linux vsftpd sans ssh ?! - Page 1

j'ai besoin de creer des acces ftp, j'utilise vsftpd

j'ai créé un user sous debian, tout configuré, le ftp fonctionne, tout est ok

mais je ne veut pas permettre l'acces à ma machine via ssh

j'ai testé de mettre /bin/false dans /etc/passwd, le ssh est impossible mais la connection via ftp aussi .....

j'ai trouvé rssh comme shell alternatif qui devrais permettre le ftp tout en bloquant l'acces console, il bloque bien le ssh mais aussi le ftp ....

est ce que tout ca est débile ? un autre serveur ftp à me conseiller ?

on peut pas faire des users virtuels qui n'ont pas de compte unix?

proftpd permet la création d'utilisateurs virtuels mais je ne sais plus comment marche le patch/module qui permet de passer en sftp

Attends, tu essaies de te connecter en FTP ou en SFTP? Parce que ce n'est pas du tout la même chose, SFTP est un sous-protocole de SSH. Si tu veux du FTP sécurisé, ça s'appelle du FTPS ou FTP+SSL.

autant pour moi, le patch/module de proftp, c'est pour le ftps je crois...

je veut simplement du ftp classique ^^

> on peut pas faire des users virtuels qui n'ont pas de compte unix?

si, mais c'est un bordel sans nom, et je voulais le mettre en place rapidement, le plus simple étais l'user linux :/

en fait j'ai deux besoins/questions

* je voudrais un serveur ftp avec une configuration "simple" par fichier texte, du genre que je peu générer moi même depuis un cron ou autre, à terme ca devrais supporter plusieurs centaines/milliers de comptes.

* juste pour ce compte ftp la, qui lui est particulier, laisser la chose actuelle telle quelle, et simplement pouvoir désactiver l'acces console, ce que rssh m'avais fait miroiter :- /

je vais aller voir proftpd déjà sans s dans le nom il m'inspire plus ^^

check_shell=false dans vsftpd.conf.
Mais si tu utilises PAM c'est un peu différent, faut configurer les permissions avec PAM.

Le s n'a rien à avoir ni avec ssh, ni avec ssl (qui n'ont eux même rien à voir entre eux).

robinHood (./6) :
je veut simplement du ftp classique ^^

> on peut pas faire des users virtuels qui n'ont pas de compte unix?

si, mais c'est un bordel sans nom, et je voulais le mettre en place rapidement, le plus simple étais l'user linux :/

en fait j'ai deux besoins/questions

* je voudrais un serveur ftp avec une configuration "simple" par fichier texte, du genre que je peu générer moi même depuis un cron ou autre, à terme ca devrais supporter plusieurs centaines/milliers de comptes.

* juste pour ce compte ftp la, qui lui est particulier, laisser la chose actuelle telle quelle, et simplement pouvoir désactiver l'acces console, ce que rssh m'avais fait miroiter :- /

je vais aller voir proftpd déjà sans s dans le nom il m'inspire plus ^^

Pour ma part, j'ai opté pour Proftpd avec les users stockés en bdd mysql, si j'ai mille users à ajouter je fais une requête sql et c'est réglé.

merci spectras, pam etais activé, cette solution fonctionne

mysql ne me tente pas trop enfin je devrais certainement être forcé de l'utiliser pour ceux voulant un forum ou simplement pour les stats piwik

je vais avant faire un tour vers pureftpd qui permet d'avoir une authentification custom

(Si mysql ne te tente pas, tu peux aussi utiliser un annuaire LDAP, c'est quand même un peu plus adapté je trouve - mais c'est un avis personnel ^^)

Plus adapté, mais beaucoup plus chiant à mettre en place

Boah, si tu ne veux pas mettre en place Kerberos & cie, ça prends trois clics, hein (d'ailleurs, la dernière fois que j'ai installé une Mandriva, ça utilisait par défaut un annuaire LDAP pour l'enregistrement des utilisateurs Unix à la place d'un fichier plat, et c'était transparent pour l'utilisateur).

HGum la derniere fois que j'ai tenté d'installer et utiliser du LDAP, j'ai faillit foutre en l'air la machine donc bon ^^

je ne connais pas LDAP mais ca à l'air hiérarchique qu'est ce que cela peu apporter concrètement ?
les entrées peuvent elle être créées de manière automatiques ?

---

je n'ai pas encore testé l’authentification custom de pureftpd mais je vais pouvoir -je pense- l’intégrer complètement dans mon système actuel (ie l'utiliser depuis la mm bdd que mes sites sans gérer les accès ftp séparément) et accessoirement il peu y avoir des à coté funky genre suivant le pass ou la structure du nick renseigné mettre un autre répertoire de destination ou autre, de manière "live" et automatique sans devoir mettre en place 12000 entrées en dur dans la config du ftp (et éviter aussi un cron qui mettrais les nouveaux accès ftp en place, la ce serais instantané)

robinHood (./14) :
je ne connais pas LDAP mais ca à l'air hiérarchique qu'est ce que cela peu apporter concrètement ?

