SSH
SFTP / Chroot d'utilisateur
Pour avoir des utilisateurs limités à faire du SFTP dans leur home sur un serveur, il faut :
- Editer le fichier /etc/ssh/sshd_config :
- ajouter à la fin :
Match group sftponly ChrootDirectory %h X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp
- Relancer le service ssh :
service ssh restart
- Ajouter le groupe Unix sftponly :
addgroup sftponly
- Ajouter les utilisateurs à limiter dedans :
adduser [user] sftponly
Il existe une contrainte importante : le home de l'utilisateur doit appartenir à
root:root avec des droits a=r+x (0755 par exemple) sinon le daemon SSHd refusera les connexions.
L'utilisateur peut tout de même avoir un shell valide, mais il n'aura alors la possibilité de l'utiliser que localement. Si cela n'est pas nécessaire, vous pouvez remplacer son shell par une valeur bidon, par exemple
/sbin/nologin.