login incorrect pour les users créés (accéder à des partitions) - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 27-01-2016 à 18:14:49
Bonjour tu ne donne pas de fichier de config ou sorties d'erreur un ne peut donc pas t'aider
Si c'est juste pour toi et tes fréres a quoi bon ce casser la téte,
- tu fais des comptes d'utilisateur linux pour ta famille,
- tous dans le groupe famille(par exemple)
- tu leurs assigne comme shell "rssh" comme ça il ne pourront rien faire de plus que du transfère de fichier.
- Dans ssh tu le config en
protocole 2
PermitRootLogin no
- Le dossier de partage en root:famille 770
- Puis pour ce connecter il faut le faire avec par exemple filezilla en mode SFTP (et non pas FTP)
PS : attention aux autorisation de lectures et écritures tout comme le mask du dossier ...
PPS : pour un nas regarde le protocole dlna c'est trés simpa (minidlna) comme ça tu peux partager les média avec les tv, téléphones portables etc ...
Marsh Posté le 28-01-2016 à 16:09:12
Merci norihiori pour ta réponse !
Citation : tu leurs assigne comme shell "rssh" comme ça il ne pourront rien faire de plus que du transfère de fichier. |
Comment je fais ça ? Mais je ne sais pas si c'est nécessaire, ce sont des énormes billes avec linux, déjà que j'en suis une...
Sinon là je suis donc en train de regarder du coté de chmod, j'ai bon ? Je vais attribuer une partition par utilisateur, donc je ne crois pas que je vais utiliser de groupe. chmod 700 ?
Pas de dlna, ce que je veux c'est pouvoir backuper avec syncback et naviguer/gérer les dossiers avec filezilla, tout ça sous windows
Marsh Posté le 28-01-2016 à 16:50:38
Je viens d'essayer chmod -R u+rwx /media/pi/joe et aussi chmod -R 700 /media/pi/joe
Voici un screen de Filezilla :
Marsh Posté le 28-01-2016 à 17:13:13
Code :
|
Si ça répond pas, on pourra commencer à investiguer.
Marsh Posté le 28-01-2016 à 22:58:41
Un :
sftp -v user@192.168.0.21 |
sera certainement plus parlant.
Mais bon, login incorect, ça veut bien dire ce ce ça veut dire.
Par contre, y'a un truc que je comprends pas, t'essayes de te connecter en SFTP sur le port 21 ? Ton daemon SSH tourne sur le port 21 ?
Marsh Posté le 29-01-2016 à 09:19:17
J'essaye de me connecter en FTP. J'ai installé vsFTPd, c'est tout !
Voici ce que retourne la commande sftp -v joe@192.168.0.21
J'ai rentré le mot de passe, il est apparemment refusé
Marsh Posté le 29-01-2016 à 09:28:06
J'ai créé mon utilisateur en faisant useradd -b /media/pi/joe -p MDP joe (j'ai essayé avec -d au lieu de -b et aussi avec les 2 dans la même commande)
La partition joe existe déjà, et j'ai fait un chown -R joe /media/pi/joe
Marsh Posté le 29-01-2016 à 12:14:25
Que dit ton /var/log/auth.log (ou equivalent)? (sur le serveur, donc 192.168.0.21)
Marsh Posté le 29-01-2016 à 12:53:34
Tu peux faire
egrep "root|joe" /etc/passwd
stp? - on dirait que ton user joe a le uid 0 - vsftpd va probablement le refuser
Marsh Posté le 29-01-2016 à 14:12:46
Lt Ripley a écrit : J'ai créé mon utilisateur en faisant useradd -b /media/pi/joe -p MDP joe (j'ai essayé avec -d au lieu de -b et aussi avec les 2 dans la même commande) |
Ah, mais c'est normal que ça ne fonctionne pas, faut que tu chiffres le mot de passe avant de le renseigner avec -p :
Citation : $ man useradd |
$ apt install whois
$ mkpasswd tonmotdepasse
DFgez7DF7DF4SDG1
$ useradd -b /media/pi/user -p DFgez7DF7DF4SDG1 user
Tu peux aussi utiliser passwd :
passwd joe |
Marsh Posté le 29-01-2016 à 14:30:53
Merci fxt² ! Ça fonctionne ! ça fait 10 jours que je suis dessus
J'ai pris le plus facile :
Citation : passwd joe |
Merci à toutes les personnes qui m'ont épaulé !
