Re: [FRsAG] : ssh utilisateur virtuel chrooté

Thu, 19 Dec 2013 05:31:35 -0800 

Le 19/12/2013 14:07, JC PAROLA a écrit :

Bonjour,
Merci pour ces éléments, effectivement le besoin client a changé, le client transforme son serveur dédié mono-site en multi-site.( merci Christophe :-) )
Pour le multi-site j'ai l'habitude d'utiliser suPHP en mode paranoïd, j'avais essayé fpm à ses débuts sans grand succès. 

User système mis à part (c.a.d sécurisation des hébergements web),

concernant MySecureShell...c'est pour sftp et pas du shell en console

oui et non. avec une directive de ce type : Shell /usr/bin/lshell
tu indique d'utiliser le shell lshell qui lui est un shell SSH.
Pour lshell effectivement, le shell choisit semble bon (dépendance python quand même).
Dans mon cas, pam_mysql (pour avoir des users par hébergement) et lshell semble suffisant .... 

ou alors j'install suphp.



Le 19/12/2013 13:24, Emmanuel Thierry a écrit :

Bonjour,

Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit :
Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te permettra déjà d'avoir 1 user / site, et de mieux cloisonner.
Je plussoie violemment pour php-fpm. Ajouter à ça une directive open_basedir par utilisateur pour les empêcher d'aller voir plus haut que leur $HOME 


Tip N°2 : utilise MySecureShell pour faire des environnements en jail
Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes utilisateurs
Concernant le chroot du shell, même avec un OpenSSH standard, c'est inutile de copier les dossiers, il suffit de les monter en bind mount. 

Cordialement
Emmanuel Thierry
Question : pourquoi filer un accès SSH à des users sur un environnement mut ? effectivement le cahier des charges est a redéfinir... 

Le 19/12/2013 12:06, Christophe Casalegno a écrit :

Le jeudi 19 décembre 2013 11:36:00 JC PAROLA a écrit :

Bonjour,
Je suis confronté au cahier des charges suivant pour lequel j'ai du mal 
a répondre et pourtout tous les monde à du y être confronté
Bonjour JC : En ce qui me concerne : obligation de conseil : remettre en cause le cahier des charges du client et requalifier le besoin des comptes 
shell, situation & co :)

amicalement,


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

Répondre à