Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

ftp over ssh

marc2006

Bonjour,

on m'avait conseillé d'opter pour du ftp sur ssh plutôt que pour du ftp "simple" ( genre proftpd ). Mais j'aimerais savoir qui a déjà essayé ? Qui a un tuto ^^ ... car bon, déjà le fichier de configuration de sshd est difficile à comprendre ... *sifflote* 😃

Merci

pingou

man scp ?

pmarion

ftp via ssh s'appelle sftp.
Si sshd est activé sur une machine déjà serveur ssh, alors elle est aussi serveur sftp.
S'il existe déjà des clés publiques pour des login sans mot de passe, alors sftp utilise aussi les clés publiques.

Mais j'aimerais savoir qui a déjà essayé

Essayer ssh, c'est l'adopter
Essai sftp c'est l'adopter
Les essayer tous les deux c'est le bonheur.

marc2006

eeee oula :hammer:

j'aimerais mettre un serveur ftp sur ma machine, on m'a conseillé du faire du ftp over ssh, mais le ssh ne sera pas utilisé, enfin ca sera filezilla qui sera utilisé, j'utilise juste ssh pour la protection des données et le fait qu'il n'y est qu'1 port d'utilisé ... c'est pour ça que j'aimerais savoir si on pouvait dans la config de sshd n'autoriser qu'un groupe d'utilisateur ou 1 seul utilisateur et non pas tous les users de fedora !

Et ça serait parfais que l'on puisse utiliser mysql avec pour y mettre les utilisateurs :hammer: si vous avez une solution 😃

pmarion

j'utilise juste ssh pour la protection des données et le fait qu'il n'y est qu'1 port d'utilisé ...

Mais quel est donc ce port unique, je croyais (jusqu'à présent) que ssh utilisait un seul port pour l'init de la connexion puis des ports dynamiques pour les transactions.

filezilla est un client ftp ou sftp mais pas un serveur ftp/sftp ou alors tu veux parler de filezillaserver (qui ne tourne que sous window$ ou en bêta sous Linux). Mais pourquoi installer un filezillaserver sous Linux qui a déjà un grand nombre de serveurs ftp/sftp.

Pour autoriser/interdire des utilisateurs en ssh (donc en sftp)

man sshd_config wrote:DenyUsers
Ce mot-clef est suivi d'une liste de motifs de noms d'utilisateurs, séparés par des espaces. Les utilisateurs dont le nom correspond à un des motifs
ne sont pas autorisés à se connecter. Dans les motifs, on peut utiliser les caractères « * » et « ? » comme des jokers. On ne spécifie que des noms
d'utilisateurs ; les identifiants numériques d'utilisateurs ne sont pas autorisés. Par défaut, tous les utilisateurs sont autorisés à se connecter.
Si le motif est de la forme UTILISATEUR@MACHINE, UTILISATEUR et MACHINE sont vérifiés séparément, et la connexion est restreinte à certains utilisa-
teurs de certaines machines.

nouvo09

marc2006 wrote:Bonjour,

on m'avait conseillé d'opter pour du ftp sur ssh plutôt que pour du ftp "simple" ( genre proftpd ). Mais j'aimerais savoir qui a déjà essayé ? Qui a un tuto ^^ ... car bon, déjà le fichier de configuration de sshd est difficile à comprendre ... *sifflote* 😃

Merci

Regarde le tuto de vsftpd si c'est bien un serveur que tu veux installer. Si mes souvenirs sont exacts (?) si ssh est installé sur ta machine, il accepte les connexions au protocole sftp.

pmarion

nouv09 wrote:Si mes souvenirs sont exacts (?) si ssh est installé sur ta machine, il accepte les connexions au protocole sftp.

Mais bien sûr, la ligne suivante
Subsystem sftp /usr/libexec/openssh/sftp-server
est présente par défaut, mais on peut la supprimer/commenter
Mais encore une fois, je ne vois pas pourquoi se passer de sftp

marc2006

je sais que filezilla est un client ftp/sftp .. sous f10, j'avais configuré sshd et j'avais crée un utilisateur test dans un répertoire /mnt/WinXP et avec filezilla, je créais un "site" en mettant sftp dans protocole ... et ça marchait. Le port est 22 par défaut mais j'ai changé ...

voilà la config de sshd :

#    $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

Port XXXX
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 2
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile    .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
PermitEmptyPasswords no
PasswordAuthentication yes

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing, 
# and session processing. If this is enabled, PAM authentication will 
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no
UsePAM yes

# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE

#AllowAgentForwarding yes
AllowTcpForwarding no
#GatewayPorts no
#X11Forwarding no
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem    sftp    /usr/libexec/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#    X11Forwarding no
#    AllowTcpForwarding no
#    ForceCommand cvs server

donc ce que j'aimerais faire : n'autoriser que l'utilisateur test ! Donc tous les autres seront refusés .... et si ma config est bonne, sécurisée .. comme ça ou s'il y a des choses à modifier ?!

