Re: [FRsAG] : ssh utilisateur virtuel chrooté

2013-12-20 Par sujet JC PAROLA 

Le 19/12/2013 20:38, Jean-Yves LENHOF a écrit :
J'allais justement poser la question si c'était du SFTP ou SSH dont il 
y a besoin...


Peut-être que le mieux serait de poser la question des besoins avant 
de parler de la solution...


Quelles sont par ailleurs les contraintes, typiquement peux-tu 
installer n'importe quelle version d'Openssh ou non ? Suivant les 
versions on peut plus ou moins faire de choses...



Cdlt,

JYL 


Je suis sur FreeBSD 9.1 et je peux donc installer *n'importe quelle 
version* d'Opensh.


J'avais effectivement entendu parlé d'un patch d'Openssh permettrant un 
chroot "propre".


en terme de contrainte, il faut que l'utilisateur ait accès aux 
commandes liée au filestystem (cp, mv ...), pouvoir utilisez également 
des binaires extrernes (tar, unzip, mysqldump).


outre cet aspect, j'avais une "problématique" supplémentaire lié au fait 
que mon serveur wed tourne en mod_php et que par conséquent il n'y a pas 
de user spécifique par hébergement.


De ce côté là, j'ai trouvé la solution en passant par du pam_mysql. Du 
coup je peux créer des users avec les même id que celui qui fait tourné 
apache.


Et je retombe sur mes pattes comme ça (une autre solution existe avec 
l'option -u de useradd)


Quelle version d'Openssh permettrait plus de choses ?
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] : ssh utilisateur virtuel chrooté

2013-12-20 Par sujet Jean-Yves LENHOF 

Le 20/12/2013 11:15, JC PAROLA a écrit :

Le 19/12/2013 20:38, Jean-Yves LENHOF a écrit :
J'allais justement poser la question si c'était du SFTP ou SSH dont 
il y a besoin...


Peut-être que le mieux serait de poser la question des besoins avant 
de parler de la solution...


Quelles sont par ailleurs les contraintes, typiquement peux-tu 
installer n'importe quelle version d'Openssh ou non ? Suivant les 
versions on peut plus ou moins faire de choses...



Cdlt,

JYL 


Je suis sur FreeBSD 9.1 et je peux donc installer *n'importe quelle 
version* d'Opensh.


J'avais effectivement entendu parlé d'un patch d'Openssh permettrant 
un chroot "propre".


en terme de contrainte, il faut que l'utilisateur ait accès aux 
commandes liée au filestystem (cp, mv ...), pouvoir utilisez également 
des binaires extrernes (tar, unzip, mysqldump).


outre cet aspect, j'avais une "problématique" supplémentaire lié au 
fait que mon serveur wed tourne en mod_php et que par conséquent il 
n'y a pas de user spécifique par hébergement.


De ce côté là, j'ai trouvé la solution en passant par du pam_mysql. Du 
coup je peux créer des users avec les même id que celui qui fait 
tourné apache.


Et je retombe sur mes pattes comme ça (une autre solution existe avec 
l'option -u de useradd)


Quelle version d'Openssh permettrait plus de choses ?


'lo,

Tu n'expliques toujours que le but de ce que tu voudrais mettre en 
place... Pas le problème initial (développement ? avec un framework ? à 
priori php... pourquoi avoir besoin de cp/mv/tar/zip/unzip, etc). 
Pourquoi le développeur a besoin d'un accès au serveur ? (de prod si je 
comprends bien)
D'habitude les développeurs ont un petit apache/php en local, puis on 
intégre sur de la qualif avant de faire de la prod


Bref...

Pour ma part, je trouve que ça commence à faire beaucoup de commandes 
autorisées pour un simple chroot... soit
As-tu regardé à utiliser le répertoire ~/public_html avec l'utilisation 
du module UserDir d'apache qui permet de ne pas avoir à mapper ton 
utilisateur unix avec le même uid qu'apache et que chacun travailles 
avec son propre utilisateur ?


Concernant openssh, c'est juste que j'aime bien avoir les éléments... et 
si tu nous sortait une version 3.8 d'il y a 10 ans c'est plus chiant de 
faire qq chose de propre...


Cdlt,
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] : ssh utilisateur virtuel chrooté

2013-12-20 Par sujet JC PAROLA 

Le 20/12/2013 14:42, Jean-Yves LENHOF a écrit :
Tu n'expliques toujours que le but de ce que tu voudrais mettre en 
place... Pas le problème initial (développement ? avec un framework ? 
à priori php... pourquoi avoir besoin de cp/mv/tar/zip/unzip, etc). 
Pourquoi le développeur a besoin d'un accès au serveur ? (de prod si 
je comprends bien)
D'habitude les développeurs ont un petit apache/php en local, puis on 
intégre sur de la qualif avant de faire de la prod 



en fait, il s'agit de symphony le framework php, et le dev a beoin de 
lancer des commandes propres à ce framework

___
Liste de diffusion du FRsAG
http://www.frsag.org/