WinSCP et SSH

[kiko26]

Dans le fichier suivant, le support SSH est désactivé (supportssh="no")

cat /etc.defaults/synoinfo.conf

Alors je l'ai réactivé (supportssh="yes")

la commande ps -ef ne me renvoit aucun sshd qui devrait tourner --> le démon ne tourne pas

alors je l'ai lancé avec sh /usr/syno/etc.defaults/rc.ssh

ces fichiers ont été créés :

/etc/ssh/ssh_host_key

/etc/ssh/ssh_host_key.pub

/etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_rsa_key.pub

/etc/ssh/ssh_host_dsa_key

/etc/ssh/ssh_host_dsa_key.pub

et le processus sshd existe maintenant.

La version est : Server version: SSH-1.99-OpenSSH_4.2

j'ai transformé ma clé /etc/ssh/ssh_host_rsa_key au format putty avec puttygen.exe

Puis je'utilise WinSCP que je configure comme indiqué ici :

sur le site du gallinacé http://p.coq.free.fr/ (un pdf est dispo)

Arrivé en page 39 du pdf, je saisis le mot de passe root de mon NAS, et là WinSCP me refuse l'accès.

Lors de la connexion en SFTP avec WinSCP :

-si je saisis ma clé privé (format putty), WinSCP me renvoit l'erreur "Server refused our key"

Si je ne saisis pas ma clé privée, ce dernier me demande mon mot de passe root, et le message d'erreur est "Accès refusé" - 6 fois de suite puis fin de la connexion par le server.

Si qqun a une idée, merci d'avance.

Voici les logs de WinSCP, lorsque je ne saisis pas ma clé privée

. 2006-08-14 23:34:05.000 --------------------------------------------------------------------------

. 2006-08-14 23:34:05.000 WinSCP Version 3.8.2 (Build 330) (OS 5.1.2600 Service Pack 2)

. 2006-08-14 23:34:05.000 Login time: lundi 14 août 2006 23:34:05

. 2006-08-14 23:34:05.000 --------------------------------------------------------------------------

. 2006-08-14 23:34:05.000 Session name: root@NAS250

. 2006-08-14 23:34:05.000 Host name: NAS250 (Port: 22)

. 2006-08-14 23:34:05.000 User name: root (Password: No, Key file: No)

. 2006-08-14 23:34:05.000 Transfer Protocol: SFTP (SCP)

. 2006-08-14 23:34:05.000 SSH protocol version: 2; Compression: No

. 2006-08-14 23:34:05.000 Agent forwarding: No; TIS/CryptoCard: No; KI: Yes; GSSAPI: No

. 2006-08-14 23:34:05.000 Ciphers: aes,blowfish,3des,WARN,des; Ssh2DES: No

. 2006-08-14 23:34:05.000 Ping type: -, Ping interval: 30 sec; Timeout: 15 sec

. 2006-08-14 23:34:05.000 SSH Bugs: -,-,-,-,-,-,-,-

. 2006-08-14 23:34:05.000 SFTP Bugs: -,-,-

. 2006-08-14 23:34:05.000 Proxy: none

. 2006-08-14 23:34:05.000 Return code variable: Autodetect; Lookup user groups: Yes

. 2006-08-14 23:34:05.000 Shell: default, EOL: 0

. 2006-08-14 23:34:05.000 Local directory: default, Remote directory: home, Update: No, Cache: Yes

. 2006-08-14 23:34:05.000 Cache directory changes: Yes, Permanent: Yes

. 2006-08-14 23:34:05.000 Clear aliases: Yes, Unset nat.vars: Yes, Resolve symlinks: Yes

. 2006-08-14 23:34:05.000 Alias LS: No, Ign LS warn: Yes, Scp1 Comp: No

. 2006-08-14 23:34:05.000 --------------------------------------------------------------------------

. 2006-08-14 23:34:05.000 Looking up host "NAS250"

. 2006-08-14 23:34:05.046 Connecting to 192.168.0.253 port 22

. 2006-08-14 23:34:05.296 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:05.296 Looking for incoming data

