Le 19/12/2013 14:33, Pierre `Sn4kY` DOLIDON a écrit :
Le 19/12/2013 13:24, Emmanuel Thierry a écrit :
Bonjour,
Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit :
Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te
permettra déjà d'avoir 1 user / site, et de mieux cloisonner.
Je plussoie violemment pour php-fpm. Ajouter à ça une directive
open_basedir par utilisateur pour les empêcher d'aller voir plus haut
que leur $HOME
Tip N°2 : utilise MySecureShell pour faire des environnements en jail
Tip N°3 : utilise lshell pour limiter les commandes disponibles a
tes utilisateurs
Concernant le chroot du shell, même avec un OpenSSH standard, c'est
inutile de copier les dossiers, il suffit de les monter en bind mount.
C'est compliqué !
pourquoi ne pas utiliser "internal-sftp" plutôt que "sftp-server" en
"Subsystem sftp" ? pas besoin de se faire chier a monter ou a copier
les environnements dans la jail...
ça impose d'autres contraintes, mais il me semble qu'on s'écarte,
puisque le monsieur désire du SSH.
J'allais justement poser la question si c'était du SFTP ou SSH dont il y
a besoin...
Peut-être que le mieux serait de poser la question des besoins avant de
parler de la solution...
Quelles sont par ailleurs les contraintes, typiquement peux-tu installer
n'importe quelle version d'Openssh ou non ? Suivant les versions on peut
plus ou moins faire de choses...
Cdlt,
JYL
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