J'ai appris plein de trucs
Marsh Posté le 29-01-2016 à 17:46:02
Pas de soucis !
Lt Ripley a écrit : J'essaye de me connecter en FTP. J'ai installé vsFTPd, c'est tout ! |
Ah ok, je pensais que tu voulais faire du SFTP (comme te l'a conseillé norihiori).
Si tu veux absolument utiliser le protocole FTP (syncbackfree & cobian n'étant apparament pas nativement compatible SFTP), je te conseille fortement de te renseigner sur le moyen de configurrer vsFTPd pour faire du FTPS (au moins pour l'authentification).
Marsh Posté le 29-01-2016 à 20:47:54
Du FTP ... Pourquoi ce compliquer la vie quand en 2sc tu as un SFTP sécurisé avec ssh, hors besoin de virtualisé les users je vois pas.
Mais bon temps que tu y arrive c'est cool
--- ---
On fut tous une bille un jour
Pour rssh il me semble que faut l'installer aprés tu peux le changer a la main dans le fichier /etc/passwd
dans la ligne : joe:x:1002:1002:media/pi/joe/:bin/bash
/bin/bash est l'interpréteur en ligne de commande
tu remplace par rssh
pour savoir où est le binaire de rssh tu peux faire $ whereis rssh
--- ---
Comme le dis tical2000, tu ne crée pas l'utilisateur avec son mot de passe
tu cré l'utilisateur et aprés tu lui assigne un mot de passe avec # passwd user
Marsh Posté le 29-01-2016 à 23:32:28
norihiori a écrit : Du FTP ... Pourquoi ce compliquer la vie quand en 2sc tu as un SFTP sécurisé avec ssh, hors besoin de virtualisé les users je vois pas. |
Ses clients vont apparemment utiliser deux logiciels qui ne supportent pas nativement le SFTP (syncbackfree et cobian), donc pour le coup, ça peut se comprendre.
Et puis, il a peut-être pas envie de s’embêter à leur apprendre comment bidouiller pour se connecter en SFTP.
Il aura aussi de meilleur performance en FTPS qu'en SFTP/SCP, mais ouais, je préfère aussi passer par du SFTP/SCP, ou encore mieux du SCP + HPN-SSH.
norihiori a écrit : On fut tous une bille un jour |
$ usermod -s /usr/bin/rssh joe
Marsh Posté le 30-01-2016 à 10:32:47
Ouais déjà si ça fonctionne, à mon niveau, c'est bien
Bon il faut que mes users ne voient que la partition que je veux leur dédier. Certes ils n'accèdent pas aux partitions dédiées aux autres users mais ils accèdent à la racine et c'est pas bon, une fausse manip et le système est en vrac.
Bon, je vais aussi zieuter un peu du coté RSSH...
Merci encore
Marsh Posté le 01-02-2016 à 06:53:41
Lt Ripley a écrit : (...)Bon il faut que mes users ne voient que la partition que je veux leur dédier. Certes ils n'accèdent pas aux partitions dédiées aux autres users mais ils accèdent à la racine et c'est pas bon, une fausse manip et le système est en vrac.(...) |
T'as réussi alors ? Ou t'as besoin d'un petit coup de main ?
Marsh Posté le 01-02-2016 à 10:55:19
Salut FxT²
Je n'ai pas eu le temps de bosser dessus. Mais je veux bien quelques pistes pour attaquer la chose parceque je n'ai aucune idée de comment y parvenir.
Là j'ai monté la partition joe dans /media car joe ne peux pas acceder à /media/pi/joe car pi ne lui appartient pas. Et je crois qu'il faut que j'insère une ligne ou deux dans fstab pour que le montage se fasse au démarrage...
Marsh Posté le 01-02-2016 à 12:22:22
tical2000 il peuvent voir la racine mais pas y toucher c'est pas dans leurs droits logiquement.
Si tu utilise ftp tu peut jail les comptes.