. 2006-08-14 23:34:05.421 Select result is 1

. 2006-08-14 23:34:05.421 Server version: SSH-1.99-OpenSSH_4.2

. 2006-08-14 23:34:05.421 We claim version: SSH-2.0-WinSCP_release_3.8.2

. 2006-08-14 23:34:05.421 Using SSH protocol version 2

. 2006-08-14 23:34:05.421 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:05.421 Looking for incoming data

. 2006-08-14 23:34:05.421 Select result is 1

. 2006-08-14 23:34:05.421 Doing Diffie-Hellman group exchange

. 2006-08-14 23:34:05.421 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:05.421 Looking for incoming data

. 2006-08-14 23:34:05.468 Select result is 1

. 2006-08-14 23:34:05.468 Doing Diffie-Hellman key exchange

. 2006-08-14 23:34:05.593 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:05.593 Looking for incoming data

. 2006-08-14 23:34:06.203 Select result is 1

. 2006-08-14 23:34:06.515 Host key fingerprint is:

. 2006-08-14 23:34:06.515 ssh-rsa 2048 ea:91:61:31:7f:47:c5:08:58:d4:47:f8:b0:d7:63:b6

. 2006-08-14 23:34:06.515 Initialised AES-256 client->server encryption

. 2006-08-14 23:34:06.515 Initialised HMAC-SHA1 client->server MAC algorithm

. 2006-08-14 23:34:06.515 Initialised AES-256 server->client encryption

. 2006-08-14 23:34:06.515 Initialised HMAC-SHA1 server->client MAC algorithm

. 2006-08-14 23:34:06.515 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:06.515 Looking for incoming data

. 2006-08-14 23:34:06.515 Select result is 1

! 2006-08-14 23:34:06.515 Utilisation du nom d'utilisateur "root".

. 2006-08-14 23:34:06.515 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:06.515 Looking for incoming data

. 2006-08-14 23:34:06.578 Select result is 1

. 2006-08-14 23:34:06.578 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:06.578 Looking for incoming data

. 2006-08-14 23:34:06.593 Select result is 1

. 2006-08-14 23:34:06.593 Keyboard-interactive authentication refused

. 2006-08-14 23:34:06.593 Session password prompt (root@NAS250's password: )

. 2006-08-14 23:34:06.593 Asking user for password.

. 2006-08-14 23:34:47.546 Sent password

. 2006-08-14 23:34:47.546 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:47.546 Looking for incoming data

. 2006-08-14 23:34:47.546 Select result is 1

! 2006-08-14 23:34:47.546 Accès refusé.

. 2006-08-14 23:34:47.546 Access denied

. 2006-08-14 23:34:47.546 Session password prompt (root@NAS250's password: )

. 2006-08-14 23:34:47.546 Asking user for password.

. 2006-08-14 23:34:53.109 Sent password

. 2006-08-14 23:34:53.109 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:53.109 Looking for incoming data

. 2006-08-14 23:34:53.109 Select result is 1

! 2006-08-14 23:34:53.109 Accès refusé.

. 2006-08-14 23:34:53.109 Access denied

. 2006-08-14 23:34:53.109 Session password prompt (root@NAS250's password: )

. 2006-08-14 23:34:53.109 Asking user for password.

. 2006-08-14 23:34:55.437 Sent password

. 2006-08-14 23:34:55.437 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:55.437 Looking for incoming data

. 2006-08-14 23:34:55.437 Select result is 1

! 2006-08-14 23:34:55.437 Accès refusé.

. 2006-08-14 23:34:55.437 Access denied

. 2006-08-14 23:34:55.437 Session password prompt (root@NAS250's password: )

. 2006-08-14 23:34:55.437 Asking user for password.

. 2006-08-14 23:34:57.562 Sent password

. 2006-08-14 23:34:57.562 Waiting for the server to continue with the initialisation

. 2006-08-14 23:34:57.562 Looking for incoming data

. 2006-08-14 23:34:57.562 Select result is 1

! 2006-08-14 23:34:57.562 Accès refusé.

. 2006-08-14 23:34:57.562 Access denied

. 2006-08-14 23:34:57.562 Session password prompt (root@NAS250's password: )

. 2006-08-14 23:34:57.562 Asking user for password.

