SFTP – FTP bye bye

Remplacer le FTP par le SFTP c’est bien mais il ne faut pas abaisser la sécurité pour autant. Et par défaut l’utilisateur à accès à toute la machine via SFTP, il faudra donc le chrooter.

Je vais donc vous expliquer pas à pas comment sécuriser une installation sftp.

Commencer par refuser la possibilité de login à tt les utilisateurs que vous utiliserez comme sftp en faisant soit chsh user et en mettant /bin/false ou en mettant dans /etc/default/useradd les valeurs suivantes:

SHELL=/bin/false
SKEL=/etc/skelempty

Il vous faudra créer le dossier /etc/skelempty qui ne contient rien (ceci afin d’éviter l’ajout automatique de fichier qu’un utilisateur uniquement sftp n’aura cure).

Read More…

Posted in Hosting at April 2nd, 2014. 1 Comment.

Autossh script

Ce soir je vous présente mon script init.d autossh pour se connecter automatiquement à un host dans le but de faire un tunnel (dans mon cas c’est pour y faire transiter les infos récoltées par munin)

Il est abondamment commenté, mais si vous avez des questions n’hésitez pas. Il est simplement basé sur le fichier skeleton qui est disponible dans le dossier /etc/init.d.

Pour la config SSH qui est utilisée ci dessous (la mention kimsufi) ce sera expliqué dans un prochain article.

Read More…

Posted in Linux at January 16th, 2013. 2 Comments.

Tunnel SSH permanent

Le simple script suivant lancé dans un screen fera parfaitement l’affaire (et propose même du logging pour savoir quand la connexion tombe et/ou est relancée)

#!/bin/sh

while true
do
#establish a ssh tunnel between localhost port 5555 and distant 2424
#tunnel enabled
  echo -n "connection restart : " >> tunnel.log
  date --rfc-3339=seconds >> tunnel.log
  ssh -L 5555:localhost:2424 user@host
#connection dropped, logging, wait (socket issue if not) and restart
  echo -n "connection dropped : " >> tunnel.log
  date --rfc-3339=seconds >> tunnel.log
#after a short sleep and try again ;-)
  sleep 10
done

Nul besoin de dire qu’il faut des clés ssh pour pouvoir se connecter sans mdp sur un serveur distant et que il est approprié de n’offrir aucun droit sur le serveur ou presque à l’utilisateur qui se connecte en utilisant cette clé. Juste du port forwarding, ni plus ni moins.

Posted in Au quotidien at January 10th, 2012. Comments Off on Tunnel SSH permanent.

Utiliser les noms NetBIOS sous Linux

Oui bien sur vous pouvez avoir un serveur samba etc pour partager des fichiers, et causer “facilement” NetBIOS mais tout ceci est compliqué cela ne m’intéresse pas.

Je désire juste pouvoir joindre (pinguer, ftp, ssh, ou ce que vous voulez) sur un nom NetBIOS et ça sous Linux (c’est bien heureusement géré en natif dans Windows).

Quel intérêt me direz-vous? Profitez du DHCP de votre routeur, mais continuer à utiliser un/une seul nom/ip pour pouvoir contacter une machine sur votre réseau.
Dans mon cas, le problème s’est posé quand j’ai voulu joindre mon NAS, qui a la facheuse envie de changer d’ip entre chaque fois que je veux le joindre:  Plutôt gênant.

Read More…

Posted in Au quotidien at November 13th, 2010. 2 Comments.

SSH – Accès sans mot de passe

Petit truc vachement pratique et piqué chez : fluoblog pour remplacer la longue et ‘complexe’ procédure de génération de clé publique, copie via scp sur le serveur, puis inclusion dans le bon fichier.

C’est simplement :

ssh-keygen -t rsa #Génération de votre clé publique

ssh-copy-id utilisateur@serveur #Copie sur le serveur votre clé publique sous l’utilisateur distant ‘utilisateur

Et c’est tout, il ne faudra plus vous logguer pour accèder à votre serveur depuis votre PC (et uniquement le votre sous l’utilisateur donné) plutôt sympa non ?

PS : Évidemment, ne faites pas ça sur un ordinateur partagé si un seul compte utilisateur est disponible, et ne faites pas ça si votre ordinateur est insuffisamment protégé (auto signout sur proximité bluetooth et aussi un mot de passe un peu solide sont le minimum syndical pour une sécurité de base).

Posted in Au quotidien at August 23rd, 2010. 1 Comment.