Pour les droit de PI il doivent avoir rx (lire et exécuter), c'est le minimum pour ouvrir un dossier
donc pi/ = root:root drwxr-xr-x
ou = root:users drwxr-x---
et pi/joe = joe:users drwx------
Marsh Posté le 01-02-2016 à 13:50:32
ssh (sftp) permet aussi de faire un chroot -> ce qui a l'avantage d'encrypter le flux.
http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/
Marsh Posté le 01-02-2016 à 14:54:20
Lt Ripley a écrit : Salut FxT² |
Salut !
Apparament, c'est plutôt simple,
$ echo "/dev/null" >> /etc/shells
$ usermod -s /dev/null joe
et tu rajoutes/changes/décomentes (fait une recherche avec ton éditeur) dans /etc/vsftpd.conf :
write_enable=YES |
Et pour activer SSL :
ssl_enable=YES |
Ce qui donne sur Debian 8 avec vsftpd 3.0.2-17:
listen=NO |
Marsh Posté le 01-02-2016 à 15:13:29
Par cetif SSL auto signé ... Tout ça pour un ftp maison ... C'est ridicule =D
+1 Ktulu, chroot c'est la vie !
Marsh Posté le 01-02-2016 à 15:17:47
FxT² a écrit : Salut ! |
Attention avec cette commande... Elle est tres variable selon l'OS: par exemple en Solaris c'est la liste de tous les shells legaux sur le systeme. Il existe une liste par defaut et /etc/shells n'existe pas, donc la commande au-dessus n'est pas vraiment a recommander. Je parle de vecu
Marsh Posté le 01-02-2016 à 15:19:41
norihiori a écrit : Par cetif SSL auto signé ... Tout ça pour un ftp maison ... C'est ridicule =D |
Son serveur est peut-etre en Wifi... Je ne vois pas pourquoi vouloir de l'encryption est ridicule en fait...
Je suis plutot partisan du contraire: ne pas vouloir d'encryption a notre epoque est plutot risque.
Marsh Posté le 01-02-2016 à 15:19:41
ReplyMarsh Posté le 01-02-2016 à 15:20:54
ReplyMarsh Posté le 01-02-2016 à 15:37:57
Clairement, spécialement quand la seule chose à faire pour l'activer est de changer "ssl_enable=NO" par "ssl_enable=YES" (le certificat auto-signé snakeoil étant normalment généré aprés l'instalation de ssl-cert)
Et comme dit plus haut, sont FTP sera "accessible par internet", donc y'a pas vraiment moyen de savoir si ses clients se connecteront d'un endroit qu'on pourait qualifier de "sûr" (si ça existe vraiment ).
Du coup, autant éviter de faire passer les comptes/mots de passe en clair.
Marsh Posté le 01-02-2016 à 16:17:19
Ha oui c'est sur que l'autosigné c'est sécure hein ...
Arrêtez les mec si c'est accessible par internet faut qu'il fasse signer ça par une autorité de certification sinon c'est comme pisser dans un violon !
On est clairement dans une vue ou utiliser ssh/sftp sans mot de passe mais avec clé est bien plus safe sur tout vu ses compétences perso. Avec cette technique je vous rappel qu'un MITM est possible qu'a la 1ere connexion de l'utilisateur puis plus jamais.
Vous lui conseillez quoi après ? Un ACCEPT en I/O sur son iptables ? =D
Ou on reste quand même sur du DROP ...
Marsh Posté le 01-02-2016 à 16:36:25
Je t'assure que ça ne mérite pas que tu t'énerves.
On est d'accord qu'un certificat auto-signé, c'est vraiment pas génial, mais c'est déjà mieux que rien et on est aussi d'accord sur le fait que du SFTP en public key only serait beaucoup plus safe.
Mais c'est pas ce qu'il demande, s'il veut du FTP/FTPS, qu'il fasse du FTP/FTPS. Personnellement, ce n'est pas ce que je ferais, mais osef, ce n'est pas le sujet, c'est son serveur, il fait ce qu'il veut.
Et puis quand il sera un peu plus à l'aise avec linux, il passera certainement sur autre chose.
Marsh Posté le 01-02-2016 à 16:42:28
Je ne m'énerve pas (officiellement)
Mais bon vu les risque légaux et de fishing je ne sais pas si il faut le laisser faire sans le prévenir un minimum quoi ...
Aprés si il connais les risques et qu'il en osef pas de probléme hein ...
