Reprise du message précédent :
Eut pourquoi ne pas utilisé simplement sftp qui est de base avec SSH de openssh et qui te permet de te connecter sur des users créer et ainsi d'utiliser les droit UNIX pour réstreindre l'accés a ce que tu veut?
 
Biensure tu l'utilise avec certificats et hop c'est sécurisé et tu met des droit unix pour l'accés.
Je vois pas plus simple.
 
Tu peu l'utilser de windows avec wincp3 qui te donne une présentation sous forme d'explorateur.
Comme y a des clées public clées privé tu n'a mm pas besoin de taper le mot de passe réel de ton utilisateur, mais seulement le pass de la clée, qui ne sert qu'a s'authentifié et mm récupérer par une tierce personne ne sert a rien sans la clée privé bien au cho sur ton pc.
C'est simple et y a pas plus facile à sécuriser.

Bonjour à toutes et à tous,
 
De retour d'un périple en Russie, je rattaque les droits des users sur mon FTP (vsFTPd) qui fonctionne par ailleurs très bien. J'ai tenté d'après le tuto qui m'a permis de le mettre en place de définir les droits pour chaque user sur différents dossiers.
 
Voilà ce que me dit le tuto (en vert ce qui fonctionne et en rouge ce qui ne fonctionne pas ou que je ne comprends pas) :
 
Gérer les permissions de chacun
• Admettons que nous voulions définir 2 types d'utilisateurs virtuels:
o un qui ne pourrait que se balader dans son home(commun à tous les utilisateurs virtuels i.e ~virtual/)et downloader tout ce qui s'y trouve(accès en lecture): 'tom'
o un autre qui pourrait en plus uploader(accès en lecture/écriture) dans un répertoire dédié, sans toutefois pouvoir supprimer des données: 'fred'
Pour cela, nous allons utiliser une des fonctionnalités supplémentaires de vsFTPd(depuis la version 1.1.0): la configuration par utilisateur(ou la configuration per-user)
[#00ff00]Activer la configuration per-user
La configuration 'per-user' est une option très puissante de vsFTPd puisqu'elle permet d'étendre l'usage de n'importe quelle option de la page de manuel à un utilisateur en particulier. Qui plus est, elle permet également de contrer la politique du 'vsftpd.conf' qui joue alors le rôle d'une politique par défaut.
 
Pour l'activer, il suffit de rajouter la ligne suivante à notre fichier /etc/vsftpd.conf :
[...]
user_config_dir=/etc/vsftpd/vsftpd_user_conf
 Bon euh..les '[...]' vous les rentrez pas hein?!..(nan mais franchement! )
 
et de créer ce repertoire:
# mkdir /etc/vsftpd/vsftpd_user_conf/
C'est dans celui-ci que l'on va mettre les fichiers gérant les droits de chacun: un fichier par utilisateur!
 
 N'oubliez pas que ce sont toujours les droits du système de fichiers qui prévalent sur ceux du serveur(ben oui, c'est logique, vsFTPd n'est jamais qu'un programme). Autrement dit, même si fred est autorisé du point de vue de vsFTPd à écrire, encore faut-il que l'utilisateur système 'virtual', qui le représente, ait le droit d'écriture sur le dossier en question!
On oublie pas de re-démarrer le serveur ftp pour que cette option soit prise en compte:
# /etc/init.d/vsftpd reload
 
Donnons à 'tom' son droit de lecture(download).
Comme nous l'avons vu plus haut, il suffit de contrer la politique par défaut de vsFTPd par un 'anon_world_readable_only=NO', mais pour 'tom' uniquement cette fois! On le définit donc dans SON fichier à lui:
# echo "anon_world_readable_only=NO" > /etc/vsftpd/vsftpd_user_conf/tom
Vérifiez donc que ça marche: loguez-vous en 'tom' et faites de nouveau un `ls`:
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 263 Aug 23 23:18 hosts
226 Directory send OK.
Puis loguez-vous en 'fred' et apercevez-vous que ça ne marche toujours pas pour lui...
Donnons à 'fred' son droit de lecture/écriture(download/upload), dans un répertoire dédié
De la même manière:
# echo "anon_world_readable_only=NO" > /etc/vsftpd/vsftpd_user_conf/fred
# echo "write_enable=YES" >> /etc/vsftpd/vsftpd_user_conf/fred
# echo "anon_upload_enable=YES" >> /etc/vsftpd/vsftpd_user_conf/fred
 
Cependant, au vue des permissions de ~virtual/, si fred a les droits nécessaires du point de vue du serveur, 'virtual' lui ne les aura pas du point de vue du système de fichiers!
 
