[Ubuntu] Restriction Utilisateur

[kalistyan]

Bon... Malgré quelques recherches... Je n'y arrive pas! :/

Je souhaite, lors d'une connexion SSH :

1. Bloquer l'utilisateur dans son dossier personnel, sauf pour le /var/www accessible via un alias présent dans son homedir.
2. Interdire les commandes systèmes.

[gizmo78]

chroot ou jail je dirais

[kalistyan]

Je m'y attendais... Chroot c'est encore du chinois, aurais tu un lien qui explique le biz en Fr si possible ? Pendant ce temps là... Je vais à la pêche au info pour jail.

[gizmo78]

je détails j'étais en train de manger ^^

chroot: tu limite les dossiers accessible c'est tout.

le jail c'est le même style mais la c'est comme si l'user était dans un système à part si je dis pas de bêtises.

après tu peux lui changer le shell pour qu'il n'est accès à aucune commande système, me souviens plus lequel par contre

[Zedoune]

je détails j'étais en train de manger ^^

chroot: tu limite les dossiers accessible c'est tout.

le jail c'est le même style mais la c'est comme si l'user était dans un système à part si je dis pas de bêtises.

après tu peux lui changer le shell pour qu'il n'est accès à aucune commande système, me souviens plus lequel par contre

le jail c'est une technologie freebsd, dont l'analogue linux serait "lxc" mais c'est plus dans l'optique d'être dans une machine virtuelle..

Kali, tu veux interdire quoi comme commandes systèmes ? Tu veux permettre quoi réellement ?

[kalistyan]

@Z Je veux permettre seulement les actions (mkdir, rm, vim, mv,etc...) sur les dossiers et fichiers dispo dans le compte user.

[gizmo78]

tu peux faire ca en changeant de shell je crois

[dsebire]

ya beaucoup plus simple, se debriouiller pour que le user n'est les droits en ecriture/modification que dans sa home.

[Zedoune]

Pourquoi t'autorises pas seulement un sftp en chroot dans le dossier utilisateur ? Le vim il peut le faire à distance via un éditeur qui gère SFTP.. C'est vraiment la seule solution fiable !

Il n'est pas possible de restreindre absolument un utilisateur. Il pourrait très bien uploader des binaires et puis s'en servir s'il le souhaitait ! La mise en place d'une restriction efficace serait vraiment trop compliquée, et du coup augmente les risques de faire une erreur dans la restriction.

[kalistyan]

Pourquoi t'autorises pas seulement un sftp en chroot dans le dossier utilisateur ? Le vim il peut le faire à distance via un éditeur qui gère SFTP.. C'est vraiment la seule solution fiable !

Euh... D'accord, mais comment ? J'suis complet largué avec ce foutu chroot :d

[poulpito]

+1 le chroot ssh c'est la merde et ca n'existe pas vraiment de base

sous ubuntu tu as ca kali : http://doc.ubuntu-fr.org/mysecureshell_sftp-server

[kalistyan]

@Poulpito Merci, cela fonctionne bien. Testé avec WinSCP.

L'utilisateur n'accède qu'à son home, impossible de remonter l'arborescence! Et pratique, si alias dispo, il peut s'y rendre, nickel car je voulais leur donner accès au /var/www.

Reste à faire la même chose en SSH.

Edit : testé liens ci-dessous mais cela ne fonctionne pas sur mon Ubuntu Precise
Le problème bien de /bin/false, dès sont activation, impossible de se loguer.

http://www.serverubuntu.it/SFTP-chroot
http://michauko.org/blog/sftp-chroot-et ... oire-1099/

[poulpito]

gné ? cad bah oui le bin false implique pas de shell donc pas de login

pour le ssh c'est la merde il faut cloner un shell
mais je me souviens plus exactement

[kalistyan]

dans ce cas-là, je n'ai pas compris le but de son tutoriel. De mon côté, me suis débrouillé avec JailKit.

Site officiel => http://olivier.sessink.nl/jailkit/howtos_ssh_only.html
Howto => http://vdevices.com/how-to-create-isola ... h-jailkit/