Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédente | |
tuto:configurer_serveur_sftp [2010/01/23 11:23] – smolski | tuto:configurer_serveur_sftp [2010/01/23 11:35] (Version actuelle) – smolski |
---|
<code>useradd -g geeks -d /bob -s /usr/libexec/sftp-server bob</code> | <code>useradd -g geeks -d /bob -s /usr/libexec/sftp-server bob</code> |
| |
Bob : | bob : |
| |
* fait partie du groupe "geeks", | * fait partie du groupe "geeks", |
* son home est "/bob" donc "/sftp/geeks/bob" d'après ''/etc/sshd_config'' puisqu'il ne s'y connectera qu'en SSH, | * son home est "/bob" donc "/sftp/geeks/bob" d'après ''/etc/sshd_config'' puisqu'il ne s'y connectera qu'en SSH, |
* et son shell est "/usr/libexec/sftp-server" (le chemin de ce shell peut être différent suivant les distributions). Ce faux shell permet de donner accès **uniquement** au protocole SFTP donc bob ne pourra pas avoir accès à la ligne de commande. Le faux shell /bin/false ne fonctionne pas dans ce cas. | * et son shell est "/usr/libexec/sftp-server" (le chemin de ce shell peut être différent suivant les distributions). \\ |
| Ce faux shell permet de donner accès **uniquement** au protocole SFTP, donc bob ne pourra pas avoir accès à la ligne de commande, car le faux shell /bin/false ne fonctionne pas dans ce cas. |
| |
Nous lui donnons un mot de passe : | Nous lui donnons un mot de passe : |
Bob peut maintenant se connecter à "<nowiki>sftp://bob@<serveur></nowiki>" | Bob peut maintenant se connecter à "<nowiki>sftp://bob@<serveur></nowiki>" |
| |
Un petit inconvénient peut ennuyer : le chemin chrooté doit obligatoirement appartenir à "root:root" avec les droits "rwxr-xr-x" soit ''chmod 755''. \\ | Un petit inconvénient peut ennuyer : \\ |
| Le chemin chrooté doit obligatoirement appartenir à "root:root" avec les droits "rwxr-xr-x" soit ''chmod 755''. \\ |
Dans ce cas, l'administrateur sera obligé de faire un répertoire dans chaque "home" avec des droits en lecture/écriture pour que chaque client puissent envoyer des fichiers. | Dans ce cas, l'administrateur sera obligé de faire un répertoire dans chaque "home" avec des droits en lecture/écriture pour que chaque client puissent envoyer des fichiers. |
| |
Une autre solution est possible, mais peut ennuyer également. Il s'agit de remplacer dans ''/etc/ssh/sshd_config'' la ligne suivante : | Une autre solution est possible, mais peut ennuyer également : \\ |
| Il s'agit de remplacer dans ''/etc/ssh/sshd_config'' la ligne suivante : |
| |
<code>ChrootDirectory /sftp/geeks/%u</code> | <code>ChrootDirectory /sftp/geeks/%u</code> |