Créons par conséquent un répertoire dédié dans lequel le méta-utilisateur virtuel 'virtual' du groupe 'ftp' aura la permission d'écrire:
# mkdir ~virtual/upload/
# chmod 770 ~virtual/upload/
 
Ayez-en le coeur net, loguez-vous en 'fred' et vérifiez que vous pouvez uploader:
ftp> cd upload
250 Directory successfully changed.
ftp> send /etc/hostname hostname
local: /etc/hostname remote: hostname
200 PORT command successful. Consider using PASV.
150 Ok to send data.
226 File receive OK.
16 bytes sent in 0.00 secs (157.8 kB/s)
Loguez-vous en 'tom' et constatez le contraire...
 
Essayez par la même d'effacer des fichiers avec la commande `delete` et constatez que vsFTPd vous l'interdit.
Quelques autres droits
Si l'on désire accorder en plus à 'fred' le droit de créer un dossier:
# echo "anon_mkdir_write_enable=YES" >> /etc/vsftpd/vsftpd_user_conf/fred
ou même le droit de renommer, supprimer... :
# echo "anon_other_write_enable=YES" >> /etc/vsftpd/vsftpd_user_conf/fred
 
File dans ta chambre!
Jusqu'ici, tous nos utilisateurs virtuels vivaient sous le même toît et partageaient la même maison. 'tom' ne faisait jamais son lit, rôtait tout fort et ne rangeait jamais ses chaussures!!! 'fred' était à bout!
Dans ces conditions, et afin d'éviter le drame, nous n'avons d'autre choix que de leur construire une chambre et un placard chacun:
# cd ~virtual/
# mkdir -p {tom/,fred/}/upload
# chmod 2750 {tom/,fred/}
# chmod 770 {tom/,fred/}/upload/
Il suffit ensuite de rajouter l'option local_root=$USER dans le fichier de configuration de $USER (i.e: /etc/vsftpd/vsftpd_user_conf/$USER), et ce pour tous les utilsitateurs:
 Vous aurez bien sûr compris que dans les faits, on remplace $USER par chacun des utilsateurs de notre base de données!
# echo "local_root=tom" >> /etc/vsftpd/vsftpd_user_conf/tom
# echo "local_root=fred" >> /etc/vsftpd/vsftpd_user_conf/fred

 
 
 
C'est donc la partie en rouge qui ne fonctionne pas. Dès que je le mets en place, plus aucun utilisateur virtuel n'a accès au FTP. Soit il y une erreur dans le tuto (ce dont je doute) soit il y a une erreur de paramétrage ou de syntaxe de ma part (c'est plus probable). Si vous voyez une solution...
 
Le post d'ouverture de ce sujet rappelle ce que je veux faire exactement.
 
Merci d'avance pour votre aide.

Salut bigbaboon,
 
j'aimerai vraiment savoir pourquoi tu tiens tant à rester avec des utilisateurs virtuels.
 
Je t'avais fait part de ma configuration et ca fonctionne au poil.
 
Je vais regarder en détail ton tuto si j'ai un peu de temps.
 
 

Salut Numrobis,
 
Ben je veux rester dans ce système parce que le FTP il sert déjà et donc je ne veux pas tout casser. Et puis surtout, je connais vraiment pas bien Linux et vu comment j'ai galéré pour le mettre en place ce FTP, j'aimerai bien juste pouvoir rajouter ce qu'il faut.
 
Je cherche à comprendre pourquoi chez moi ça ne fonctionne pas alors que sur le tuto (enfin c'est sur le papier), ça fonctionne.
 
Merci de jeter un oeil. c'est sympa.

Re-bonjour tout le monde,
 
après moultes lectures sur différents forums consacré au pingouin, j'ai découvert qu'on ne peut pas appliquer d'ACL sur les users virtuels. Donc j'ai l'air malin avec mes demandes...
 
Toutefois, Numrobis, tu as parlé de users "normaux" sur lesquels les ACL fonctionnent pour des répertoires.
 
Pourrais-tu me donner un tuto pour ça (n'oublions pas je n'y connais quasi rien en Linux) ? Le seul truc qui me turlupine, c'est qu'il y a déjà des dossiers créés dans le FTP et je ne voudrais pas bloquer tout le monde pendant des plombes ni que ces répertoires ne soient plus accessibles une fois les users "normaux" créés.
 
