Ajout d'un utilisateur SFTP limité à un répertoire via le chroot intégré à openssh

Le par Frédéric Escarieu / Permalien : / astuces

Le serveur openssh permet de chrooter un compte de manière relativement simple tout se joue dans le fichier : /etc/ssh/sshd_config.

On a créé le compte client_accces :

adduser client_access

il faut changer les lignes :

# SubSystem sftp /usr/lib/openssh/sftp-server

par :

SubSystem sftp internal-sftp

et rajouter une règle qui s'applique à l'utilisateur (ou peu également travailler par group) :

Match user client_acces
        # The following two directives force client_acces to become chrooted
        # and only have sftp available.  No other chroot setup is required.
        ChrootDirectory /home/www/client_acces/
        ForceCommand internal-sftp
        # For additional paranoia, disallow all types of port forwardings.
        AllowTcpForwarding no
        GatewayPorts no
        X11Forwarding no

Le point important découvert grâce au suivi des logs

tail -f /var/log/auth.log
ou éventuellement
tail -f /var/log/syslog

L'ensemble des répertoires et sous répertoires doivent apartenir à root /home /home/www et /home/www/client_acces/, ensuite on créé les répertoires dont le propriétaire devient client_acces.



Frédéric Escarieu alias Kie

Web Developper - Co-founder KipSoft

#webdev #sysadmin #javascript #php #ruby

Passionné de rugby, amateur de velo.

/