ajouter un utilistateur SFTP pointant sur mon home

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

ajouter un utilistateur SFTP pointant sur mon home

Backtoback

Bonjour,

Je souhaite ajouter un utilisateur filezilla qui pointerait sur mon home, ou autre dossier spécifique et non à la racine.
Cet utilisateur n'aurait aucun accès rutorrent simplement il aura accès au dossier dans lequel je stocke mes torrents.
par contre je sais pas comment faire, donc si vous savez faire je suis a votre écoute

Merci beaucoup
B2B

Edit: si possible donner a cet utilisateur uniquement le droit de recuperer les fichiers et rien d'autre (pas de modif ou de suppression)
Pour vos explications vous pouvez appelé cet utilisateur papa si ca vous arrange.
Merci

Edit: pour l'instant les utilisateurs sont root et B2B (pour moi celui la)

Magicalex

essaye ça

useradd -s /bin/bash --home /home/backtoback -G backtoback papa

passwd papa

dis moi ce que ça donne pas sur que ça marche..

Backtoback

Merci MagicAlex, ca marche plutot bien, papa n'a pas les droits de suppression donc ca c'est parfait, j'ai modifié un peu pour qu'il tombe dans le dossier torrent

par contre il peut remonter l'architecture des dossiers mais ca c'est pas bien grave

pourrais tu m'expliquer en détail ce que fait chaque point de la commande pour que je comprenne stp

en tout cas merci c'est top

Magicalex

-s /bin/bash c'est pour le shell bash du useur tjrs utile je trouve
--home /home/backtoback c'est pour choisir le home (répertoire personnel)
-G backtoback c'est pour que le user face partie du groupe backtoback je te renvois au cours du site du zéro pour les groupes/user sur linux.

par contre il peut remonter l'architecture des dossiers mais ca c'est pas bien grave

il faut que tu chroot le user dans son home mais là c'est délicat il faut que je regarde ta config de près

Backtoback

Merci beaucoup

oui j'avance un peu le site du Zero j'en suis justement a ce chapitre mais je suis débordé ses derniers jours

Pour la chroot pas grave, c'est mon père donc il se balladera pas, c'était surtout les droits de suppression que je voulais pas lui donner pour pas qu'il fasse de bétise par erreur.
D'ailleurs je vois pas ou tu lui limites les droits, c'est dans le bash?

Magicalex

Il fait partie du groupe backtoback donc il peut pas supprimer

Backtoback

tu es sur de toi car l'utilisateur backtoback peut supprimer lui en tout cas

nicobubulle

Les droits sont gérer par le chmod :

Correspondances de représentation des droits
Droit Valeur alphanumérique Valeur octale
aucun droit --- 0
exécution seulement --x 1
écriture seulement -w- 2
ecriture et exécution -wx 3
lecture seulement r-- 4
lecture et exécution r-x 5
lecture et écriture rw- 6
tous les droits (lecture, écriture et exécution) rwx 7

Par défaut : 755 soit 7 pour l'utilisateur, 5 pour le groupe et 5 pour le public.

Donc les users dans le même groupe que toi n'as pas la permission d'écrire/modifier donc supprimer.

Pour le chroot dans le home, on ne peux pas passer comme expliquer dans le tuto puique le dossier en question doit être à l'utilisateur root. Il doit y avoir un moyen mais pas vraiment cherché pour l'instant...

++ Nico

Backtoback

Merci Nico

Mais le chroot je suis pas sur que ce soit utile vu l'utilisation que je souhaite en faire.

Merci pour l'explication sur la suppression

goodvibs

Interessant tout ça :cheer:
Je suis aussi interessé mais pour un dossier autre que home (pour eviter le probleme cité par nicobulle.
J'ai trouvé ça :

On va créer un groupe des utilisateurs SFTP seulement, nommé « sftpusers ».
Je crée un utilisateur pour mon client, nommé user1, en changeant son home :

user1:x:1011:1012:Transfert client1,,,:/transferts_partenaires/user1/:bin/bash

Notez que le groupe 1012 est le groupe « sftpusers » :

$ id xfer1
uid=1011(xfer1) gid=1012(sftpusers) groupes=1012(sftpusers)

On crée l’arborescence qui va servir de home bidon à tout ces utilisateurs :

$ mkdir --parents /transferts_partenaires/user1/
$ chown -R root:sftpusers /transferts_partenaires/
$ chmod -R 750 /transferts_partenaires/

Les permissions ci-dessus sont hyper importantes. Le serveur SFTP refusera la connexion si le home de ces utilisateurs n’est pas en écriture uniquement pour le root ! Donc oui, en l’état, notre utilisateur user1:sftpusers ne peut pas écrire dans son home. Il pourra lire, ce qui peut être suffisant si vous lui mettez simplement des fichiers à disposition. Mais pour écrire, il faudra créer un sous-répertoire, genre « upload ».

mkdir /transferts_partenaires/user1/upload/
chown user1:sftpusers /transferts_partenaires/user1/upload/
chmod 700 /transferts_partenaires/xfer1/upload/