Si tu pouvais me décrire la méthode pour un user, je me débrouillerai pour les suivants (ligne de commande à taper...etc).
 
Je te remercie d'avance et si toutefois tu n'a pas le temps, je vais continuer de fouiller mais c'est tellement plus simple quand qqn qui s'y connaît explique.

Je te prépare ça pour Lundi.
 
 

YEEEEESSSS ! nickel. Merci mille fois.

Bonjour,
 
j'ai continué à fouiller un peu mais rien de bien probant pour moi.
 
J'attends le message du maître Numrobis qui va me sortir de la panade.
 
Merci encore.

 
salut Big,
 
désolé mais ce ne sera pas pour aujourd'hui, j'ai eu pas mal de travail, je te sors ça pour demain et vraiment je me mets dessus.
J'espère que ca ira d'ici demain.
 
 

Salut Numrobis,
 
Pas de problème, j'ai du taf aussi et ils peuvent bien attendre 24 heures de plus. C'est déjà très sympa de ta part de me filer un coup de main. Je mate demain alors.
 
Merci encore.

Je suis là.
Je commence ma petite explication.

Salut Numrobis,
 
je suis tout ouïe !!!

Bien sur ce n'est pas un tuto officiel, c'est ce que j'ai fait en partie sur mon serveur ftp
 
Donc déjà tu désinstalle vsftpd, supprime le répertoire /etc/vsftpd (je pense que cela devrait etre bon).
 
Je ne sais pas sous quel version de linux tu es, mais installe la dernière version de vsftpd.
 
Install donc vsftpd, le chemin par défaut sera /etc/vsftpd
 
Je te conseil l'utilisation d'un certificat que tu peux générer grace à openssl, voici la commande:

 
Pour etre encore plus sécurisé, tu peux utiliser le mode passif de vsftpd.
 
Voici mon vsftpd.conf que je te commente:
 

 
Après au niveau de tes utilisateurs, lorsque tu les créés, il faut que tu leur configure le shell en /sbin/nologin.
Il n'auront pas le droit de se connecter directement sur la machine.
 
Sinon j'ai un script qui te permet de créer des utilisateurs à la chaine:
 

 
Encapsulage de tes utilisateurs (chroot):
Par défaut les utilisateurs (même non-anonymes) sont placés en cage dans leur
répertoire personnel par la directive implicite chroot_local_user=YES. En
spécifiant ensuite :
 
chroot_list_enable=YES
 
et
 
chroot_list_file=/etc/vsftpd.chroot_list
 
les utilisateurs dont les logins seront contenus dans /etc/vsftpd.chroot_list
ne seront -pas- mis en cage. Si chroot_local_user est à NO, la liste contient
les utilisateurs qui doivent l'être, au contraire.
 
Je pense avoir fait le tour mais pas complètement.
De toute façon je reste dans le coin ;-)
 
Steve
 
 

Salut Numrobis,
 
Désintaller vsFTPd ? c'est un serveur dédié chez Oléane et j'en ai déjà bavé des ronds de chapeau pour qu'ils comprennent que vsFTPd ne devait pas être complètement installé. Je pense que c'est la dernière version vu qu'ils l'ont installé en août.
 
le serveur tourne sous Fedora core 4.
 
Niveau certificat, il y en a déjà un. Je pensais juste virer les users virtuels pour créer de véritables users. qu'en penses-tu ?
 
Il faut que je regarde tout ça à tête reposée.  
 
Pour les users, faut-il que je leur créé un groupe (# addgroup ftpusers) ?
 
Sinon, ton script ne s'affiche pas dans le message.
 
Merci mille fois.

Le certificat est en SSH donc ça devrait aller je pense ;-)

 
Clic dans le message blanc pour voir le script ;-)

mouarf, quelle truffe je fais !!! je regarde ça ce soir si j'ai le courage ou demain matin. Merci encore.
 
Là, je suis sur un script batch pour une sauvegarde automatique d'un fichier d'un serveur à un autre. Je trouve ça limite plus facile et pourtant je suis une quiche en developpement.
 
Merci encore et à demain.

 
Si tu veux un coup de main pour ton script batch, tu fais signe.
 
 

Sympa mais je me suis débrouillé tout seul sans trop de souci et j'ai mis en place ma tâche planifiée. je vérifierai demain que tout s'est bien passé. Comme le serveur n'est pas encore en production, je peux tester ce genre de chose sans que ça pose de problème.
 
