SFTP et SSH

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

SFTP et SSH

Eidorian

Bonjour à tous,

Je viens voir car je suis en train de configurer mes utilisateurs unix et je rencontre quelques difficultés. (Debian 8)

Je m'explique. Je souhaite mettre en place un accès SFTP à utilisateur linux basique mais en faisant les changements de configuration nécessaire, on ne peux plus se connecter en SSH. La fenêtre de Putty s'ouvre et se referme immédiatement.

Donc, il n'est pas possible combiner un user SFTP (et le confiner dans son répertoire avec les directives Match Group, etc) et pouvoir aussi s'authentifier en SSH ?

Merci de vos réponses.

Ikoula

Bonjour,

Attend, explique nous ce que tu essaye de faire d'une part et ce que tu as modifié jusque là d'autre part.

Eidorian

Oui, désolé.

Alors, j'aimerai avoir des utilisateurs unix (accès SSH, si ils sont listés dans AllowUsers) et accès SFTP (en confinant les utilisateurs dans leur répertoire respectif).

J'ai apporté ces modifications au fichier « sshd_config » :

Subsystem sftp internal-sftp

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.

#UsePAM yes
Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160
KexAlgorithms diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1

Match Group sftpusers
ChrootDirectory /home/%u
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no

Le soucis est que si l'utilisateur « user01 » est dans le groupe « sftpusers » (permettant ainsi la connexion SFTP et le bloquer dans son répertoire), j'ai le fonctionnement souhaité lorsque je test avec WinSCP ou Filezilla, mais par contre, je ne peux plus me connecter en SSH (console). D'après ce que j'ai lu, ceci est normal.

Mais j'aimerai justement qu'un utilisateur puisse aussi bien se connecter en SFTP (tout en l'empêcher d'aller ailleurs que le répertoire personnelle) + connexion SSH (terminal) si l'utilisateur est bien renseigné dans « AllowUsers ».

Suis-je obligé d'avoir un fonctionnement du genre : « user01 » (SSH) et « user01-sftp » (SFTP) ?

Merci.

Jedediah

Dernière partie du premier post : https://mondedie.fr/d/5318

Eidorian

J'ai bien vu Jedediah, mais ce n'est pas ça le soucis 🙂. J'ai aucun soucis au moment de la création d'un utilisateur + connexion SSH.

C'est une fois que je l'ajoute dans le groupe « sftpusers » (permettant de confiner chaque user dans son répertoire) que les soucis surviennent (je ne peux ensuite plus me connecter en SSH, mais le SFTP marche comme souhaité).

Eidorian

Bonjour,

Désolé du double message. Je viens juste pour signaler que mon soucis est en partie résolu.

J'ai opté pour la mise en place d'utilisateurs systèmes (ayant seulement un accès au SSH) et des utilisateurs ayant seulement un accès au SFTP.

xataz

Salut,

En fait ce que tu demandes est impossible, tu ne peux pas chrooter un utilisateur, et te connecter en SSH avec. Car SSH et SFTP sont les mêmes protocoles.
Seul solution est d'avoir un utilisateur système (hors root), pour ce connecté en SSH, sans chroot, et les autres chrooté.

Eidorian

Oui voilà, c'est ce que j'ai pu comprendre en cherchant, du coup j'ai opté pour cette technique.

Merci d'avoir confirmer tout ça