Le 20/12/2013 11:15, JC PAROLA a écrit :
Le 19/12/2013 20:38, Jean-Yves LENHOF a écrit :
J'allais justement poser la question si c'était du SFTP ou SSH dont il y a besoin...
Peut-être que le mieux serait de poser la question des besoins avant de parler de la solution...
Quelles sont par ailleurs les contraintes, typiquement peux-tu installer n'importe quelle version d'Openssh ou non ? Suivant les versions on peut plus ou moins faire de choses...
Cdlt,
JYL
Je suis sur FreeBSD 9.1 et je peux donc installer *n'importe quelle version* d'Opensh.
J'avais effectivement entendu parlé d'un patch d'Openssh permettrant un chroot "propre".
en terme de contrainte, il faut que l'utilisateur ait accès aux commandes liée au filestystem (cp, mv ...), pouvoir utilisez également des binaires extrernes (tar, unzip, mysqldump).
outre cet aspect, j'avais une "problématique" supplémentaire lié au fait que mon serveur wed tourne en mod_php et que par conséquent il n'y a pas de user spécifique par hébergement.
De ce côté là, j'ai trouvé la solution en passant par du pam_mysql. Du coup je peux créer des users avec les même id que celui qui fait tourné apache.
Et je retombe sur mes pattes comme ça (une autre solution existe avec l'option -u de useradd)
Quelle version d'Openssh permettrait plus de choses ?
'lo,
Tu n'expliques toujours que le but de ce que tu voudrais mettre en place... Pas le problème initial (développement ? avec un framework ? à priori php... pourquoi avoir besoin de cp/mv/tar/zip/unzip, etc). Pourquoi le développeur a besoin d'un accès au serveur ? (de prod si je comprends bien) D'habitude les développeurs ont un petit apache/php en local, puis on intégre sur de la qualif avant de faire de la prod....
Bref...
Pour ma part, je trouve que ça commence à faire beaucoup de commandes autorisées pour un simple chroot... soit As-tu regardé à utiliser le répertoire ~/public_html avec l'utilisation du module UserDir d'apache qui permet de ne pas avoir à mapper ton utilisateur unix avec le même uid qu'apache et que chacun travailles avec son propre utilisateur ?
Concernant openssh, c'est juste que j'aime bien avoir les éléments... et si tu nous sortait une version 3.8 d'il y a 10 ans c'est plus chiant de faire qq chose de propre...
Cdlt,