. 2006-08-14 23:35:00.062 Sent password

. 2006-08-14 23:35:00.062 Waiting for the server to continue with the initialisation

. 2006-08-14 23:35:00.062 Looking for incoming data

. 2006-08-14 23:35:00.062 Select result is 1

! 2006-08-14 23:35:00.062 Accès refusé.

. 2006-08-14 23:35:00.062 Access denied

. 2006-08-14 23:35:00.062 Session password prompt (root@NAS250's password: )

. 2006-08-14 23:35:00.062 Asking user for password.

. 2006-08-14 23:35:02.906 Sent password

. 2006-08-14 23:35:02.906 Waiting for the server to continue with the initialisation

. 2006-08-14 23:35:02.906 Looking for incoming data

. 2006-08-14 23:35:02.906 Select result is 1

. 2006-08-14 23:35:02.906 Received disconnect message (SSH_DISCONNECT_PROTOCOL_ERROR)

. 2006-08-14 23:35:02.906 Disconnection message text: Too many authentication failures for root

. 2006-08-14 23:35:02.906 Server sent disconnect message

. 2006-08-14 23:35:02.906 type 2 (SSH_DISCONNECT_PROTOCOL_ERROR):

. 2006-08-14 23:35:02.906 "Too many authentication failures for root"

* 2006-08-14 23:35:02.921 (ESshFatal) Erreur d'authentification

* 2006-08-14 23:35:02.921 Log d'authentification (voir le log de session pour les détails) :

* 2006-08-14 23:35:02.921 Utilisation du nom d'utilisateur "root".

* 2006-08-14 23:35:02.921 Accès refusé.

* 2006-08-14 23:35:02.921 Accès refusé.

* 2006-08-14 23:35:02.921 Accès refusé.

* 2006-08-14 23:35:02.921 Accès refusé.

* 2006-08-14 23:35:02.921 Accès refusé.

* 2006-08-14 23:35:02.921

* 2006-08-14 23:35:02.921 Server sent disconnect message

* 2006-08-14 23:35:02.921 type 2 (SSH_DISCONNECT_PROTOCOL_ERROR):

* 2006-08-14 23:35:02.921 "Too many authentication failures for root"

[kiko26]

Salut à tous

je galère avec SSL, j'ai fait plein de tests, j'ai recréé plusieurs fois mes clés publiques et privées, j'ai modifié /etc/ssh/sshd_config en m'aidant de plusieurs docs trouvées sur le net (ex: http://club.mandriva.com/xwiki/bin/view/KB/SecureSssh3 )

si qqun peut me passer son fichier /etc/ssh/sshd_config, afin que je le compare au mien, je pourrai dédouaner déjà ça.

ma config :

DS101J

openssl (0.9.7d-4)

WinSCP Version 3.8.2 (Build 330)

Server version: SSH-1.99-OpenSSH_4.2

SSH protocol version 2

merci à tous

[team94]

aide toi de ce lien

http://tvesin.dyndns.org/wiki/doku.php?id=...s:ssh_et_winscp

c'est sur ce site que j'ai tous activé sans probleme ! je ne peut pas t'aider plus je connais rien en linux je n'ai fait que suivre betement en esperant que ca t'aidera

[kiko26]

merci team94

j'ai déjà fait ce tuto sans résultat !

doit y avoir un truc trop simple que j'ai pas fait et qui fait que ça ne marche pas.

merci

[team94]

tu as essayer en mettant synopass en mot de passe root ?

[kiko26]

tu as essayer en mettant synopass en mot de passe root ?

depuis la derniere version du firmware, le password de root est le meme que le password du compte admin

Je n'ai plus de probleme de ce coté là. je me log en root sans probleme.

merci

[team94]

depuis la derniere version du firmware, le password de root est le meme que le password du compte admin

Je n'ai plus de probleme de ce coté là. je me log en root sans probleme.

merci

oui je sais mais moi lorsque je me connectait en telnet il fallait mon mots de passe du compte admin

mais en ssh il fallait mettre synopass

si tu a essayer ok sinon ca coute rien

[kiko26]

Je n'avais pas essayé !

et je suis surpris que cela fonctionne.

je te remercie bcp, vraiment !

