Discussion Pour le tuto Sécurisation & Logs V3 : https://mondedie.fr/d/5318-Tuto-Securisation-Logs-V-3-nginx

Un GRAND merci ex_rat Version 2.0 du tuto presque parfaite. J'aurai une question sur la sécurisation SSH, lorsque que on a bloqué le login root et autorise un user perso créé, Il y a un moyen de pouvoir avoir les droits root sur filezilla en sftp avec l'user perso ?

Non. Pour avoir les droits root c'est soit utiliser sudo (pas possible avec filezilla) soit changer l'uid = 0 ce qui revient à renommer le user root en autre chose.

Merci beaucoup pour ce tuto très clair ! Je débute avec mon dédié Kimsufi et j'ai pu tout paramétrer sans problème, beau boulot.

Merci Par contre y'a un os, pas trop embêtant parce que ça risque pas grand chose mais quand même... Je m'étais jamais trop penché sur fail2ban mais la config' pour lighttpd qu'on retrouve sur tout les tuto qui trainent marche pas vraiment. Les 3 fichiers de conf "apache-truc" qu'on utilise en /etc/fail2ban/filter.d/ ne voient rien passer. C'est pour ça qu'on ramasse des bots "myphpadmin" en rafale entre autre. Pareil pour les tentatives d'identification à la porte de rutorrent, ça ban quedale Je teste quelques trucs... Pour l'identification j'ai ça déjà qui marche pas mal même si ça ne ban que si le guignol utilise un pseudo existant sur la box (pas trouvé pour un "toto" mais c'est moins gênant) On édite : nano /etc/fail2ban/filter.d/apache-auth.conf On efface tout et on colle à la place : # Fail2Ban configuration file # for lighttpd htdigest [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. # Values: TEXT failregex = .*http_auth.*wrong password.*IP: <HOST>\s*$ .*http_auth.*password doesn\'t match.*IP: <HOST>\s*$ # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT ignoreregex = Et on relance fail2ban : /etc/init.d/fail2ban restart J'ai testé c'est ok, je viens de bannir ma mère au bout de 3 tentatives. "Mais t'es sur que je vais pas avoir d'ennuis ?!?" 🙂) J'ai un truc aussi pour les bots phpmyadmin mais j'attends d'avoir plus de retour sur mon test, je manque de pénibles sur le serveur pour l'instant. Votre avis sur la question m’intéresse grandement et si vous pouvez confirmer... Et pas facile "regex" au passage. Ex.

Oui c'est ça, j'ai une regex en stock pour nginx pour ceux qui voudrons passer à nginx quand j'aurais fait le tuto.

Ok je ferais la mise à jour un peu plus tard avec des règles propres. On suit des trucs sans les comprendre et on fait pornawak, c'est malheureux Edit: J'ai corrigé la partie Fail2Ban / Lighttpd avec ajout d'un filtre anti-script, ça marche pas mal du tout Ajout dans la règle anti script de fail2ban d'une ligne anti wootwoot qui marche pas mal du tout.

Bonjour et merci a ex_rat pour ce tuto. Tous c'est parfaitement dérouler, par contre je n'ai pas encore osé toucher la partie sécurité ssh.Du coup j'ai aussi sauté l’étape portsentry. De toute façon je me suis aperçu que dans les mails reçus par fail2ban la plupart des tentatives ont été effectuées sur des ports autre que le 22. J'ai juste 2, 3 questions: - Sur la partie "postfix" pour rediriger les mails vers root a quoi sert pour appliquer les changements `newaliases` Moi j'ai fait `/etc/aliases` modifier en `/etc/newaliases`.Au début j'avais créé un newaliases dans aliases mais cela ne me retourner aucun mail. - Dans la partie "logwatch", on edit le fichier `/usr/share/logwatch/default.conf/logfiles/lighttpd.conf` et on modifie les valeurs. J'ai supprimé la totalité des lignes et j'ai copié les lignes du tuto `LogFile = lighttpd/*access_log......ect` - Et pour finir sur la partie fail2ban mais je crois que du coup c'est bon puisque je reçois les logs par mail sur la création des deux filtres pour Lighttpd.Dans les fichiers, on remplace *HOST* par rien ? Merci.

