Aller au contenu

Gal

guronzan

Par guronzan
dans Modifications Logiciels

 Partager

Messages recommandés

cricx Newbie

cricx

Posté(e)
Posté(e)

Bonsoir,

J'ai installé le sftp-server openSSH suivant les informations trouvées sur les différents wiki Synology.

1 er : http://forum.synology.com/wiki/index.php/How_to_Install_Bootstrap

Ensuite

2 ème : ipkg download openssh-sftp-server

3 ème : installation

configuration du fichier /opt/etc/openssh/sshd_config

Après beaucoup de mal j'ai réussi à trouver une option qui permet d'isoler la navigation d'un user dans un répertoire donné : ChrootDirectory. De cette manière l'utilisateur ne pourra pas aller voir les dossiers système etc ...

Le principal problème est que l'option ChrootDirectory ne semble pas fonctionner quand on indique un path de plus d'un dossier.

exemple qui fonctionne ChrootDirectory /volume1

mais si on rajoute un niveau ChrootDirectory /volume1/dossier1

plus rien ne fonctionne et je ne peux plus m'authentifier sur le SSHD

Est-ce que quelqu'un a déjà réussi à installer SFTP-Server et réussi à faire une configuration qui tient la route ?

Je suis proche de tout désinstaller et de me contenter du FileStation via le navigateur ...

Merci

A bientôt.

l'option ChrootDirectory n'est pas native ssh, il faut une version patchée. Normalement il est possible de mettre un chemin à plusieurs niveaux, peut-être que l'implémentation du patch n'est pas tout-à-fait standard...

As-tu bien :

ForceCommand internal-sftp

dans ton sshd_config ? (l'option ChrootDirectory nécessite le sftp interne et pas le subsystème sftp)

le plus simple est de mettre un shell restreint (rssh ou scponly, dispo via ipkg) à tes utilisateurs (mais ils ne sont pas confinés à leur homedir, mais "voir" un dossier système n'est pas réellement un pb, si le droit d'exécution ou d'écriture n'est pas donné), ou de mettre un place un chroot (il faut donc copier les fichiers et libs dans le chroot).

sinon tu as le ftp (normal) qui est chrooté (du moins si on coche l'option). Pour la sécurité du transfert, il devrait être possible de faire passer ça dans un tunnel, mais je n'ai pas d'expérience à ce sujet.

0
Lien vers le commentaire
Partager sur d’autres sites
Mikaoioi Newbie

Mikaoioi

Posté(e)
Posté(e)

Bonjour

tes droits sont-ils bien positionnés sur ce sous dossier ?

Dans ton sshd_config, en plus du conseil de CricX pour le ForceCommand, selon moi il faudrait aussi ajouter le :

AllowGroups machin

(AllowUsers sinon devrait marcher aussi, voir la doc du sshd_config pour ca)

Sinon pour l'avoir expérimenté sur un système Linux (rien à voir avec du syno), le chroot directory fonctionne très bien en subsystem CricX, à condition de le spécifier ainsi :

Subsystem sftp internal-sftp

;)

Je suis proche de tout désinstaller et de me contenter du FileStation via le navigateur ...

Parce que tu veux utiliser sftp juste pour voir tes dossiers ?

Si c'est pour de l'accès externe, pourquoi ne pas utiliser le ftp crypté en ssl si ton sftp ne fonctionnait pas ?

Edit : forcément pr éviter de pouvoir remonter l'arborescence... suis bête, tu l'as dit, et c'est ce pourquoi je l'avais mis en place aussi sur mon système... :rolleyes:

0
Lien vers le commentaire
Partager sur d’autres sites
  • 2 semaines après...
  • 7 mois après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.