thierryR Dans mon message #6 tu vois le contenu de passwd pour toto. Ce user ne se connecte pas sur son /home mais à la racine. Peut être que dans ta solution il faudrait plutôt un passwd comme ça: toto:x:1002:1005:,,,:/home/toto:/bin/false Je me trompe ?
madko C'est ce que je suggérais en #8, choisi d'abord un autre home que / ce n'est vraiment pas une bonne idée.
thierryR J'aimerais bien comprendre pourquoi ce n'est pas une bonne idée? Car de toute façon le user, n'accède pas à la racine. C'est seulement SSH pour lire la clé.
madko car / est la racine, point commun à de nombreuses utilisations. Alors qu'un home c'est là où se trouve certains fichiers de configuration personnels, et autre dossiers/fichiers perso. Entre autre le .ssh. En fonction des usages attendu, les contextes SELinux sont positionnés. Ce n'est qu'un ex parmis d'autres mais du coup avoir un / qui sert aussi de home, ça va être du coup compliqué. Et tu va avoir un /.ssh (entre autres), c'est assez moche. Après chacun fait ce qu'il veut mais faudra pas se plaindre si par ex ssh ne peut lire la clef de ton user etc
thierryR Je vais faire des essais. Si je comprends bien, si je laisse le home pour le user, SSH lira la clé à cet endroit avant de schrooter ? ( Car le chroot interdit la lecture du /home/user)
madko le démon ssh tourne en root et peut heureusement aller lire le .ssh des utilisateurs, y compris si c'est hors chroot. Sinon on ne pourrait pas s'authentifier par clef avec un sftp/ssh chrooté par ex.
thierryR J'ai peut être une lacune: SSH vient pourtant lire la clé sur chaque partition utilisateur. Si j'ai 2 utilisateurs, il me faut 2 dossiers .ssh Donc si le service est root, il lit quand même dans la directory de branchement tel que défini par passwd et pour chaque user.
madko Par définition, mais ça peut se configurer autrement, le authorized_keys et les clef utilisateur sont dans ~/.ssh le ~ correspond au homedir de l'utilisateur (=>login) le homedir est indiqué dans /etc/passwd pour chaque utilisateur. S'il est manquant, erroné, ou inexistant, / est utilisé. Un autre ex de pourquoi volontairement choisir / pour un utilisateur n'est pas terrible.
thierryR Après essai j'ai réussi à obtenir le même résultat. Je pose la question logique à savoir: Pourquoi le geek sur son site préconise de supprimer l'accès au /home/toto ?
madko Alors là, le mieux serait de lui demander... Plusieurs pistes cependant: 1) il n'utilise pas de clef SSH 2) son article date de 2016 3) Il a plutôt l'air d'utiliser Ubuntu, donc les contraintes de sécurité liées à SELinux il doit pas connaitre 4) peut être qu'il veut économiser quelques Ko et ne pas avoir un home pour un user qui n'ouvrira pas de shell En tout cas, mais ce n'est que mon experience personnelle: - Je n'ai jamais vu de homedir défini sur / c'est clairement pas une bonne pratique, au cas où je n'aurais pas été clair 😉 - Essaye en laissant un home plus orthodoxe, tu verras que ça fonctionne
thierryR J'ai essayé avec une icône un ostensoir, une croix, ça fonctionne. Donc un home orthodoxe, catholique et protestant. Ça fonctionne sans problème. ( J'ai raconté une blague là ? )