OVH Community, votre nouvel espace communautaire.

Blocage de l'accès SFTP


Coyote570
03/09/2016, 12h35
Citation Envoyé par bbr18
oui surement, pour ma part je préfère que ce soit ailleurs que sur les serveurs au cas où ce soit le serveur qui ait un souci, si le vpn est dessus on ne peut plus y accéder, ça arrive rarement mais ça peut arriver de jouer de malchance.
Ok, mais normalement on devrait y avoir accès grâce au KVM qu'on a sur notre compte OVH non ? A moins que même là on soit bloquer ?

Edit : Finalement je crois avoir trouvé une solution.

Après une méditation intense sur le trône, j'ai décidé de modifier à nouveau le fichier "/etc/ssh/sshd_config"

J'y est remis la ligne subsystem par défaut :

Subsystem sftp /usr/lib/openssh/sftp-server
puis j'ai écris le chroot à la fin du fichier, il est important que celui-ci soit écrit à la fin car sinon on obtient une erreur avec le block UsePAM

#chroot des utilisateurs
Match User NomDeMonUser
ChrootDirectory /home/NomDeMonUser
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
Vous noterez également que j'ai dû modifier la ligne ChrootDirectory en indiquant le nom de l'utilisateur, sinon cela ne fonctionne pas.

Maintenant mon user peut se connecter en utilisant uniquement le port 21, s'il utilise le 22 il obtient une erreur :
Erreur : Server unexpectedly closed network connection
Erreur : Impossible d'établir une connexion au serveur
Tandis que les utilisateurs n'ayant pas de chroot ont toujours un accès au port 22. Magnifique

Un grand merci pour votre aide !

bbr18
03/09/2016, 07h43
oui surement, pour ma part je préfère que ce soit ailleurs que sur les serveurs au cas où ce soit le serveur qui ait un souci, si le vpn est dessus on ne peut plus y accéder, ça arrive rarement mais ça peut arriver de jouer de malchance.

Coyote570
02/09/2016, 23h14
Citation Envoyé par bbr18
pour un accès sur une ip fixe lorsque je ne suis pas chez moi, j'ai pris un vps à 2€ sur lequel j'ai mis un vpn
C'est pas bête, cela fonctionnerait si j''installe le vpn en question sur le même serveur ovh ? J'active alors le firewall et ouvre le port qu'utilise openvpn et j'autorise son @Ip à accéder aux ports 22.

bbr18
02/09/2016, 22h19
pour un accès sur une ip fixe lorsque je ne suis pas chez moi, j'ai pris un vps à 2€ sur lequel j'ai mis un vpn

sich
02/09/2016, 21h15
il est possible de chrooter avec un accès ssh, mais c'est déjà plus complexe à faire.
Donc soit les personnes chrooté ont juste accès à SFTP et non pas SSH. Ou alors il faut faire tout un tas de truc pour avoir un accès chrooté pour certains utilisateurs.

Coyote570
02/09/2016, 21h03
Citation Envoyé par bbr18
Pour que cela fonctionne il faut que tu mettes uniquement /home pour chaque utilisateur, pas /home/user
J'ai essayer ainsi, mais j'ai toujours le même souci, aucun utilisateur ne peut accéder au port 22. Mais j'aimerais bien l'autoriser pour les les comptes administrateurs et juste bloquer pour mes autres utilisateurs.

Citation Envoyé par bbr18
as-tu aussi modifié /etc/proftpd/proftpd.conf ?
Oui j'ai dé-commenter la ligne.

Citation Envoyé par bbr18
Plus simple si tu es le seul à être sensé te connecter sur le port 22, tu n'autorises que ton (tes) IP dans le firewall.
C'était ma première idée à la base, mais je change régulièrement d'@ IP pour des raisons multiples.

bbr18
02/09/2016, 08h54
Pour que cela fonctionne il faut que tu mettes uniquement /home pour chaque utilisateur, pas /home/user
Code:
#chroot utilisateur1
Match User le_nom_utilisateur1
    ChrootDirectory /home
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand internal-sftp
   
    #chroot utilisateur2
Match User le_nom_utilisateur2
    ChrootDirectory /home
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand internal-sftp
as-tu aussi modifié /etc/proftpd/proftpd.conf ?
il faut décommenter la ligne DefaultRoot
Code:
# Use this to jail all users in their homes
DefaultRoot                     ~

Plus simple si tu es le seul à être sensé te connecter sur le port 22, tu n'autorises que ton (tes) IP dans le firewall.

Coyote570
02/09/2016, 00h18
Citation Envoyé par Abazada
Regarde sur Google : ChrootDirectory SFTP
Si j'ai bien compris je dois aller dans le fichier /etc/ssh/sshd_config et modifier ceci ?

Code:
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp
puis insérer en dessous :

Code:
Match User nomdeluser
    ChrootDirectory /home/nomdeluser
    ForceCommand internal-sftp
    AllowTCPForwarding no
    X11Forwarding no
Avec cela, le ftp est bien bloqué en sftp, mais je n'ai plus du tout accès au serveur via putty je ne peux pas me connecter avec un utilisateur admin

Abazada
01/09/2016, 19h54
Regarde sur Google : ChrootDirectory SFTP

Coyote570
01/09/2016, 19h15
Bonjour, j'ai besoin d'un coup de main, j'ai installé proftpd sur mon VPS, afin que mes utilisateurs puissent accéder chacun à leurs ftp via le port 21. Le souci c'est qu'ils peuvent quand même utiliser le port 22 pour se connecter en SFTP et ainsi se balader dans l'arborescence du serveur, ce que je ne veux pas

Ma question est : Comment restreindre l'accès au SFTP ?
Devrais-je utilisé le firewall fourni par OVH ou il existe une configuration spécifique dans PROFTP pour cela ?