Table des matières
Chrootage des services ssh scp sftp
Utilisez l'appli scponly
Soit sur le repository pour les debian soit directement depuis l'archive recupérable sur ce site :
http://sublimation.org/scponly/wiki/index.php/Download
Exemple : on souhaite activer seulement le sftp
option de compile du scponly :
./configure --prefix=/appli/scponly --enable-sftp-logging-compat --enable-chrooted-binary make make install
Avec ca, le binaire
scponly ne fera donc que du sftp
Les trucs à savoir
- le shell du compte sera donc le binaire scponly
- le répertoire d'arrivé DOIT etre la propriété de root
- le répertoire de depot est un sous-repertoire de celui d'arrivée avec les droit pour le user seulement.
- dans le repertoire home du user → mise en place de quelques répertoire pour des binaires et des lib (vu que le user sera chrooté)
Eventuellement mettre le sticky bit pour le répertoire de dépot pour garder le groupe voulu.
Attention donc si on vous voulez mettre un chrootage scp, ssh ou sftp sur une arborescence de site (à cause des droits root sur le répertoire home).
Il est preferable de deplacer le repertoire cible en question dans le home du user chrooté et de faire un lien du site vers le repertoire du user (et non l'inverse !!)
Pour creer un user
Il y a un petit script qui marche très bien dans le rep source de l'install scponly :
setup_chroot.sh
- il cré le user et pass
- met le bon shell
- met tous les repertoires et les binaires nécessaires au bon fonctionenement du truc.