[team94]

Je n'avais pas essayé !

et je suis surpris que cela fonctionne.

je te remercie bcp, vraiment !

de rien pas de probleme

pour changer ce mot de passe et mettre celui de ta session admin va là

http://tvesin.dyndns.org/wiki/doku.php?id=...t_de_passe_root

bon courage A+

[kiko26]

Voila, j'ai enfin terminé ma config :

dans le désordre voila tout ce que j'ai fait, ça aidera surement plusieurs d'entre vous qui passent par les memes problemes

J'ai réinstallé openssh, car la version installée était OpenSSH_4.2, avec la commande suivante :

ipkg install openssh

maintenant, c'est la v 4.3p2-1 (http://ipkg.nslu2-linux.org/feeds/optware/ds101/cross/stable/openssh_4.3p2-1_armeb.ipk)

Le démon /usr/syno/sbin/sshd ne tourne plus

Le démon ssh tourne ici /opt/sbin/sshd

Les fichiers suivants ont été créés :

/opt/etc/openssh/ssh_host_key

/opt/etc/openssh/ssh_host_key.pub

/opt/etc/openssh/ssh_host_rsa_key

/opt/etc/openssh/ssh_host_rsa_key.pub

/opt/etc/openssh/ssh_host_dsa_key

/opt/etc/openssh/ssh_host_dsa_key.pub

et

/opt/bin/scp ---> pour faire des copies sécurisées

/opt/bin/sftp

/opt/bin/slogin

/opt/bin/ssh ---> pour se connecter en ligne de commande sur un serveur ssh

/opt/bin/ssh-add

/opt/bin/ssh-agent

/opt/bin/ssh-keygen ---> le générateur de clefs

/opt/bin/ssh-keyscan

/opt/etc/init.d/S40sshd --> le script de démarrage

/opt/etc/openssh/moduli

/opt/etc/openssh/sshd_config --> le fichier de config a modifier un peu

/opt/etc/openssh/ssh_config --> le fichier de config du client ssh --> je ne l'ai pas touché

/opt/libexec/sftp-server ----> le démon du serveur sftp

/opt/libexec/ssh-keysign

/opt/sbin/sshd ---> le démon ssh

Qq infos prises ici:

http://www.labo-linux.org/articles-fr/mise...-le-serveur-ssh

Les modifs que g apportées au fichier /opt/etc/openssh/sshd_config :

Protocol 2 --> je ne veux que le protocole 2 (pas le 1)

ServerKeyBits 1024 --> je veux du cryptage 1024 bits

PermitRootLogin yes --> je me log en root

PubkeyAuthentication yes

AuthorizedKeysFile /root/.ssh/authorized_keys ---> les differentes cles publiques sont stockees dans ce fichier

IgnoreRhosts yes

PasswordAuthentication no ---> la saisie du password au clavier est impossible (mode non nteractif) - seul l'authentification par cle privee est possible

Subsystem sftp /opt/libexec/sftp-server ---> le serveur sftp qui se lance tout seul lorsqu'un client sftp se connecte (exemple winscp)

Ensuite je cree ma paire de cle :

ssh-keygen -t rsa -b 1024 -f /root/.ssh/id_rsa ---> cree les cles privee et publique RSA (je n'utilise que le RSA) - je ne saisi pas de passphrase car je veux pas etre interrompu pendant la phase de login - le passphrase est un mot de passe appliquée à la clé

mise en place des droits :

chmod 600 /root/.ssh/id_rsa.pub /root/.ssh/id_rsa

rajout de la cle publique dans authorized_keys :

cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

droits sur authorized_keys :

chmod 400 /root/.ssh/authorized_keys

killer le serveur sshd :

killall sshd

relancer le server sshd :