Salut - Pour ta question sur logwatch, il y a juste l'adresse mail à modifier, le reste des commandes se tape tel quel sans rien changer: nano /etc/aliases Et rajouter à la fin : root: ton_mail@mail.com Tu enregistres la modif' : (ctrl X... Y...) Et après seulement, quand t'es "revenu" sur ta console tu tapes pour valider les changements : newaliases - Pour ta question sur HOST, on laisse comme ça dans les règles sans rien modifier. Par contre, ne fait pas l'impasse sur la sécu SSH, c'est le plus important avec fail2ban, et penses après a modifier le port surveillé par fail2ban pour qu'il fasse son boulot Bon courage Ex.

Salut , je doit bien avoir tous fait car je reçois parfaitement tous les mails. C'est aussi ok pour la partie SSH. Par contre comment supprimer quelques lignes dans le logserver ? Tu compte faire une partie pour AWStats ? ça permet bien de vérifier toutes les adresses ip banni sur le serveur? sudo nano checklist_ban Merci.

Pour AWStats il y avait ça dans l'ancien post sécurité qui est un peu plus bas sur la première page. Mais d'après les commentaires il y avait des soucis donc j'ai pas remis au propre, si quelqu’un a un tuto 100% fonctionnel, qu'il hésite pas Logserver, y'a une rotation du log sur 7 jours, c'est vrai qu'en fin de semaine le fichier est un peu lourd mais c'est pas trop gênant, j'ai pas soluce pour faire plus light mais si quelqu’un a ça et veut faire évoluer le truc avec un script ou autre idée, il est le bienvenue.... Fail2ban utilise Iptables, d'après la faq pour voir les ban en cours: `iptables -L` Pour un log plus parlant voir ici en bas de page: FAQ Fail2ban , faut ajouter des trucs dans les actions de jail.local Après y'a toujours moyen de voir les dernières entrées et suivre ça en live dans fail2ban.log quand y'a rien à la tv : tail -f -n 50 /var/log/fail2ban.log | ccze (toujours avec des jolies couleurs, parce que j'aime bien ! ) Ex.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd} : Page 15

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd}

ex_rat

Salut
Je connais pas trop rkhunter, je ne suis pas à l'origine de ce bout du tuto et le gars ne vient plus trop,
mais si j'en crois ça: https://www.debian-fr.org/infection-t45447.html#p456159 pas d’inquiétude, c'est juste un faux positif.
Ex.

shiraz91

ex_rat wrote:Salut
Je connais pas trop rkhunter, je ne suis pas à l'origine de ce bout du tuto et le gars ne vient plus trop,
mais si j'en crois ça: https://www.debian-fr.org/infection-t45447.html#p456159 pas d’inquiétude, c'est juste un faux positif.
Ex.

Merci ex-rat

AlkaSeltZer

Hello,

Premier message pour moi ici, et ce sera un bon gros merci. (:
Je me suis inspiré de pas mal de petites choses ici et là pour sécuriser mon vps. @ex_rat , le petit script bash pour bannir des ip à la main, au petits oignons, merci beaucoup.

Histoire de, parcqu'on ban, on ban, oui, mais histoire de savoir déban, en cas de boulette ( comme ça vient de m'arriver

), un petit truc pratique que je n'ai pas vu ici ( j'ai peut-être mal cherché ) :

Si on a la chance d'avoir un accès à une console ( sur le manager du provider par exemple ):

(en root of course)

iptables -L --line-numbers

Ce qui vous donne un truc comme ça :

Chain fail2ban-ssh (1 references)
num  target     prot opt source               destination
1    DROP       all  --  pol-static-31-222-16-81.direct.net.in  anywhere
2    DROP       all  --  unknown-host.yaltanet.com.ua  anywhere
3    RETURN     all  --  anywhere             anywhere

On voit les deux ip bannies, on relève leurs numéros, puis :

iptables -D fail2ban-ssh 1

iptables -D fail2ban-ssh 2

Où fail2ban-ssh est le nom de chain, et 1 et 2 les num.

Et les deux ip sont unban. (:
Et on a un peu appris à lire iptables !

La prochaine fois, personnellement, je n'oublierai pas de mettre mon ip locale du moment dans l'ignore list de jail.local !

++

( et merci encore à tous, nicobubulle le premier, mon premier serv à seed/leech, c'est grâce à toi lol )

ex_rat

Salut
C'est une bonne chose de savoir le faire à la main et ton explication est bienvenue.