Merci

pmarion

Voila, je vous donne ma configuration (sans balise <code>) et débrouillez vous avec cela.
Essaie aussi de ne pas mettre les lignes commençant par un '#' car même si tu les conserves (à juste titre) dans ton fichiers, elles ne facilitent pas la lecture de ta configuration.
La première chose que je cherche est un
AllowUsers
ou un
DenyUsers
Mais je n'en trouve pas et je commence à désespérer.

Tu as gardé la ligne «Subsystem .....» dois -je en déduire que tu veux faire du sftp avec sshd .

Tu n'as toujours pas répondu à propos du port unique de ssh

pingou

tu connais winscp ?

marc2006

pmarion wrote:Voila, je vous donne ma configuration (sans balise <code>) et débrouillez vous avec cela.
Essaie aussi de ne pas mettre les lignes commençant par un '#' car même si tu les conserves (à juste titre) dans ton fichiers, elles ne facilitent pas la lecture de ta configuration.
La première chose que je cherche est un
AllowUsers
ou un
DenyUsers
Mais je n'en trouve pas et je commence à désespérer.

Tu as gardé la ligne «Subsystem .....» dois -je en déduire que tu veux faire du sftp avec sshd .

Tu n'as toujours pas répondu à propos du port unique de ssh

ben je sais jamais quand il faut utiliser code ou quote :hammer:

et si je t'ai répondu pour le port si tu pouvais te donner la peine de lire au lieu de me critiquer !

et oui, comme je l'ai dit au début c'est du sftp ! donc du ftp over ssh !

marc2006

pingou wrote:tu connais winscp ?

non, what is it :hammer: ?

pmarion

Le port est 22 par défaut mais j'ai changé ...

D'accord tu précises que tu l'as modifié, mais en quoi est-il unique, c'était cela le sens de ma question.
sftp utilise le port 22 (ou celui que tu as choisi) pour l'initialisation de la connexion, mais utilise des ports dynamiques par la suite comme ftp le fait avec le port 21 (ou un autre défini par la configuration du serveur ftp)

ben je sais jamais quand il faut utiliser code ou quote

Modifie ton post et change les balises et du verras la différence.

<code> ::= Police non proportionnelle (respecte les colonnes), pas d'autres interprétation de balises internes, barres d'ascenseur si nécessaire.
<quote> ::= Cadre mettant en valeur une citation, ou un court résultat.

marc2006

Message modifié 😉

Pour le port, on m'a dit qu'il n'utilisait QUE le port 22 pour tout ! Et sous f10, j'avais juste a rediriger le port 22 et ça marchait !

pmarion

Bien sûr, tu rediriges le port principal et c'est NECESSAIRE, mais cela ne veut pas dire que les autres ports (dynamiques) ne sont pas utilisés que ce soit avec F10, F11, FC4, Ubuntu, .... .
Utilise «tcpdump» si tu ne me crois pas.

marc2006

pmarion wrote:Bien sûr, tu rediriges le port principal et c'est NECESSAIRE, mais cela ne veut pas dire que les autres ports (dynamiques) ne sont pas utilisés que ce soit avec F10, F11, FC4, Ubuntu, .... .
Utilise «tcpdump» si tu ne me crois pas.

je n'ai redirigé que le port 22 ! C'était ça ta question :p

pmarion

Ma ~~question~~ précision est sur le fait que tu n'as qu'un port 22 (ou son remplaçant) mais que tu peux avoir plusieurs sessions ouvertes en même temps sans problème

tu wrote:j'utilise juste ssh pour la protection des données et le fait qu'il n'y est qu'1 port d'utilisé ...

J'avoue que je ne comprends toujours pas
- pour la protection des données
ni
- le fait qu'il n'y est qu'1 port d'utilisé

marc2006

ben avec un ftp "normal" genre proftpd, fallait rediriger plein de ports alors que là, je n'ai que le port défini dans la conf à rediriger !!

Et le ssh protège les données ==> chiffrement alors que les serveurs ftp non ! ( bon tu peux implanter tls mais bon bof )

pmarion

Mais j'ai toujours essayé de t'expliquer que sftp était de toute façon préférable à ftp., donc je ne comprends pas ton problème.

marc2006

pmarion wrote:Mais j'ai toujours essayé de t'expliquer que sftp était de toute façon pérférable à ftp., donc je ne comprends pas ton problème.

relis mon premier post !! :lol::lol::lol:

Mon problème est avec la configuration de sshd pour bien l'utiliser en tant que sftp ! La config je l'ai posté, mais je veux qu'autoriser les authentifications par username/mot de passe et n'utiliser que l'utilisateur test !

Après, je verrai avec mysql

Page suivante »