/opt/etc/init.d/S40sshd

Récupération de la clé privée du NAS vers Windows

--Sous windows : Avec telnet (putty par exemple) recopier /root/.ssh/id_rsa vers le répertoire /volume1/public :

cp /root/.ssh/id_rsa /volume1/public

--Sous windows, dans l'explorateur, se connecter au partage "public" du NAS

et copier id_rsa vers le disk dur local (exemple : d:\id_rsa)

****************************Maintenant on passe a winscp

nom d'hote : root@NAS250

root est le login de la personne qui se log sur le NAS (le compte qui se log doit exister sur le NAS)

NAS250 est le nom NETBIOS de mon serveur NAS

SAISIR N° de port : 22

SAISIR fichier de clé privée : d:\id_rsa.ppk ( ATTENTION format ppk )

Ici, il y a une difficulté :

il faut transformer la cle privee d:\id_rsa, en format ppk, en le passant à la moulinette puttygen.exe

Passage à la moulinette puttygen.exe :

lancer puttygen.exe (inclus dans winscp)

menu Conversions ---> Import key

choisir le fichier d:\id_rsa dans son disk dur

key comment : permet la saisie d'un commentaire (non obligatoire)

menu File --> save private key

saisir le nom du fichier au format ppk : par exemple id_rsa.ppk (ppk est rajouté automatiquement par puttygen.exe)

CLIQUER sur connecter

l'authentification commence (chez moi elle dure 5 secondes)

aucun mot de passe n'est demandé (car je n'ai pas mis de passphrase lors de la création des clés)

WinSCP apparaît ENFIN..... ouf .....

voila, j'ai galéré plusieurs jours pour y arriver, merci à tous ceux qui m'ont aidé en particulier team94

ce petit tutoriel servira à plusieurs, j'en suis persuadé.

@+

[sectorzero]

Voila, j'ai enfin terminé ma config :

dans le désordre voila tout ce que j'ai fait, ça aidera surement plusieurs d'entre vous qui passent par les memes problemes

J'ai réinstallé openssh, car la version installée était OpenSSH_4.2, avec la commande suivante :

ipkg install openssh

maintenant, c'est la v 4.3p2-1 (http://ipkg.nslu2-linux.org/feeds/optware/ds101/cross/stable/openssh_4.3p2-1_armeb.ipk)

Le démon /usr/syno/sbin/sshd ne tourne plus

Le démon ssh tourne ici /opt/sbin/sshd

Les fichiers suivants ont été créés :

/opt/etc/openssh/ssh_host_key

/opt/etc/openssh/ssh_host_key.pub

/opt/etc/openssh/ssh_host_rsa_key

/opt/etc/openssh/ssh_host_rsa_key.pub

/opt/etc/openssh/ssh_host_dsa_key

/opt/etc/openssh/ssh_host_dsa_key.pub

et

/opt/bin/scp ---> pour faire des copies sécurisées

/opt/bin/sftp

/opt/bin/slogin

/opt/bin/ssh ---> pour se connecter en ligne de commande sur un serveur ssh

/opt/bin/ssh-add

/opt/bin/ssh-agent

/opt/bin/ssh-keygen ---> le générateur de clefs

/opt/bin/ssh-keyscan

/opt/etc/init.d/S40sshd --> le script de démarrage

/opt/etc/openssh/moduli

/opt/etc/openssh/sshd_config --> le fichier de config a modifier un peu

/opt/etc/openssh/ssh_config --> le fichier de config du client ssh --> je ne l'ai pas touché

/opt/libexec/sftp-server ----> le démon du serveur sftp

/opt/libexec/ssh-keysign

/opt/sbin/sshd ---> le démon ssh

Qq infos prises ici:

http://www.labo-linux.org/articles-fr/mise...-le-serveur-ssh

Les modifs que g apportées au fichier /opt/etc/openssh/sshd_config :

Protocol 2 --> je ne veux que le protocole 2 (pas le 1)

ServerKeyBits 1024 --> je veux du cryptage 1024 bits

PermitRootLogin yes --> je me log en root

PubkeyAuthentication yes

AuthorizedKeysFile /root/.ssh/authorized_keys ---> les differentes cles publiques sont stockees dans ce fichier

