Clé SSH Utilisateur Tuto Magicalex - Installer ruTorrent sur Debian 8

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Clé SSH Utilisateur Tuto Magicalex - Installer ruTorrent sur Debian 8

Rathorian

Bonjour à toutes et tous,

Aujourd'hui petite intervention de ma part concernant le magnifique tutoriel de Magicalex "Installer ruTorrent sur Debian 8 {nginx & php-fpm}"
Je poste ici car le topic dédié du tuto est prévu pour les bugs et moi j'en ai pas pour le moment 😀.

Arrivé à la partie 4 du tutoriel nommé (Ajout d’un utilisateur) on crée l'utilisateur qui va lancer rTorrent, stocker les torrents, etc, etc....

Pour ma configuration et ma paranoïa 😮D, j'utiliserai cet utilisateur également pour me connecter en SFTP pour pouvoir récupérer mes fichiers à peu près comme tout le monde.
Sauf que moi, je veux me connecter avec une clé SSH via cet utilisateur et interdire toute connexion avec un mot de passe.

Est-ce possible ?

Car un peu plus loin dans le tuto, il y a des modifications de droits sur l'utilisateur, notamment un :

chown --recursive <username>:<username> /home/<username>
chown root:root /home/<username>
chmod 755 /home/<username>

Et peut-être d'autres modifications que j'ai pas bien vu.

Voilà, voilà

Merci pour votre aide
Cordialement

Salimeche

Salut,

C'est parfaitement possible.

Il te suffira de créer le répertoire .ssh dans le répertoire /home/<username> et d'y importer ta clé publique dans un fichier qui s'appellera autorized_keys.

Ensuite il faut modifier un peu le /etc/ssh/sshd_config pour accepter l'authentification par clé et interdire de se connecter par mot de passe.

Voilà un peu le principe. Il y a plein de tutos qui explique comment faire ça pas à pas. Cherche "authentification ssh par paire de clés debian" par exemple 😉.

Rathorian

Saliméche wrote:Salut,

C'est parfaitement possible.

Il te suffira de créer le répertoire .ssh dans le répertoire /home/<username> et d'y importer ta clé publique dans un fichier qui s'appellera autorized_keys.

Ensuite il faut modifier un peu le /etc/ssh/sshd_config pour accepter l'authentification par clé et interdire de se connecter par mot de passe.

Voilà un peu le principe. Il y a plein de tutos qui explique comment faire ça pas à pas. Cherche "authentification ssh par paire de clés debian" par exemple 😉.

Salut,

Tout d'abord, merci pour ton retour.

Il y a quelques mois en arrière j'avais déjà essayé et ça n'avait pas fonctionné.
L'erreur que j'avais à la connexion je ne m'en souviens plus exactement mais c'était un problème du à la clé ( genre par reconnu par le serveur ou quelques choses comme ça ).

J'avais suivi à la lettre le tutoriel sauf à cette endroit :

nano /etc/ssh/sshd_config

Match user <username>,<username2>,<username3> # etc... note : pas d'espace entre les virgules
ChrootDirectory %h
service ssh restart

Car il est écrit que :

A noter que cette manipulation aura pour effet de bloquer l’accès au SSH à cet utilisateur. Il convient donc d’ignorer ce paragraphe si ce dernier remplace root pour la connexion SSH.

Donc dans le doute j'avais pas fait cette modification

Après j'ai continué le tutoriel jusqu'au bout, tout fonctionné à merveille, rutorrent, etc... sauf la connexion avec l'utilisateur en SFTP en utilisant une clé SSH.

Étant donné qu'à cette endroit :

chown --recursive <username>:<username> /home/<username>
chown root:root /home/<username>
chmod 755 /home/<username>

ROOT prend les droits sur le dossier de l'utilisateur, je pensais que ça venait de là.
Alors au lieu de faire un chmod 755, j'ai fait un chmod 777 mais j'avais toujours la même erreur et j'ai par conséquent, abandonné un peu jusqu'à aujourd'hui

Pour ce qui est d'activer l'authentification par clé SSH et supprimer l'accès par mot de passe aucun souci, j'ai l'habitude de le faire sur d'autre serveur.

Merci pour votre aide

Solinvictus

Et avec ceci :

Match user <username>
        ChrootDirectory <dir>
        PubkeyAuthentication yes
        AuthorizedKeysFile     home/<username>/.ssh/authorized_keys

Puis on redémarre le service :

service ssh restart

NB: root a les droits sur /home/<username>, mais pas sur l'arborescence suivante, ie ; /home/<username>/.ssh

?

Rathorian

Solinvictus wrote:Et avec ceci :
Match user <username>
        ChrootDirectory <dir>
        PubkeyAuthentication yes
        AuthorizedKeysFile     home/<username>/.ssh/authorized_keys
Puis on redémarre le service :
service ssh restart
NB: root a les droits sur /home/<username>, mais pas sur l'arborescence suivante, ie ; /home/<username>/.ssh

?

