1 votes

Mycah avatar

Mise en place d'un site de vidage de fichiers sftp openssh ou autre sftpd ?

Demandé el 7 de Mars, 2012
Quand la question a-t-elle été
1135 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Autrefois, nous pouvions facilement configurer un serveur ftp avec un accès anonyme au téléchargement. Une fois le fichier téléchargé, l'utilisateur ne pouvait pas voir, supprimer ou modifier les fichiers qu'il avait téléchargés.

J'essaie de mettre en place quelque chose comme ça dans CentOS 6.2 ou ubuntu 11.10, mais nous transférons des données sensibles qui doivent passer par une connexion sftp/scp/ftps. J'ai essayé d'utiliser une connexion sftp chrootée, mais en raison de la façon dont les autorisations de dossier et de fichier linux fonctionnent, si un utilisateur a un accès en écriture à un dossier, il peut supprimer un fichier dans ce dossier, quoi qu'il arrive.

Quelqu'un d'autre a-t-il mis en place un environnement similaire ? J'aimerais qu'ils disposent d'un nom d'utilisateur ou d'une combinaison nom d'utilisateur/mot de passe qui permettrait d'établir un journal afin que nous sachions qui a téléchargé quel fichier, mais une fois le fichier téléchargé, ils ne devraient plus avoir accès à la suppression ou à la modification du fichier.

Gracias.

Demandé el 7 de Mars, 2012 par Mycah

Réponses

Trop de publicités?

0voto

songsong avatar
songsong Points 173

Je ne l'ai jamais utilisé mais ProFTPD a un module sftp. Voir http://www.proftpd.org/docs/contrib/mod_sftp.html#Usage qui montre comment on peut le limiter comme un FTP (par exemple, Limit DELE pour empêcher les suppressions).

Répondu el 7 de Mars, 2012 par songsong (173 Points )

0voto

Tom avatar
Tom Points 10766

*Edit : J'écrivais des balivernes, car je n'avais pas lu la question correctement, ce post a eu une idiotectomie de terrain, maintenant il se rapporte, je l'espère, à la question un peu .. ;-)

Je pense que les étapes recommandées seraient d'utiliser un serveur ftp traditionnel de type actif/passif sur le port 21 qui fournit une couche SSL/TLS au-dessus du dropbox ftp utilisateur standard de la vieille école chroot'ed.

vsftpd est un exemple de serveur ftp qui peut être configuré pour utiliser ssl et soutient configuration de bas niveau des permissions des utilisateurs vous permettant de créer un système ftp authentifié de type Dropbox.

Je créerais des utilisateurs distincts pour ce projet ftp, avec Shell /sbin/nologin et les ajouterais à un fichier texte, qui peut être passé à vsftpd comme utilisateurs locaux autorisés.

vous pouvez également définir les options suivantes pour restreindre les utilisateurs en fonction de vos besoins

 #If set to NO, all directory list commands will give permission denied.   
 dirlist_enable NO  
 #If set to NO, all download requests will give permission denied.   
 download_enable NO  
 #If activated, all non-anonymous logins are forced to use a secure SSL connection  
 force_local_data_ssl YES  
 #If activated, all non-anonymous logins are forced to use a secure SSL  
 force_local_logins_ssl YES  
 #obfusciate, probably not needed given directory listing restrictions  
 hide_ids YES  
 # allow users with no shell to access ftp, but you have to disable these users via the   
 #vsftpd local permitted users list, not via /etc/passwd  
 check_shell NO

Vous devrez également utiliser certaines configurations pour faire respecter l'exigence d'écriture seule, pas de suppression, ce qui nécessite probablement de spécifier une liste de commandes appropriées en utilisant les options de configuration cmds_allowed et cmds_denied.

Il y a une liste de commandes ftp avec un bref explication ici ; vous devrez peut-être faire des essais et des erreurs, car ils n'ont pas été testés sur le terrain...

 #
 chmod_enable No
 #something like the following...
 #cmds_allowed=PASV,RETR,QUIT,PUT,USER,PORT,SYST,QUIT,STOR,CWD,PWD
 #add any other commands that allow READ or DELETE, or rename, etc.
 cmds_denied=DELE,GET,LIST,MDTM,MKD,NLST,RETR,RMD,RNFR,RNTO,APPE

il y a plusieurs documents disponibles, qui discutent des réglages possibles de vsftpd ici - http://viki.brainsware.org/?en/cmds_allowed

Vous pouvez personnaliser complètement les commandes disponibles à partir de la liste complète ici ; https://calomel.org/vsftpd.html

L'explication des commandes est ici ; http://www.nsftools.com/tips/RawFTP.htm

Répondu el 7 de Mars, 2012 par Tom (10766 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X