Re: Chroot sftp et problème de droits...
Le Tue, 17 Mar 2009 17:42:57 +0100, Yves Rutschle debian.anti-s...@rutschle.net a écrit : On Tue, Mar 17, 2009 at 03:51:43PM +0100, David BERCOT wrote: [...] Et, dans mon /var/log/auth.log, j'ai ceci : Mar 17 15:27:47 neo sshd[11285]: Accepted password for mon_user from 10.21.2.10 port 46824 ssh2 Mar 17 15:27:47 neo sshd[11285]: (pam_unix) session opened for user mon_user by (uid=0) Mar 17 15:27:47 neo sshd[11287]: fatal: bad ownership or modes for chroot directory component /mon_user/ Mar 17 15:27:47 neo sshd[11285]: (pam_unix) session closed for user mon_user Ok, et quand il est 755 root.root? Que se passe-t-il si tu crée un sous-répertoire avec les droits pour l'utilisateur, c'est à dire: /mon_user 755 root root /mon_user/sous_dir 755 neo neo Ca marche nickel (ça me parait logique ;-))), mais bon, sur le principe, je trouve bizarre de ne pas pouvoir écrire à la racine de son home... Certes, c'est un home... particulier, mais bon... (C'est purement à l'intuition, je n'ai jamais utilisé ça) Ton intuition était bonne ;-) David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Chroot sftp et problème de droits...
Bonjour, J'ai mis en place un chroot sftp via la méthode suivante : http://www.debian-administration.org/articles/590 En fait, je me suis limité à un utilisateur et pas à un groupe, mais bon, j'imagine que c'est identique. Au niveau de la connexion, tout roule. En revanche, le propriétaire du home chrooté est root (c'est obligatoire) et les droits sont en 755 (là encore, en 777 par exemple [juste pour tester ;-)], ça ne marche plus). Donc, mon user de base n'a pas le droit d'écrire ni de modifier dans son propre home... Auriez-vous une idée de ce qu'il me manque ? Merci d'avance. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Chroot sftp et problème de droits...
Le Tue, 17 Mar 2009 15:08:13 +0100, Yves Rutschle debian.anti-s...@rutschle.net a écrit : On Tue, Mar 17, 2009 at 02:45:59PM +0100, David BERCOT wrote: Au niveau de la connexion, tout roule. En revanche, le propriétaire du home chrooté est root (c'est obligatoire) et les droits sont en 755 (là encore, en 777 par exemple [juste pour tester ;-)], ça ne marche plus). Peux-tu donner plus de détails sur ce que tu as mis dans ton sshd_config, et montrer les droits des répertoires (ta configuration ne me parait pas claire). D'autre part, comment cela ne marche plus? Y-a-t-il des messages quelque part dans /var/log/auth.log? Alors, voici la partie intéressante de mon sshd_config : #Subsystem sftp /usr/lib/openssh/sftp-server Subsystem sftp internal-sftp UsePAM yes Match user mon_user ForceCommand internal-sftp ChrootDirectory /mon_user/ Sur ce répertoire, c'est root qui est propriétaire et les droits sont en 755, avec root.root. Si jamais root n'est plus le propriétaire ou si je mets du 777, j'ai l'erreur suivante la connexion : Read from remote host 10.21.2.205: Connection reset by peer Couldn't read packet: Connection reset by peer Et, dans mon /var/log/auth.log, j'ai ceci : Mar 17 15:27:47 neo sshd[11285]: Accepted password for mon_user from 10.21.2.10 port 46824 ssh2 Mar 17 15:27:47 neo sshd[11285]: (pam_unix) session opened for user mon_user by (uid=0) Mar 17 15:27:47 neo sshd[11287]: fatal: bad ownership or modes for chroot directory component /mon_user/ Mar 17 15:27:47 neo sshd[11285]: (pam_unix) session closed for user mon_user Donc, mon user de base n'a pas le droit d'écrire ni de modifier dans son propre home... C'est sftp, avec s pour sécurisé: ta configuration est très bien securisée, c'est pas ce que tu recherches? :) Elle l'est un poil trop ;-) En fait, si, lorsque l'utilisateur est connecté, je change les droits ou le propriétaire, ça marche. Mais bon, après, il ne pourra plus se reconnecter ;-) David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
