Outils du site

Outils pour utilisateurs


Panneau latéral

P2PFR:Wiki

documentation:linux:serveur-sftp (lu 305 fois)

Mise en place d'un serveur SFTP

Un accès SFTP est un moyen simple pour un utilisateur de rappatrier et envoyer des fichiers sur un serveur, au moyen d'un client SFTP tel que Filezilla.

Un serveur SFTP est en fait un sous-ensemble de SSH.

Configuration openssh

ssh est un outil formidable :

  • Renseignez des aliases dans ~/.ssh/config, plutôt que dans le fichier /etc/hosts, pour vous connecter à vos machines. Vous pourrez ainsi indiquer quel port la connexion doit utiliser.
  • Utilisez des clés d'authentification plutôt que des mots de passe pour vous connecter aux machines. C'est plus simple et plus sûr.

Histoires de droits d'utilisateurs

Si l'on donne accès SSH à des utilisateurs, on préfererait qu'ils ne soient pas trop curieux ou n'aient pas trop de possibilités de nuire au serveur.

Il existe des solutions de chroot et de jail, mais leur mise en oeuvre est assez rebutante.

On peut aussi restreindre simplement l'accès SSH à du sftp-only dans la config d'openssh, mais on perd alors la possibilité d'utiliser le shell.

Limiter les accès aux répertoires

Si c'est le fait que la personne puisse se balader dans l'arborescence qui dérange. Sans avoir recours à un chroot, on peut procéder ainsi :

  • Ajuster les droits appropriés sur les répertoires qui ne doivent pas être consultés (chmod go-rx $rep)
  • Faites rejoindre vos utilisateurs à un groupe commun. Un peu fastidieux de trouver la bonne recette quand on y est peu habitué (quel utilisateur doit rejoindre quel groupe ? aura t-on besoin de chgrp ensuite ?)
  • Réajustez à ce groupe commun un umask du type 0027 pour que les utilisateurs «others» ne puissent pas consulter/écrire sur les fichiers.

Faciliter l'accès à un répertoire

Lorsqu'on se connecte via sftp, on arrive dans son $HOME.

Si les fichiers qui nous intéressent sont déjà dans notre $HOME, tout va bien.

S'ils sont situés ailleurs, par exemple sur une autre partition, alors le réflexe pourrait être d'utiliser un lien symbolique, mais abstenez-vous : lorsque la personne circulera au sein de ces répertoires, elle ne retrouvera pas son $HOME lorsqu'elle revient en arrière.

La solution est plutôt de faire un montage de type bind.

/etc/fstab
/mnt/local/tresor/ /home/bichounet/macaverne    none    defaults,bind   0 0
documentation/linux/serveur-sftp.txt · Dernière modification: le 17/10/2017 à 19h44 par 111110101011