Autant le p'tit script pour ban marche bien, autant le unban à des limites...
En fait il ne marche qu'avec les ip bannie par l'autre script, c'était un de mes premiers test en bash il était pas terrible !

Ex.

AlkaSeltZer

Ah dac, j'avais pas testé dans le cas d'une ip bannie par fail2ban. ^^
Ca reste pratique quand même ! ( et ça m'donne envie d'apprendre bash ... depuis le temps je vais finir par m'y mettre )
J'edit mon précédent message histoire de ne pas induire en erreur. (:

++

ex_rat

Les scripts bash, c'est un super moyen de se faire des nœuds au cerveau, je recommande vivement de se lancer!
C'est une source de joie sans fin

Ex.

AlkaSeltZer

^^ Qui sait, peut-être que ça en défait aussi, des noeuds. (:

Hello,

Petite question :

Dans ma conf portsentry, j'ai ajouté :

KILL_RUN_CMD="echo 'Scan de ports par $TARGET$' | mail -s 'scan de ports,  $TARGET$ ban' mail@tld.fu"

Mais franchement, avec ~ 5 à 15 ban/jour, ça fait trop d'e-mails pour pas grand chose. Une idée pour qu'on reçoive par exemple un mail/jour avec une récap, si possible ?
Si non, je virerai cette commande comme d'après le conseil avisé de BXT. x)

edit : ex_rat > Pourquoi t'ignore les ip google dans ton tuto ?

++

ex_rat

Pour les mails, je ne sais pas mais comme pour fail2ban, on finit toujours par les désactiver à force donc je vote comme BXT...
Et pour Google, c'est juste un exemple pour parler de plage d'ip et aussi pour éviter de kicker les bots si t'as un site qui tourne à coté de la box.
Ex.

AlkaSeltZer

Hello,

Ok @ex_rat, je vais désactiver les mails en attendant de trouver un truc. ^^
( et pour google, ok ok (: )

@Ti-Gars > Si tu fais :

route -n

Ca te donne quoi ?
Parceque si tu as suivi ce tuto : http://mondedie.fr/d/5318 ; les ban se font dans route, et dans hosts.deny. Et non dans les rules iptables.
Si tu as uncomment deux lignes KILL_ROUTE ( une pour /sbin/route et une pour /sbin/iptables par exemple ), ça peut provoquer un conflit, ou juste rendre les deux commandes inopérantes.

edit : ah non, les ban par iptables sont fait par KILL_RUN_CMD dans le tuto, my bad .. .

Au passage, deux questions x) :

- quelle utilité de ban dans iptables et dans route ?
- KILL_RUN_CMD="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I IN ; que fait la partie en gras, please ?

ex_rat

Alors je crois bien que tu viens de découvrir un joli loupé de copié/collé

- KILL_RUN_CMD="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I IN ; que fait la partie en gras, please ?

Vu que j'entrave pas grans chose à iptables, j'ai été voir un peu et chez debian-fr.org (qui sont pas les gars les plus marrant du monde ! )...

Attention, dans le fichiers de configuration par défaut, l'option --log-level est fixée à DEBUG (majuscule), option qui ne fonctionne pas avec rsyslog. Ecrivez donc 'debug' en minuscules.
###################
# External Command#
###################
...
KILL_RUN_CMD="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I INPUT -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debub --log-prefix 'Portsentry: dropping: '"

http://www.isalo.org/wiki.debian-fr/Portsentry
Pour mieux piger le truc, il y a une version commenté de ce tuto ici qui est pas mal du tout !
http://www.blog.stephanegaubert.fr/index.php?article83/portsentry

Bref, il va falloir que je mette un peu au propre chez moi. edit: c'est fait mais je vais reprendre cette partie dès que j'ai 5 minutes avec explications !

