madko
C'est ce que je suggérais en #8, choisi d'abord un autre home que / ce n'est vraiment pas une bonne idée.
thierryR
J'aimerais bien comprendre pourquoi ce n'est pas une bonne idée? Car de toute façon le user, n'accède pas à la racine. C'est seulement SSH pour lire la clé.
madko
car / est la racine, point commun à de nombreuses utilisations. Alors qu'un home c'est là où se trouve certains fichiers de configuration personnels, et autre dossiers/fichiers perso. Entre autre le .ssh. En fonction des usages attendu, les contextes SELinux sont positionnés. Ce n'est qu'un ex parmis d'autres mais du coup avoir un / qui sert aussi de home, ça va être du coup compliqué. Et tu va avoir un /.ssh (entre autres), c'est assez moche. Après chacun fait ce qu'il veut mais faudra pas se plaindre si par ex ssh ne peut lire la clef de ton user etc
thierryR
Je vais faire des essais. Si je comprends bien, si je laisse le home pour le user, SSH lira la clé à cet endroit avant de schrooter ? ( Car le chroot interdit la lecture du /home/user)
madko
le démon ssh tourne en root et peut heureusement aller lire le .ssh des utilisateurs, y compris si c'est hors chroot. Sinon on ne pourrait pas s'authentifier par clef avec un sftp/ssh chrooté par ex.
thierryR
J'ai peut être une lacune: SSH vient pourtant lire la clé sur chaque partition utilisateur. Si j'ai 2 utilisateurs, il me faut 2 dossiers .ssh Donc si le service est root, il lit quand même dans la directory de branchement tel que défini par passwd et pour chaque user.
madko
Par définition, mais ça peut se configurer autrement, le authorized_keys et les clef utilisateur sont dans ~/.ssh
le ~ correspond au homedir de l'utilisateur (=>login)
le homedir est indiqué dans /etc/passwd pour chaque utilisateur. S'il est manquant, erroné, ou inexistant, / est utilisé. Un autre ex de pourquoi volontairement choisir / pour un utilisateur n'est pas terrible.
thierryR
Après essai j'ai réussi à obtenir le même résultat. Je pose la question logique à savoir:
Pourquoi le geek sur son site préconise de supprimer l'accès au /home/toto ?
madko
Alors là, le mieux serait de lui demander...
Plusieurs pistes cependant:
1) il n'utilise pas de clef SSH
2) son article date de 2016
3) Il a plutôt l'air d'utiliser Ubuntu, donc les contraintes de sécurité liées à SELinux il doit pas connaitre
4) peut être qu'il veut économiser quelques Ko et ne pas avoir un home pour un user qui n'ouvrira pas de shell
En tout cas, mais ce n'est que mon experience personnelle:
- Je n'ai jamais vu de homedir défini sur / c'est clairement pas une bonne pratique, au cas où je n'aurais pas été clair 😉
- Essaye en laissant un home plus orthodoxe, tu verras que ça fonctionne
nouvo09
Accessoirement seul root peut écrire sur / .
thierryR
J'ai essayé avec une icône un ostensoir, une croix, ça fonctionne. Donc un home orthodoxe, catholique et protestant. Ça fonctionne sans problème. ( J'ai raconté une blague là ? )