Bonne question, il faudrait que j'essaye.

Mais ça vous parait normal le chmod 755 root:root sur le dossier utilisateur ?
C'est pas à cause de ça que quand je me connecte avec l'utilisateur ça bloque ?

Rathorian

Bonjour à tous,

Je reviens vers vous car je viens de refaire l'installation.

Au final j'ai donc réussi à me connecter avec l'utilisateur en SFTP via sa clé SSH.
Pour ce faire, NE pas mettre dans le fichier ou commenter :

nano /etc/sshd/sshd_config

#Match user <username>,<username2>,<username3> # etc... note : pas d'espace entre les virgules
#ChrootDirectory %h

Et à ce niveau là du tuto :

chown --recursive <username>:<username> /home/<username>
chown root:root /home/<username>
chmod 755 /home/<username>

Il faut remplacer par :

chown --recursive <username>:<username> /home/<username>
chmod 755 /home/<username>

Mais l'utilisateur ne sera plus chrooté dans son home et par conséquent il pourra accéder à tout les dossiers du serveur !

Merci à tous pour votre aide
Cordialement

lokiii

Hello,
Si tu as trouvé ton bonheur, tant mieux!

Cela étant dit, en vrai, si vraiment tu es paranoïaque, il te manque un user pour être serein :

Je m'explique: Idéalement, tu vas vouloir avoir 3 users distincts (au minimum) :

- ton user "root" - qui ne peut pas ouvrir de ssh ni de sftp
- ton user "seedbox" - celui qui est utilisé pour tes htaccess - qui pourra ouvrir un sftp chrooté dans son home afin d'appliquer un principe de sandbox sur le user que tu utilises côté Web mais qui n'aura aucune authorité en dehors de son propre home, MAIS PAS de ssh, car inutile pour ce type de user!
- un 3ème user de type "system" qui te servira à te log en ssh pour, par exemple, passer root et faire la conf de ton serv, et, en gros, faire toute la manutention de ton serv.

Bien sûr, ceci étant dit, si ta conf firewall / softs anti scan est OK, tu n'auras pas trop de soucis, mais si vraiment tu veux faire propre et sécurisé, alors il ne faut pas permettre à ton user "seedbox" de pouvoir faire ce qu'il veut sur ton serv (ce qui sera le cas si tu ne le chroot pas! )

Rathorian

lokiii wrote:Hello,
Si tu as trouvé ton bonheur, tant mieux!

Cela étant dit, en vrai, si vraiment tu es paranoïaque, il te manque un user pour être serein :

Je m'explique: Idéalement, tu vas vouloir avoir 3 users distincts (au minimum) :

- ton user "root" - qui ne peut pas ouvrir de ssh ni de sftp
- ton user "seedbox" - celui qui est utilisé pour tes htaccess - qui pourra ouvrir un sftp chrooté dans son home afin d'appliquer un principe de sandbox sur le user que tu utilises côté Web mais qui n'aura aucune authorité en dehors de son propre home, MAIS PAS de ssh, car inutile pour ce type de user!
- un 3ème user de type "system" qui te servira à te log en ssh pour, par exemple, passer root et faire la conf de ton serv, et, en gros, faire toute la manutention de ton serv.

Bien sûr, ceci étant dit, si ta conf firewall / softs anti scan est OK, tu n'auras pas trop de soucis, mais si vraiment tu veux faire propre et sécurisé, alors il ne faut pas permettre à ton user "seedbox" de pouvoir faire ce qu'il veut sur ton serv (ce qui sera le cas si tu ne le chroot pas! )

Salut,

Je suis tout à fait d'accord avec toi !
J'utilise en effet déjà 3 users...

Root = Aucun accès SSH ni SFTP.
User = Me connecter simplement en SFTP avec sa clé SSH puis son Passphrase pour faire les réglages serveurs en passant sur Root.
Seedbox = Pour récupérer les fichiers en SFTP.

Seul problème depuis le début, je n'arrive pas à trouver LA solution pour me connecter en SFTP avec l'utilisateur Seedbox en utilisant sa clé SSH et tout ça en étant chrooté dans son home...

Il est là le bug pour moi (chrooté l'utilisateur et me connecter en SFTP + Cle SSH)

Magicalex

lokiii wrote:alors il ne faut pas permettre à ton user "seedbox" de pouvoir faire ce qu'il veut sur ton serv (ce qui sera le cas si tu ne le chroot pas! )

attention c'est pas parce que il peut lister certain fichier système qu'il peut faire ce qu'il veut avec. Il a aucun droit de lecture sur les fichiers ni d'écriture.
La seul chose qu'il peut faire sans chroot c'est savoir qu'il y a des fichiers à telle endroit.