Ex.

shellux

Pour Portsentry, suite a l'article du blog http://www.blog.stephanegaubert.fr/index.php?article83/portsentry je viens de mettre a jour le script unban pour qu''il puisse unban une IP attraper avec fail2ban et Portsentry:

#!/bin/sh
#
echo -n "Entrer l'adresse IP à débloquer : "
read IP
dig -x $IP +short
echo -n -e "Autoriser l'adresse IP\033[1;33m $IP \033[00m? y/n: "
read ouinon
if [ "$ouinon" = "y" ] || [ "$ouinon" = "Y" ]; then
echo Unban de Fail2ban
iptables -D fail2ban-ssh -s $IP -j DROP &
sed -i /$IP/d /etc/fail2ban/ip.blacklist
echo Unban de Portsentry
sed -i /$IP/d /etc/hosts.deny
route del -host $IP reject
iptables -D INPUT -s $IP -j DROP
iptables -D INPUT -s $IP -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debug --log-prefix 'Portsentry: dropping: '
fi
if [ "$ouinon" = "n" ] || [ "$ouinon" = "N" ]; then
        exit 0;
fi
echo "L'adresse IP $IP a été débloquée"
exit 0;

Cela permet de deban une IP attraper par Portsentry sans reboot

Edit:

Pour ceux qui veulent installer Monit avec ce tuto, ne pas commenter la ligne

smtp inet n - - - - smtpd

dans /etc/postfix/master.cf

Sinon monit de communiqueras pas avec Postfix et donc pas de check de postfix, ni de mail d'alert en cas de problème.

AlkaSeltZer

Hello,

@ex_rat > Ok ok, je me demandais vraiment ce que voulais dire ce -i IN. 😛 Mais oui je pense qu'il est bon à virer.
J'étais allé sur ce thread aussi, et le forum associé, et c'est vrai qu'ils sont pas là pour déconner les mecs. :> Par contre c'sont des mines d'infos. (:

Personnellement, dans ma config portsentry, j'ai préféré ( comme conseillé en commentaire dans portsentry.conf ) le drop iptables au reject route. Et puis je kiffe pas trop les doublons. :>
Par contre, vu que je suis loin de tout piger, si quelqu'un m'explique que d'ajouter des entrées ( de drop ) et dans route, et dans iptables, a un avantage, je reverrai ma copie of course.

Du coup, j'ai ça en gros :
KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
KILL_RUN_CMD= envoie d'un mail/drop ... pour le moment, me gavent ces mails à répet' ^^

++

ex_rat

shellux wrote:Pour Portsentry, suite a l'article du blog http://www.blog.stephanegaubert.fr/index.php?article83/portsentry je viens de mettre a jour le script unban pour qu''il puisse unban une IP attraper avec fail2ban et Portsentry:

#!/bin/sh
#
echo -n "Entrer l'adresse IP à débloquer : "
read IP
dig -x $IP +short
echo -n -e "Autoriser l'adresse IP\033[1;33m $IP \033[00m? y/n: "
read ouinon
if [ "$ouinon" = "y" ] || [ "$ouinon" = "Y" ]; then
echo Unban de Fail2ban
iptables -D fail2ban-ssh -s $IP -j DROP &
sed -i /$IP/d /etc/fail2ban/ip.blacklist
echo Unban de Portsentry
sed -i /$IP/d /etc/hosts.deny
route del -host $IP reject
iptables -D INPUT -s $IP -j DROP
iptables -D INPUT -s $IP -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debug --log-prefix 'Portsentry: dropping: '
fi
if [ "$ouinon" = "n" ] || [ "$ouinon" = "N" ]; then
        exit 0;
fi
echo "L'adresse IP $IP a été débloquée"
exit 0;

Cela permet de deban une IP attraper par Portsentry sans reboot

Salut
Merci, je garde sous le coude, on va en faire quelque chose de ça ! 🙂
Ex.

edit: Bon j'ai modifié un peu pour unban un peu plus large, là il cherche sur les règles les plus courante avec le réglage "script auto" et tuto V3 de fail2ban. Peut être pas mal pour débloquer un colloc aux gros doigts, en masquant les messages d'erreurs successif pour pas faire peur