IgnoreRhosts yes

PasswordAuthentication no ---> la saisie du password au clavier est impossible (mode non nteractif) - seul l'authentification par cle privee est possible

Subsystem sftp /opt/libexec/sftp-server ---> le serveur sftp qui se lance tout seul lorsqu'un client sftp se connecte (exemple winscp)

Ensuite je cree ma paire de cle :

ssh-keygen -t rsa -b 1024 -f /root/.ssh/id_rsa ---> cree les cles privee et publique RSA (je n'utilise que le RSA) - je ne saisi pas de passphrase car je veux pas etre interrompu pendant la phase de login - le passphrase est un mot de passe appliquée à la clé

mise en place des droits :

chmod 600 /root/.ssh/id_rsa.pub /root/.ssh/id_rsa

rajout de la cle publique dans authorized_keys :

cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

droits sur authorized_keys :

chmod 400 /root/.ssh/authorized_keys

killer le serveur sshd :

killall sshd

relancer le server sshd :

/opt/etc/init.d/S40sshd

Récupération de la clé privée du NAS vers Windows

--Sous windows : Avec telnet (putty par exemple) recopier /root/.ssh/id_rsa vers le répertoire /volume1/public :

cp /root/.ssh/id_rsa /volume1/public

--Sous windows, dans l'explorateur, se connecter au partage "public" du NAS

et copier id_rsa vers le disk dur local (exemple : d:\id_rsa)

****************************Maintenant on passe a winscp

nom d'hote : root@NAS250

root est le login de la personne qui se log sur le NAS (le compte qui se log doit exister sur le NAS)

NAS250 est le nom NETBIOS de mon serveur NAS

SAISIR N° de port : 22

SAISIR fichier de clé privée : d:\id_rsa.ppk ( ATTENTION format ppk )

Ici, il y a une difficulté :

il faut transformer la cle privee d:\id_rsa, en format ppk, en le passant à la moulinette puttygen.exe

Passage à la moulinette puttygen.exe :

lancer puttygen.exe (inclus dans winscp)

menu Conversions ---> Import key

choisir le fichier d:\id_rsa dans son disk dur

key comment : permet la saisie d'un commentaire (non obligatoire)

menu File --> save private key

saisir le nom du fichier au format ppk : par exemple id_rsa.ppk (ppk est rajouté automatiquement par puttygen.exe)

CLIQUER sur connecter

l'authentification commence (chez moi elle dure 5 secondes)

aucun mot de passe n'est demandé (car je n'ai pas mis de passphrase lors de la création des clés)

WinSCP apparaît ENFIN..... ouf .....

voila, j'ai galéré plusieurs jours pour y arriver, merci à tous ceux qui m'ont aidé en particulier team94

ce petit tutoriel servira à plusieurs, j'en suis persuadé.

@+

Trop fort kiko

[team94]

dis mois kiko g une question : je sais pas si tu peut m'aider ?

lorsque je crée des utilisateurs par l'interface web du syno il ne peuvent pas se connecter en ssh

est ce normal ?

si ca l'est, comment crée des utilisateurs pour qu'il puisse acceder a tel ou tel répertoire en ssh ?

merci d'avance

[kiko26]

lorsque je crée des utilisateurs par l'interface web du syno il ne peuvent pas se connecter en ssh

est ce normal ?

si ca l'est, comment crée des utilisateurs pour qu'il puisse acceder a tel ou tel répertoire en ssh ?

C'est la question surlaquelle je suis entrain de bosser, et j'espère trouver rapidement la solution car moi aussi g tous mes potes qui se connectent en ftp et j'aimerai bien qu'ils le fassent en sftp.

Je te tiens au courant ici même dès que j'aurai trouvé comment faire.

@+

[team94]

C'est la question surlaquelle je suis entrain de bosser, et j'espère trouver rapidement la solution car moi aussi g tous mes potes qui se connectent en ftp et j'aimerai bien qu'ils le fassent en sftp.

Je te tiens au courant ici même dès que j'aurai trouvé comment faire.

@+

ok merci !