Pour info, voici quand même mon script :
 
xcopy \\XXX.XXX.XXX.XXX\E:\machin\BACKUP \\XXX.XXX.XXX.XXX\D:\BACKUP_machin /A /C /Y /S
 
tout ça avec une tâche planifiée pour les jours ouvrés.

Bonjour,
 
et bien mon script n'a pas fonctionné a priori... Il s'est exécuté mais je n'ai rien dans le répertoire de destination. Bon, je n'ai plus qu'à le retravailler.
 
Et puis il faut que je m'attaque au FTP.
 
A plus tard dans la matinée.

Effectivement c'est un script très simple.

 
Essaye comme ça:
xcopy \\XXX.XXX.XXX.XXX\E:\machin\BACKUP \\YYY.YYY.YYY.YYY\D:\BACKUP_machin /A /C /Y /S >\\XXX.XXX.XXX.XXX\E:\Log-xcopy.txt 2>\\XXX.XXX.XXX.XXX\E:\Log-erreur-xcopy.txt
 
Cette commande >\\XXX.XXX.XXX.XXX\E:\Log-xcopy.txt te logue ce qui se passe.
Celle-ci 2>\\XXX.XXX.XXX.XXX\E:\Log-erreur-xcopy.txt te logue les erreurs.
 
 

Salut Numrobis,
 
Bon je vais essayer ça alors. Je me demandais comment avoir un log justement et je cherchais sur un site pour les avoir. Merci
 
Le site en question qui m'a déjà bien aidé dans le passé pour quelques scripts : http://www.robvanderwoude.com/index.html
 

Au fait, si je vire mes users virtuels dans vsFTPd et que je les remplace par de vrais users chrootés, ça peut fonctionner ?
 
Parce que certains ont déjà commencé à uploader des docs sur le FTP et je ne voudrais pas tout leur sagouiner.
 
Si je fais un userdel pour chaque user virtuel voire pour le meta-user dont dépend les users virtuels, ça peut peut-être bon ?
 

 
je ne connais pas vraiment le principe des users virtules mais je pense que si les users réels ont les memes droits alors cela devrait etre bon.

OK merci. je vais m'y atteler et je te tiens au courant.
Merci encore pour ton aide.

 
Pas de souci.

Je viens de trouver un peu de temps pour refaire le script et l'exécuter et il me dit : NTVDM est confronté à une erreur matérielle.
 
Et là c'est click sur fermer puisque ignorer ne donne rien.
 
Il faut que je fouille un peu.

 
j'ai pas eu le temps de jeter un oeil à ton erreur, mais essaye de détailler un peu.
(config des postes, os, niveau de sécurité, partage et autorisations)
 
A Vendredi si tu es là.
 
 

 
 
Salut Numrobis,
 
Désolé de ne pas être passé avant mais le boulot n'attend pas !!! J'ai donc continué à farfouiller sur le net pour trouver une solution à mes problèmes (même si ta méthode en faisait partie mais fainéant comme je suis, je n'avais trop envie de tout recommencer) et j'ai trouvé !! Eurêka !    
 
La solution :
 
dans le vsftpd_user_conf (le même où l'on place les droits d'écriture, de lecture... etc), il suffisait de rajouter pour chaque utilisateur virtuel qui devait rester sagement dans le dossier la ligne suivante :
 
local_root=/chemindufichierdel'utilisateur/
 
relancer le serveur avec /etc/init.d/vsftpd reload
 
et lorsque tu te connectes au FTP avec un de ces users, tu entres directement dans le répertoire indiqué sans voir les autres. Ils ont alors l'impression que le serveur FTP est uniquement pour eux.
 
Je tiens à te remercier pour ton aide et pour ces échanges toujours instructifs.
Merci et à plus
 
PS : je repasserai surement voir si tu es dans le coin.

Ah oui et pour le petit script de sauvegarde, c'était juste un problème de droit en écriture sur le répertoire cible devant accueillir le backup. Réglé en 5 minutes (enfin un peu plus le temps de trouver d'où ça venait exactement).
 
Merci encore.

 
Bon bah que d'excellente nouvelles, je suis content que tu t'en sois sorti tout seul.
N'hésite pas à me laisser un MP la prochaine fois si jamais tu as un autre soucis, deux cerveaux valent mieux qu'un comme on dit.
 
A plus.