#!/bin/bash
#
echo -n "Entrer l'adresse IP à débloquer : "
read IP
dig -x $IP +short
echo -n -e "Autoriser l'adresse IP\033[1;33m $IP \033[00m? y/n: "
read ouinon
if [ "$ouinon" = "y" ] || [ "$ouinon" = "Y" ]; then

echo Unban de Fail2ban
iptables -D fail2ban-ssh -s $IP -j DROP > /dev/null 2>&1
iptables -D fail2ban-nginx-auth -s $IP -j DROP > /dev/null 2>&1
iptables -D fail2ban-nginx-badbots -s $IP -j DROP > /dev/null 2>&1
iptables -D fail2ban-vsftpd -s $IP -j DROP > /dev/null 2>&1
sed -i /$IP/d /etc/fail2ban/ip.blacklist > /dev/null 2>&1

echo Unban de Portsentry
sed -i /$IP/d /etc/hosts.deny > /dev/null 2>&1
route del -host $IP reject > /dev/null 2>&1
iptables -D INPUT -s $IP -j DROP > /dev/null 2>&1
iptables -D INPUT -s $IP -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debug --log-prefix 'Portsentry: dropping: ' > /dev/null 2>&1
fi
if [ "$ouinon" = "n" ] || [ "$ouinon" = "N" ]; then
        exit 0;
fi
echo "L'adresse IP $IP a été débloquée"
exit 0;

J'ai testé vite fait, mais ça a l'air 4x4 comme ça....

zorrax

bonjour

petite question concernant logwatch et l'envoi de mail
comment remplacer l'expediteur pour eviter d'avoir ca dans les spams ?
j'ai quelque chose comme root@adresse et gmail semble ne pas aimer
merci
@+

ex_rat

Salut
Ça sort un peu du cadre du topic, cherche du coté des discutions en rapport avec les tutos postfix / serveur mail sur le forum.
Tu vas voir que c'est un combat de longue haleine pour faire comprendre à gmail et microsoft que du courrier qui arrive de ton ip serveur est propre

En ce qui me concerne, je lutte pas... Un p'tit clic sur "non spam" et roule, tant pis pour l'étiquette [spam] !

Ex.

attila01

Salut !!
Désolé de vous embêtez avec mes petits soucis, mais j'ai encore une petite contrariété, voilà j'ai pris un serveur chez OVH récemment (un KS-2), en voulant suivre ce tuto de sécurisation je décide d'installer postfix et toussa... Sauf que j'ai été stoppé dans mon élan dés le début !!! quand je test l'envoi de mail (hello world..) ben je reçois jamais de mail sur les boites que j'ai testé suite au soucis d'ipv4 chez hotmail (hotmail et yahoo), dans /var/mail/root j'ai ce message:

Diagnostic-Code: smtp; 550 SC-001 (SNT004-MC1F50) Unfortunately, messages from
    xx.xx.xx.xxx weren't sent. Please contact your Internet service provider
    since part of their network is on our block list. You can also refer your
    provider to http://mail.live.com/mail/troubleshooting.aspx#errors.

En fait il semblerait que je sois "block listé" !!! Par hotmail je comprends car d'après ce que j'ai trouvé sur le web je suis pas un cas isolé mais sur yahoo... Je sèche !! Une idée ?

remy80

Merci pour Tous les tutos ...

attila01

Bonsoir
J'ai résolu le problème d'ip blacklistée en la "déblacklistant" mais uniquement pour gmail.com (chez qui mon fils a une boite qu'il n'utilise jamais

)
Apparemment certaines adresse IP de chez kimsufi-OVH parmi les derniers dédiés ne sont pas trop appréciées !!
C'est par ici pour savoir qui a blacklisté votre ip... Au cas où...

buzuc

bonjour

je suis les tutos sur la sécurisation du serveur et en faisant celui sur SSH je rencontre un problème, impossible de relancer ssh a la commande

/etc/init.d/ssh restart

J'obtiens un mesage d'erreur

/etc/ssh/sshd_config: line 1: Bad configuration option: *
/etc/ssh/sshd_config line 97: Directive 'UsePAM' is not allowed within a Match block

sshd_config

*# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 36420


# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

# Choix des utilisateurs autorisés à se connecter,
# ajouter l'user qu'on a créé plus haut, plus les utilisateurs de ruTorrent pour qu'ils conservent l'accès en SFTP.
AllowUsers marcel

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile	%h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

Match user marcel # etc... note : pas d'espace entre les virgules
ChrootDirectory %h

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

Merci pour votre aide encore une foi, et c'est surement pas la dernière malheureusement, je suis un noob dans l'administration d'un serveur mais curieux d'apprendre.

ex_rat

Salut
modifie le bas de ton fichier comme ça et relance pour voir:

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM yes

Match user marcel
ChrootDirectory %h

Ex.

« Page précédente Page suivante »