[team94]

J'ai trouver un truc : en se connectant en root en telnet tu tape :

adduser le_nom_de_ton_utilisateur -h /volume1/public

ce kil y a aprés le -h c'est le repertoire dans lequel tu veut que ton utilisateur arrive

et la il te demande le mots de passe pour l'utilisateur et aprés ca marche en se connectant en ssh par cet utilisateur c cool

par contre je voudrait que l'utilisateur ne puisse pas quitter le repertoire dans lequel il est ( ne pas remonter jusqu'a la racine ) et la je seche si tu a une idée.

petit a petit on avance on va y arrivée A+

[kiko26]

salut

je ne t'ai pas répondu tout de suite car je travaillais dessus mais je n'ai pas encore fini !

comme tu es pressé, voici mes premières trouvailles :

exemple avec paul qui existe deja dans le NAS, donc qui est deja present dans /etc/password, donc il ne faut surtout pas faire :

adduser le_nom_de_ton_utilisateur -h /volume1/public

se logger en root

NAS250> mkdir /home

NAS250> mkdir /home/paul

NAS250> mkdir /home/paul/.ssh

NAS250> chown paul /home/paul

modif /etc/password avec vi :

mettre :

paul:x:1027:100::/home/paul:/bin/sh

au lieu de :

paul:x:1027:100::/:/bin/csh

se logger en paul

su paul

$ ssh-keygen -t rsa -b 1024 -f /home/paul/.ssh/cle-publique-paul@NAS250

Generating public/private rsa key pair.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/paul/.ssh/cle-publique-paul@NAS250.

Your public key has been saved in /home/paul/.ssh/cle-publique-paul@NAS250.pub.

The key fingerprint is:

f8:8e:e9:d1:6b:4c::ff:b4:21:cd:1e:dd:4d:23:7c paul@NAS250

$

je renomme les cles

NAS250> mv /home/paul/.ssh/cle-publique-paul@NAS250 /home/paul/.ssh/cle-privee-paul@NAS250

NAS250> chmod 600 /home/paul/.ssh/cle-privee-paul@NAS250

NAS250> cat /home/paul/.ssh/cle-publique-paul@NAS250.pub >> /home/paul/.ssh/authorized_keys

NAS250> chmod 400 /home/paul/.ssh/authorized_keys

se logger en root

NAS250> ll /home/paul/.ssh/

drwxr-xr-x 3 paul root 1024 Aug 20 11:03 .

drwxr-xr-x 3 root root 1024 Aug 20 10:53 ..

-r-------- 1 root root 221 Aug 20 11:03 authorized_keys

-rw------- 1 root root 883 Aug 20 10:59 cle-privee-paul@NAS250

-rw-r--r-- 1 root root 221 Aug 20 10:59 cle-publique-paul@NAS250.pub

NAS250>killall sshd

NAS250>/opt/etc/init.d/S40sshd

Récupération de la clé privée de paul du NAS vers Windows

cp /home/paul/.ssh/cle-privee-paul@NAS250 /volume1/public

--Sous windows, dans l'explorateur, se connecter au partage "public" du NAS

et copier cle-privee-paul@NAS250 vers le disk dur local (exemple : d:\cle-privee-paul@NAS250)

****************************Maintenant on passe a winscp

nom d'hote : paul@NAS250

paul est le login de la personne qui se log sur le NAS (le compte qui se log doit exister sur le NAS)

NAS250 est le nom NETBIOS de mon serveur NAS

SAISIR N° de port : 22

SAISIR fichier de clé privée : d:\cle-privee-paul@NAS250.ppk ( ATTENTION format ppk )

Ici, il y a une difficulté :

il faut transformer la cle privee d:\cle-privee-paul@NAS250, en format ppk, en le passant à la moulinette puttygen.exe

Passage à la moulinette puttygen.exe :

lancer puttygen.exe (inclus dans winscp)

menu Conversions ---> Import key

choisir le fichier d:\cle-privee-paul@NAS250 dans son disk dur

key comment : permet la saisie d'un commentaire (non obligatoire) (j'ai mis "cle-privee-paul")

menu File --> save private key

saisir le nom du fichier au format ppk : par exemple cle-privee-paul@NAS250.ppk (ppk est rajouté automatiquement par puttygen.exe)

CLIQUER sur connecter, ça marche

LE PROBLEME, C'EST QUE paul VOIT TOUT, ABSOLUMENT TOUT ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !

j'en suis là et je continue mes recherches.

