Outils du site

Outils pour utilisateurs


documentation:linux:serveur-sftp (lu 2276 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
documentation:linux:serveur-sftp [le 25/01/2017 à 13h53]
111110101011 [Limiter les accès aux répertoires]
documentation:linux:serveur-sftp [le 07/11/2018 à 15h40] (Version actuelle)
111110101011 [Accès au SFTP avec Filezilla et authentification par clé SSH]
Ligne 9: Ligne 9:
 ssh est un outil formidable : ssh est un outil formidable :
  
-  * Renseignez des aliases dans sa config, plutôt que dans le fichier hosts, pour vous connecter à vos machines. Vous pourrez ainsi indiquer quel port la connexion doit utiliser.+  * Renseignez des aliases dans ''~/.ssh/config'', plutôt que dans le fichier ''/etc/hosts'', pour vous connecter à vos machines. Vous pourrez ainsi indiquer quel port la connexion doit utiliser.
   * Utilisez des clés d'authentification plutôt que des mots de passe pour vous connecter aux machines. C'est plus simple et plus sûr.   * Utilisez des clés d'authentification plutôt que des mots de passe pour vous connecter aux machines. C'est plus simple et plus sûr.
  
Ligne 16: Ligne 16:
 Si l'on donne accès SSH à des utilisateurs, on préfererait qu'ils ne soient pas trop curieux ou n'aient pas trop de possibilités de nuire au serveur. Si l'on donne accès SSH à des utilisateurs, on préfererait qu'ils ne soient pas trop curieux ou n'aient pas trop de possibilités de nuire au serveur.
  
-Il existe des solutions de chroot et de jail, mais leur mise en oeuvre m'a un peu rebuté.+Il existe des solutions de chroot et de jail, mais leur mise en oeuvre est assez rebutante.
  
 On peut aussi restreindre simplement l'accès SSH à du sftp-only dans la config d'openssh, mais on perd alors la possibilité d'utiliser le shell. On peut aussi restreindre simplement l'accès SSH à du sftp-only dans la config d'openssh, mais on perd alors la possibilité d'utiliser le shell.
Ligne 26: Ligne 26:
 Si c'est le fait que la personne puisse se balader dans l'arborescence qui dérange. Sans avoir recours à un chroot, on peut procéder ainsi : Si c'est le fait que la personne puisse se balader dans l'arborescence qui dérange. Sans avoir recours à un chroot, on peut procéder ainsi :
  
-  * Ajuster les droits appropriés sur les répertoires qui ne doivent pas être consultés (chmod go-rx $rep)+  * Ajuster les droits appropriés sur les répertoires qui ne doivent pas être consultés (''chmod go-rx $rep'')
   * Faites rejoindre vos utilisateurs à un groupe commun. Un peu fastidieux de trouver la bonne recette quand on y est peu habitué (quel utilisateur doit rejoindre quel groupe ? aura t-on besoin de chgrp ensuite ?)   * Faites rejoindre vos utilisateurs à un groupe commun. Un peu fastidieux de trouver la bonne recette quand on y est peu habitué (quel utilisateur doit rejoindre quel groupe ? aura t-on besoin de chgrp ensuite ?)
   * Réajustez à ce groupe commun un umask du type 0027 pour que les utilisateurs «others» ne puissent pas consulter/écrire sur les fichiers.   * Réajustez à ce groupe commun un umask du type 0027 pour que les utilisateurs «others» ne puissent pas consulter/écrire sur les fichiers.
Ligne 44: Ligne 44:
 </file> </file>
  
 +===== Accès au SFTP avec Filezilla et authentification par clé SSH =====
  
 +On peut utiliser Filezilla pour se connecter à un serveur SFTP/SSH. Une autre solution serait d'utiliser sshfs (FUSE), que je trouve d'ailleurs plus pratique, mais que je trouve moins réactive que la solution qui suit sur des connexions à faible débit. Filezilla a aussi l'avantage de tourner aussi sous Windows, ce qui n'est pas le cas de sshfs.
  
 +On peut utiliser un mot de passe pour l'authentification, ou bien sa clé SSH, c'est ce que l'on verra ci-dessous.
  
 +==== Indiquer la clé privée SSH à Filezilla ====
 +
 +Filezilla a besoin de connaître le chemin de votre clé privée SSH (généralement ~/.ssh/id_rsa). Elle se renseigne dans le menu Edition > Paramètres > SFTP. Ajoutez votre clé privée, elle devrait apparaître parmi le lot de clés disponibles pour Filezilla.
 +
 +==== Ajouter le serveur au Gestionnaire de Sites ====
 +
 +Dans le «Gestionnaire de sites» de Filezilla, vous ajouterez les coordonnées du serveur, et choisirez une connexion "Normale", en indiquant l'identifiant.
 +
 +==== S'assurer qu'un agent ssh tourne en parallèle de Filezilla ====
 +
 +En plus de cela, vous devrez avoir un agent SSH qui tourne sur votre machine. Il ne suffit pas de lancer l'agent SSH, il faut que votre shell intègre et exporte un certain nombre de variables.
 +
 +Avec bash, cela se fait bien avec :
 +
 +<code>
 +eval $(ssh-agent -s)
 +</code>
 +
 +==== Conclusion ====
 +
 +Cela étant fait, vous pouvez lancer Filezilla, et tenter la connexion.
 +
 +Si la description ci-dessus ne colle pas avec votre situation, vous pouvez aussi consulter cette page du wiki Filezilla qui traite de la question : https://wiki.filezilla-project.org/Howto
 +
 +===== Liens =====
 +
 +  * https://debian-facile.org/doc:reseau:ssh:tp-sftp-via-openssh-server
 +  * https://yeuxdelibad.net/Journal/2018/10/Serveur_de_stockage_avec_sftp.html
  
  
documentation/linux/serveur-sftp.1485348794.txt.gz · Dernière modification: le 25/01/2017 à 13h53 de 111110101011