Le 20/12/2013 11:15, JC PAROLA a écrit :
Le 19/12/2013 20:38, Jean-Yves LENHOF a écrit :
J'allais justement poser la question si c'était du SFTP ou SSH dont
il y a besoin...
Peut-être que le mieux serait de poser la question des besoins avant
de parler de la solution...
Quelles sont par ailleurs les contraintes, typiquement peux-tu
installer n'importe quelle version d'Openssh ou non ? Suivant les
versions on peut plus ou moins faire de choses...
Cdlt,
JYL
Je suis sur FreeBSD 9.1 et je peux donc installer *n'importe quelle
version* d'Opensh.
J'avais effectivement entendu parlé d'un patch d'Openssh permettrant
un chroot "propre".
en terme de contrainte, il faut que l'utilisateur ait accès aux
commandes liée au filestystem (cp, mv ...), pouvoir utilisez également
des binaires extrernes (tar, unzip, mysqldump).
outre cet aspect, j'avais une "problématique" supplémentaire lié au
fait que mon serveur wed tourne en mod_php et que par conséquent il
n'y a pas de user spécifique par hébergement.
De ce côté là, j'ai trouvé la solution en passant par du pam_mysql. Du
coup je peux créer des users avec les même id que celui qui fait
tourné apache.
Et je retombe sur mes pattes comme ça (une autre solution existe avec
l'option -u de useradd)
Quelle version d'Openssh permettrait plus de choses ?
'lo,
Tu n'expliques toujours que le but de ce que tu voudrais mettre en
place... Pas le problème initial (développement ? avec un framework ? à
priori php... pourquoi avoir besoin de cp/mv/tar/zip/unzip, etc).
Pourquoi le développeur a besoin d'un accès au serveur ? (de prod si je
comprends bien)
D'habitude les développeurs ont un petit apache/php en local, puis on
intégre sur de la qualif avant de faire de la prod....
Bref...
Pour ma part, je trouve que ça commence à faire beaucoup de commandes
autorisées pour un simple chroot... soit
As-tu regardé à utiliser le répertoire ~/public_html avec l'utilisation
du module UserDir d'apache qui permet de ne pas avoir à mapper ton
utilisateur unix avec le même uid qu'apache et que chacun travailles
avec son propre utilisateur ?
Concernant openssh, c'est juste que j'aime bien avoir les éléments... et
si tu nous sortait une version 3.8 d'il y a 10 ans c'est plus chiant de
faire qq chose de propre...
Cdlt,
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/