C'est fait pour faire de l'authentification (protocole optimisé en lecture ; cela dit, il existe la possibilité de mettre un OpenLDAP en frontend sur du MySQL, mais je n'ai jamais vu ce choix "en vrai" ) et ça peut servir de base commune à plusieurs applications (et y intégrer les paramètres).
Tu entends quoi par "création automatique des entrées" ? C'est toujours possible si ton client LDAP (ton serveur FTP, du coup) sait le faire. Ou si tu utilises PAM avec LDAP pour l'authentification LDAP sur Unix et que tes outils de création d'utilisateurs Unix (useradd et tutti quanti) sont paramétrés proprement et que ton serveur FTP utilise ces outils en direct pour la création des comptes.

d'accord je comprend mieux, concrètement LDAP permet la liaison entre une "bdd" d'users associé à des champs divers et variés pour paramétrer tout et n'importe quoi ?

donc si je gère tout avec, je pourrais donc aussi par exemple gérer la connections admin de mes sites ? et la "fiche" LDAP de chaque utilisateur contiendrais les droit d’accès de chaque sites ainsi que sont répertoire ftp et autre joyeusetés ?

actuellement chaque user et site à sa "fiche" dans un hash redis, des clients redis sont accessible pour pratiquement tous les langages, même sh, je doit faire moi même la mise en hash du pass, faire la requête, tester la correspondance et renvoyer les paramètres mais globalement c'est plus ou moins équivalent si je me fait mon prog pour interfacer redis et le client ftp ?

par création automatique, j'entendais créer des users ftp sans intervention manuelle de ma part, ici ça dépendrais donc du stockage choisi de la "liste" LDAP ?
si c'est pam par exemple je devrais donc faire un .sh avec droit root pour créer un user unix depuis mon php ?

robinHood (./16) :

d'accord je comprend mieux, concrètement LDAP permet la liaison entre une "bdd" d'users associé à des champs divers et variés pour paramétrer tout et n'importe quoi ?
donc si je gère tout avec, je pourrais donc aussi par exemple gérer la connections admin de mes sites ? et la "fiche" LDAP de chaque utilisateur contiendrais les droit d’accès de chaque sites ainsi que sont répertoire ftp et autre joyeusetés ?

En gros, c'est ça. Après, ça n'est pas magique : si tes applications/services ne savent pas communiquer avec un annuaire LDAP (ou de façon limitée : par exemple, certains services ne l'utilisent que pour l'authentification, la gestion des droits se faisant "localement" dans un fichier de paramètres ou une base propre à l'application).
C'est un annuaire, au sens large : tu as des fiches d'individus (ça peut aussi être des ordinateurs, des groupes, des tables ou ce que tu veux hein). Certains individus ont la possibilité de s'authentifier (il faut qu'ils aient un mot de passe pour ça), sinon ça peut être juste un dénombrement "mort" (comme pour un annuaire téléphonique à consulter ; d'ailleurs la plupart des clients modernes de messagerie permettent d'avoir un annuaire dynamique connecté sur un annuaire LDAP).

robinHood (./16) :
par création automatique, j'entendais créer des users ftp sans intervention manuelle de ma part, ici ça dépendrais donc du stockage choisi de la "liste" LDAP ?

Non, en fait ça pourrait dépendre de deux choses (je vais essayer d'être clair, mais c'est plus facile en expliquant avec des schémas en direct).
La première chose à savoir, c'est que LDAP est un protocole d'interrogation/réponse. Il ne se soucie pas de la façon dont sont stockées les données. En général on utilise un système de base de données orienté lecture (par défaut BerkeleyDB pour OpenLDAP [mais il y a des connecteurs pour d'autres bases], JET Blue pour ActiveDirectory, etc.). Tu ne vas pas te soucier de cette base de données, tu ne vas jamais t'y connecter ni la modifier en direct (une structure LDAP est particulièrement peu adaptée à une base relationnelle, parce qu'elle est dynamique, avec des notions d'objets et de classes qui ne sont que peu compatibles avec de l'objet-relationnel, donc chaque service LDAP a sa façon de faire sa cuisine, on n'y touche pas).
Donc il y a une seule façon de créer un compte d'utilisateur LDAP : avec une requête LDAP.
Cela dit, ton système tout entier (Unix, Linux, MacOS, Windows...) peut s'asseoir sur un annuaire, pour peu qu'il dispose de la structure (on parle de schéma) adapté à ce système (il y a des classes d'objets pour Samba, pour les utilisateurs Unix ; Microsoft a des schémas spécifiques pour ActiveDirectory [AD], etc.). De ce fait, ton système dispose alors de connecteurs pour gérer ses utilisateurs dans l'annuaire de façon transparente. Par exemple, si tu as un AD, quand tu vas créer un utilisateur Windows classique, il va être enregistré dans l'AD directement via une requête LDAP, ça sera transparent. De la même façon, si tu as correctement paramétré Linux pour utiliser un annuaire LDAP (avec PAM, NSCD et tutti quanti), quand tu vas faire un useradd, il ne va pas le créer dans les fichiers passwd ou shadow mais directement dans l'annuaire. Du coup, toute application qui va gérer ses utilisateurs en s'appuyant sur les outils Unix classiques (useradd, usermod et tout ce qui tourne autour de PAM) pourra interagir avec l'annuaire de façon transparente, sans savoir qu'elle "parle" en LDAP.

Et tu peux créer un utilisateur LDAP avec PHP, il y a une API LDAP assez complète (j'en ai développé une surcouche objet encore plus complète, le cas échéant), c'est pas un problème. Ou directement avec un fichier LDIF en appelant la commande binaire d'exécution de requête LDAP.