Il y a des certif classe un (...) gratis si il veut, alors pourquoi prendre des risques (je ne sais pas si il en a de gratis en class 2) :
https://www.startssl.com/
Marsh Posté le 01-02-2016 à 17:15:26
Ouaip, c'est vrai qu'à terme, c'est quelque chose qu'il devrait faire (ça implique aussi qu'il achète un nom de domaine, mais bon, vu le prix).
Mais en gros, Je suis totalement en accord avec les propositions que t'as faites lors de ton permier post, je ne voulais simplement pas conditioner mon aide au fait qu'il fasse comme j'aimerais qu'il fasse.
Marsh Posté le 01-02-2016 à 17:19:18
Ha mais toi aussi t'as raison, il y a rien de plus chiant qu'un mec comme moi quand tu viens juste poser une petite question à la cool
Marsh Posté le 02-02-2016 à 08:08:52
norihiori a écrit : Ha oui c'est sur que l'autosigné c'est sécure hein ... |
Peux-tu developper stp?
Marsh Posté le 02-02-2016 à 10:45:46
Un certif auto-signé n'est pas vérifiable, même par celui qui le génére, tu ne vas pas t'amuser a comparer les public key avant de valider la connexion a un site web et donc tu n'as aucun moyen de savoir si la communication n'est pas intercepté. Si la clé vient a changer en cours de navigation la connexion est toujours autorisé ...
On peut ce poser la question de SSH qui lui utilise toujours des certif auto-signé, mais lors d'une première utilisation tu vérifie la clé puis accepte la connexion, si par la suite la clé vient a changer la connexion est rejeté.
---
Métons le "pire des cas", tu utilise un service qui permet la gestion des comptes ftp, lors de l'utilisation de ton service en HTTPS auto-signé tu subit un MITM et bien sur tu ne peut pas t'en rendre compte, il y a probablement un paquet de failles potentiel. Le mec ce connecte ensuite au ftp et la t'as un paquet de failles potentiel aussi. Etc ...
---
Dans un cadre local je dis pas, l'auto-signé c'est parfait, on a même pas forcément besoin si on a pas le wifi et encore.
Mais la son ftp il va étre accessible de l’extérieur, par des app probablement bidon et a un moment il y en a un qui voudra que les photo de tata machin puissent étre accessible a tonton et mamie machin et c'est la que la merde arrive encore plus.
Je ne retrouve plus le texte recherché mais ça ce rapproche de celui la :
L.336-3 du Code de la propriété intellectuelle
« La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu'elle est requise ».
article L.335-7-1 du Code de la propriété intellectuelle
« ... le titulaire d’un abonnement à internet peut voir sa responsabilité pénale engagée au titre de la contravention de négligence caractérisée ... ».
En gros si on utilise ton installation a des fin discutable, pédophilie, téléchargement illégale, DDOS, etc ...
Tu peux avoir ta responsabilité pénale engagée. Alors ok il y a peu de chance, mais je n'irais pas tenter le coup =D
Marsh Posté le 19-01-2016 à 23:15:21
Bonjour à tous
Je suis en train de faire un serveur de fichier pour mes frères et moi, accessible par internet (avec syncbackfree, cobian et filezilla sous windows), avec un raspberry sur lequel j'ai déjà installé raspbian.
Je suis parvenu à faire fonctionner niquel les logiciels que j'ai cité ci dessus, j'utilisai l'utilisateur pi et son MDP, mais ça ne fonctionne pas avec les users que je crée.
dès que je crée un utilisateur virtuel plus rien ne fonctionne. Voici le tuto que j'ai suivi : http://doc.frapp.fr/doku.php?id=ma [...] erveur:ftp En finalité il ne me semble pas clair, je n'y comprends rien dès que j'arrive aux utilisateurs virtuels. J'ai éffectué toutes les commandes et elles fonctionnent jusqu'au "ftp localhost" qui ne fonctionne pas, il me retourne un "login incorrect", tout comme filezilla et mes softs de backup cité plus hautSi vous pouvez m'indiquer comment faire je vous serai reconnaissant.
Ce que je veux faire c'est attribuer une partition d'un disque à chaque utilisateur (on sera 4 ou 5 en tout)
Merci
Message édité par Lt Ripley le 28-01-2016 à 17:51:16