Rathorian

Magicalex wrote: attention c'est pas parce que il peut lister certain fichier système qu'il peut faire ce qu'il veut avec. Il a aucun droit de lecture sur les fichiers ni d'écriture.
La seul chose qu'il peut faire sans chroot c'est savoir qu'il y a des fichiers à telle endroit.

Tout à fait.
Surtout que je fais pas de multi-utilisateurs avec mon serveur, il y a que moi dessus.

Mais ça n'empêche rien que j'aimerais vraiment le chrooté cet utilisateur "seedbox".

lokiii

@Magicalex si je dis pas de bétise, dans le tuto cakebox ou nginx, je sais plus, on rajoute le user seedbox au groupe "web" (ou quelque chose comme ça) et ensuite on ajoute des droits sur le groupe web, donc on donne bcp plus de droits au user seedbox que lorsqu'il est chrooté ^^
De plus, le script qui run automatiquement en fin de DL de rutorrent fais un chown :web avec un chmod 664 derrière, non ?

@Rathorian si je dis toujours pas de bésite, pour chrooté ton user, tu dois :
- définir ton chmod sur le home (755 de mémoire ?)
- définir le chown de ton home sous root:<groupe_de_ton_user_seedbox>
- ajouter le "ChrootDirectory /home/%u" dans ton ssh_config

PS: tout ceci en partant du principe que le home de ton user possède bien les binaires nécessaire à un chroot

PS²: cherches "chroot debian" sous google, tu as à peu près 100000000000 de réponses

Rathorian

lokiii wrote:@Rathorian si je dis toujours pas de bésite, pour chrooté ton user, tu dois :
- définir ton chmod sur le home (755 de mémoire ?)
- définir le chown de ton home sous root:<groupe_de_ton_user_seedbox>
- ajouter le "ChrootDirectory /home/%u" dans ton ssh_config

Je test ceci dès que je peux.
Merci en tout cas

Rathorian

Du coup j'ai pris le temps d'essayer mais ça ne fonctionne pas malheureusement.

Magicalex

Non pour le chroot pas le choix il faut mettre un chown root:root /home/user

Sinon il existe une solution mais j'aime pas trop perso à vous de voir
https://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.fr.html

lokiii wrote:@Magicalex si je dis pas de bétise, dans le tuto cakebox ou nginx, je sais plus, on rajoute le user seedbox au groupe "web" (ou quelque chose comme ça) et ensuite on ajoute des droits sur le groupe web, donc on donne bcp plus de droits au user seedbox que lorsqu'il est chrooté ^^
De plus, le script qui run automatiquement en fin de DL de rutorrent fais un chown :web avec un chmod 664 derrière, non ?

Alors non on donne plus de droit à l'utilisateur web et non pas l'inverse ^^
Mais c'est un risque limité, regarde bien mais quand je fais les chmod sur les fichiers je donne le strict minimum en droit. Alors que j'aurais pu faire un chmod 777 bien vilain

On a pas le choix si tu veux supprimer les fichiers depuis l'interface cakebox. Rutorrent fait plus ou moins la même chose, j'ai pas regardé exactement.

lokiii

Hehe j disais ca de mémoire, merci de m'avoir corrigé pour pas laisser traîner de ****

ex_rat

Salut
Avec le script auto, les home/user sont en root:user comme sur le tuto chroot de Nico: https://mondedie.fr/d/840
Mais ça change rien il me semble vu qu'on est en 755 de toute façon. J'avais jamais fais gaffe pour le root:root du tuto de Magic, je découvre là ^^
Ex.

Rathorian

Au niveau sécurité, même si mon utilisateur seedbox n'est pas chrooté dans son home, je pense que c'est déjà bien sécurisé.
Seulement 2 personnes sont autorisés à se connecter en SSH/SFTP sur le serveur et tout les deux utilisent une clé de 4096 bits avec Passphrase et les connexions avec mots de passe sans clé sont interdites.

Faut vraiment en vouloir pour s'attaquer à une simple seedbox

Magicalex

Rathorian wrote:Au niveau sécurité, même si mon utilisateur seedbox n'est pas chrooté dans son home, je pense que c'est déjà bien sécurisé.
Seulement 2 personnes sont autorisés à se connecter en SSH/SFTP sur le serveur et tout les deux utilisent une clé de 4096 bits avec Passphrase et les connexions avec mots de passe sans clé sont interdites.

Faut vraiment en vouloir pour s'attaquer à une simple seedbox 😉

C'est des bots généralement qui scan à la volet plusieurs serveurs à la recherche d'une faille.

Rathorian

Magicalex wrote: C'est des bots généralement qui scan à la volet plusieurs serveurs à la recherche d'une faille.

Oui tout à fait