Déclaration du compte en SFTP uniquement

Enfin, on paramètre le serveur SSH comme suit. Modifiez votre fichier /etc/ssh/sshd_config :

# param par défaut, on change : Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem     sftp   internal-sftp -f AUTH -l VERBOSE

# plus loin...
Match Group sftpusers
        ChrootDirectory /transferts_partenaires/%u
        ForceCommand internal-sftp
        AllowTcpForwarding no
        GatewayPorts no
        X11Forwarding no

voiliiiii

Magicalex

nicobubulle wrote:Les droits sont gérer par le chmod :

Correspondances de représentation des droits
Droit Valeur alphanumérique Valeur octale
aucun droit --- 0
exécution seulement --x 1
écriture seulement -w- 2
ecriture et exécution -wx 3
lecture seulement r-- 4
lecture et exécution r-x 5
lecture et écriture rw- 6
tous les droits (lecture, écriture et exécution) rwx 7

Par défaut : 755 soit 7 pour l'utilisateur, 5 pour le groupe et 5 pour le public.

Donc les users dans le même groupe que toi n'as pas la permission d'écrire/modifier donc supprimer.

Pour le chroot dans le home, on ne peux pas passer comme expliquer dans le tuto puique le dossier en question doit être à l'utilisateur root. Il doit y avoir un moyen mais pas vraiment cherché pour l'instant...

++ Nico

En parlant de chmod je suis tombé sur un site génial! Avec ça plus moyen de pas comprendre comment on attribut les droits

liens du site: http://fr.selfhtml.org/petitsassistants/chmod.htm

imperial

Je relance un peu le topic, car je viens de créer un utilisateur " public " pour que des potes puisse accéder au fichier " torrents " de mon home.
J'ai suivi la manip du début, cela fonctionne tres bien mais comme b2b, je souhaiterai que l'user " public " soit chrooter dans mon home/moi/torrents.
Quelle serai la manip ?

Backtoback

Il y avait un tuto pour ca mais il est pas sur le nouveau site

Wagner

imperial une des manip possible est d'utiliser le SSH. Par ce dernier, il est possible de créer un accès (uniquement) SFTP pour un user (voir un group). Pour faire ça, il faut modifier le fichier sshd_config dans le dossier /etc/ssh/.

A l'intérieur de ce fichier (vers la fin), vous devriez avoir cette ligne :

Subsystem sftp /usr/lib/openssh/sftp-server

Vous devez la commenter (le #)comme dans cette exemple :

#Subsystem sftp /usr/lib/openssh/sftp-server

Ensuite, vous devez rajouter ceci (à la fin du fichier) :

Subsystem sftp internal-sftp
Match user public
	ChrootDirectory /home/%u
	X11Forwarding no
	AllowTcpForwarding no
	ForceCommand internal-sftp

Puis, vous sauvegardez le fichier. Suite à ça, vous devez redémarrer le SSH pour que la modification soit prise en compte.

service ssh restart

Ensuite, pour vérifier que cela marche, vous n'avez qu'à essayer de vous connectez en SFTP avec l'user.

Par contre, comme je ne sais pas comment vous avez créer votre user public, il se peut que cela ne marche pas. Donc, je présume que vous devrez adapter le chemin pour le ChrootDirectory.

imperial

Merci, mais cela ne marche toujours pas, des que je rajoute ces lignes dans la config ssh plus possible de se connecter.
J'ai créer mon utilisateur comme ceci :

useradd -s /bin/bash --home /home/imperial/torrents -G imperial public

passwd public

Wagner

De rien, cela est normal car l'accès SSH n'est plus permit avec cette config pour cet user (public).

Ok, merci. J'ai testé de mon côté et mes soupçons se confirment. Il faut bien modifier la valeur (le chemin) du ChrootDirectory. Voici un exemple :

ChrootDirectory /home/

Avec ce dernier, je suis en mesure de me connecté en SFTP avec mon nouveau user. De plus, il est bien chrooter car je ne peux pas remonter plus haut que le /home.
En revanche, si je met un chemin plus complet (/home/user), la connexion échoue. Je présume que c'est une question de droit ou un truc en rapport...ou alors une erreur dans ChrootDirectory...sinon il faut que je regarde du côté du group.

NeoLiquid

@Imperial

voici le lien du tuto de Nicobubulle

http://mondedie.fr/liste-des-tutos/8-tutos/9-ajouter-un-acces-public

y a quel que petit problème de php ^^' mais y a comme même le tuto

nicobubulle

Plop, alors le soucis que l'on a pour chrooter l'utilisateur public dans un dossier spécifique, c'est que ce dossier doit appartenir à root ce qui peut poser des problèmes de permissions avec l'utilisateur principal...

Je sais qu'il y a un moyen plus facile de chrooter le shell de l'utilisateur mais je n'arrive plus à retrouver la page

C'est un truc genre chroot jail shell.

Je vous tiens au courant de mes recherches.

++ Nico

imperial

Merci pour votre aide.
J'ai donc réussi a chrooter public dans mon home/, mais pas dans un dossier spécifique, je patienterai donc un peu, jusqu’à ce que quelqu’un d’expérimenter trouve la soluce.
Merci pour ce que vous faites encore une fois