@+

[vraaal]

LE PROBLEME, C'EST QUE paul VOIT TOUT, ABSOLUMENT TOUT ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !

Salut Kiko, et merci pour les instrunctions!

J'ai eu le même problème avec openssh sftp et Cygwin. Peut-être vous pourriez modifier et appliquer la même solution: http://chrootssh.sourceforge.net/index.php?node=docs

[kiko26]

Bonsoir à tous,

apparemment, il faut faire du chroot su ssh, et vraaal a confirmé

voici un sujet que j'ai lancé ily a qq jours pour avoir des précisions :

http://www.commentcamarche.net/forum/affic...pour-users-sftp

ca aidera peut etre ceux qui cherchent dans cette direction.

pour ma part, c un peu trop compliqué pour moi, je patienterai jusqu'à ce qu'un tuto soit dispo, sinon tant pis.

merci à tous pour vos contribs.

@+

[Neobugs]

LE PROBLEME, C'EST QUE paul VOIT TOUT, ABSOLUMENT TOUT ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !

j'en suis là et je continue mes recherches.

@+

Pkoi ne pas mettre l'utilisateur dans un groupe Friends par exemple, et ne lui donner les droits de rwx que dans son home ?

[kiko26]

Bonsoir à tous,

finalement, je n'ai pas abandonné mes recherches, alors voila, je vous propose une solution.

Commencez par lire le document pdf que je viens de poster ici :

http://www.nas-forum.com/forum/index.php?showtopic=483

Ensuite, je dois dire que je rencontre 2 problèmes, et peut être que qqun pourra m'aider.

Pb1 :

Lorsque j'applique la méthode d'un pc qui est sur le même réseau que le NAS, ça fonctionne.

Lorsque je passe par internet, la connexion FTP ne se fait pas. Mystère ...

Pb2 :

Lorsque je paramètre le transfert FTP en mode passif, ça fonctionne. Sinon non.

Cela dit, en mode passif, je peux tout faire (RWX), si j'en ai les droits bien sûr.

Voila, en espérant que cette doc ne comporte pas d'erreur et qu'elle vous rende service.

En tout cas, j'ai réussi à faire ce que je voulai :

Se connecter au NAS en FTP :

- de manière crypté

- de manière sécurisée

- ne voir que ce qu'on a le droit de voir

Question supplémentaire :

Après avoir appliqué cette méthode, peut-on, désactiver telnet, afin qu'il ne reste que le port 22 d'ouvert sur le NAS ?

Comment empécher les users de se connecter en FTP par la méthode standard, c'est à dire que je voudrais qu'il se connecte en FTP uniquement par leur clef privée ? (donc il faut désactiver le port 21, mais alors là ma méthode ne fonctionne plus)

tcp_wrappers ????

Compléments :

Vérif des logs de connexion FTP dans la console d'admin.

Dans les 2 cas, je me connecte au serveur FTP depuis 192.168.0.10

Connexion FTP normale

Preuve que je ne suis pas passé par SSH, car mon ip d'origine apparait dans les log

FTP client [paul] from [192.168.0.10] logged in through FTP

Connexion FTP par le tunnel SSH

Preuve que je suis passé par le tunnel SSH, car l'IP du NAS est 192.168.0.253, et c'est bien cette IP là qui s'est connectée au serveur FTP, et non pas 192.168.0.10

FTP client [paul] from [192.168.0.253] logged in through FTP

merci à tous

[Radibux]

Est-il possible de faire du SSL?

[Tof]

Est-il possible de faire du SSL?

Quel est ton but ?

il me semble que ssl est seulement un protocode pour chiffrer et authentifier, sur lequel peuvent d'appuyer des logiciels (serveur web, openvpn, wget...)

il n'a pas d'utilitaires connexes (comme avec SSH) pour du transfert de fichier, du transfert de port, etc.

le package openssl est installé avec le bootstrap