quelqu'un a une idée ?
Une bonne lecture : https://wiki.debian.org/fr/vsftpd ---------8<--------- Gestion des utilisateurs
Confinement des utilisateurs Les comptes utilisateurs peuvent avoir accès aux fichiers de tout le système ce qui n'est pas toujours souhaitable et peux aider à compromettre la machine, il peuvent être confinés en modifiant vsftpd.conf :
chroot_local_user=YES La racine de leur FTP sera alors leur répertoire personnel.
Malgré tout, un compte peut être utilisé pour se connecter ailleurs qu'au ftp : ssh, getty (login du terminal) sont des exemples. Il aura alors quand même accès au reste du système par le shell. Vous pouvez configurer les services donnés en exemple pour bloquer le compte ou pour le confiner, mais la solution généraliste est de désactiver le shell pour l'utilisateur.
Pour cela on assigne le shell de l'utilisateur vers false, un simple binaire qui renvoie un signal d'erreur :
usermod -s /bin/false Il faut ensuite ajouter false à la liste des shells :
/bin/false >> /etc/shells
--------->8---------
A plus Fred
Salut Fred,
J'ai bien suivi la config conseillée mais fillezilla me répond : 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
Que faire ?
Merci
Ok j'ai trouvé il suffit d'ajouter sans vsftpd.conf la ligne allow_writeable_chroot=YES J'ai désormais ce que je souhaite : les utilisateurs se connectent avec login et MDP et ils ne peuvent pas sortir de leur répertoire. Merci à tous pour votre aide Jeff -- To unsubscribe, e-mail: opensuse-fr+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-fr+owner@opensuse.org
participants (2)
-
Frederic Gautier -
Jeff