On Thu, 14 Dec 2000, hatim wrote:
> j ai plusieurs entree dans mon etc/passwd
/etc/passwd
> pour certains je veux autoriser le ftp c est tout ! (donc pas de ssh , ni
> de connexion sur la console , rien !!)
- Une fa�on de faire, si telnet a �t� supprim�, r{login|sh|exec} aussi,
et il n'y a pas de trou (genre kdm avec acc�s global, console, su), est
d'utiliser l'option DenyGroups de sshd (v�rifier le man sshd_config).
- Alternativement, si ce qui pr�c�de n'est pas possible, les configurer
avec un shell particulier (p.ex. /bin/ftponly), et ce shell doit
�tre invalide (p.ex. lien � /bin/false). A mon avis on doit combiner
cela avec le DenyGroups de sshd, sinon mal au bug-traq [1]. Regarder
aussi l'option RequireValidShell de proftpd.
> pour d autre autoriser juste le ssh , mais limite a leur $HOME , ce qui n
> est pas fait par default !!
chroot, cf option Anonymous de proftpd.
NB: c'est un sujet assez complexe ... j'ai �crit une suite de proc�dures
pour faire cela et plus, mais 1. c'�tait un projet DILOG, donc pour
l'instant ``propri�taire'' 2. pas vraiment pr�s � la release.
[1]
http://www-internal.alphanet.ch/archives/users/schaefer/advisories/sshd-restricted-users-incorrect-configuration
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
