• cemoi
  • MSS Professional
  • Offline
  • Registered: 2008-11-12
  • Posts: 53

Topic: bloquer connexions passant par console via ssh quand le shell est bash

Bonjour,
suite à mon post précédent ( http://mysecureshell.free.fr/forum/viewtopic.php?id=123 ) j'ai été obligé de mettre bash comme shell mais cela cause un problème de taille car cela lui donne le droit de se connecter vai la console et de se balader dans le serveur.... (j'ai bien dit en console).

C'est curieux dailleure... voila le sftp_config:

<Default>
GlobalDownload 10m
Home /home
StayAtHome true
IgnoreHidden true
Charset "iso-8859-1"
IdleTimeOut 50m
CanChangeTime false
DefaultRights 0775 0775
CanChangeRights false
HideFiles "^(lost\+found|www)$"
HideNoAccess true
LogFile /var/log/sftp/global.log
MaxOpenFilesForUser 12
MaxReadFilesForUser 12
MaxWriteFilesForUser 12
</Default>

<Group sftpbois>
LogFile /sftp/sftp_bois.log
Download 1m
Upload 0
LimitConnection 60
LimitConnectionByIP 10
</Group>

<User cemoi2>
LogFile /sftp/cemoi2.log
Shell /bin/bash
HideFiles "^(lost\+found|fredcol|agioo|cemoi|jmcussous|lolobenas|test|m$
</User>

Es que je dois gérer ça dans le profil bash de l'utilisateur? si oui de quelle manière?

Merci.

1 serveur dédié sous debian Lenny avec virtualisation sous openvz >>  carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater)             Have fun! ;)
  • teka
  • Administrator
  • Offline
  • From: France
  • Registered: 2007-11-18
  • Posts: 806

Re: bloquer connexions passant par console via ssh quand le shell est bash

Bonsoir,

Effectivement, une fois la connexion shell établie, il n'y a plus aucunes restrictions pour l'utilisateur...
Malheureusement si bash propose des restrictions basiques cela ne fait que de légèrement l'utilisateur.

A priori (je n'ai jamais tester personnellement), il suffit de mettre /bin/rbash pour avoir un bash en mode restriction...

  • cemoi
  • MSS Professional
  • Offline
  • Registered: 2008-11-12
  • Posts: 53

Re: bloquer connexions passant par console via ssh quand le shell est bash

teka wrote:

Bonsoir,

Effectivement, une fois la connexion shell établie, il n'y a plus aucunes restrictions pour l'utilisateur...
Malheureusement si bash propose des restrictions basiques cela ne fait que de légèrement l'utilisateur.

A priori (je n'ai jamais tester personnellement), il suffit de mettre /bin/rbash pour avoir un bash en mode restriction...

Salut,

cela pourai etre un debut de solution? >>

http://pagesperso-orange.fr/cspoires/li … hrestreint

C'est curieux de ne pas pouvoir limiter au niveau du profil bash de l'utilisateur... en fait le plus simple serai de tout bloquer et de mettre toutes les commandes qui vont bien dans le profil de l'utilisateur.

Mais pour quoi ne peut on pas faire du copier/coller sur le distant à travers Mysecureshell? Ce serai encore le mieux non?

Merci.

1 serveur dédié sous debian Lenny avec virtualisation sous openvz >>  carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater)             Have fun! ;)
  • teka
  • Administrator
  • Offline
  • From: France
  • Registered: 2007-11-18
  • Posts: 806

Re: bloquer connexions passant par console via ssh quand le shell est bash

Bonjour,

En fait, il serait possible d'ajouter cette fonctionnalité car c'est une extension officielle du protocol SFTP.

Mais à ce jour ni MySecureShell ni WinSCP ne propose cette extension.

Donc il y a du boulot pour tout le monde smile


PS: pour information, j'avais déjà une fois parler d'un peu de MySecureShell au développeur WinSCP et on avait ajouter une extension SFTP chaqu'un de notre côté (clique droit sur un fichier pour avoir une MD5).

  • cemoi
  • MSS Professional
  • Offline
  • Registered: 2008-11-12
  • Posts: 53

Re: bloquer connexions passant par console via ssh quand le shell est bash

teka wrote:

Bonjour,

En fait, il serait possible d'ajouter cette fonctionnalité car c'est une extension officielle du protocol SFTP.

Mais à ce jour ni MySecureShell ni WinSCP ne propose cette extension.

Donc il y a du boulot pour tout le monde smile


PS: pour information, j'avais déjà une fois parler d'un peu de MySecureShell au développeur WinSCP et on avait ajouter une extension SFTP chaqu'un de notre côté (clique droit sur un fichier pour avoir une MD5).

A ok ok effectivement... Peut être que c'est le genre de chose faisable pendnat la période des RMLL si il y a des dev de chacun d'entre vous? (winscp et mysecureshell donc) vous y serai?... J' y serai big_smile mais je ne croie pas qu'il y aura winscp... du moins je n'ai pas vu il faudrai leur demander.

Merci pour les infos!

1 serveur dédié sous debian Lenny avec virtualisation sous openvz >>  carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater)             Have fun! ;)
  • teka
  • Administrator
  • Offline
  • From: France
  • Registered: 2007-11-18
  • Posts: 806

Re: bloquer connexions passant par console via ssh quand le shell est bash

Bah nous personnellement avec le boulot, il est peu probable...

Concernant le gars de WinSCP, il est habite à Prague donc bon smile

Pas de soucis.