Plesk permet en quelques clics de préparer un domaine avec site web, accessible simplement en FTP. Voyons donc comment sécuriser un peu plus cet accès en forçant la connexion en SFTP.
Modifier la configuration SSH de Plesk
La configuration SSH du sous-système SFTP est déjà existante, mais elle est commentée par défaut, là où sur des configurations standard, elle n’existe tout simplement pas. Ceci pour une raison simple : Plesk n’a besoin que d’un shell maison pour débloquer l’accès SFTP, il est donc inutile d’alourdir le process en créant tout un sous-système SFTP chrooté comme c’est le cas ici.
vi /etc/ssh/sshd_config
Décommentez la ligne commençant par « #Subsystem sftp » :
#Subsystem sftp /usr/lib/openssh/sftp-server
Il est possible que le shell ne corresponde pas, notez bien qu’on ne fait que retirer le # en début de ligne.
Subsystem sftp /usr/lib/openssh/sftp-server
Ensuite, sauvegardez le fichier et quittez l’éditeur, puis redémarrez le service ssh.
sshd -t && service ssh reload
Teste la syntaxe des fichiers de configuration SSH. Dans cette disposition, s’il y a une erreur de syntaxe dans les fichiers de config, la commande suivante ne s’exécutera pas.
Modification du shell de l’utilisateur principal FTP/SFTP
L’étape suivante consiste à affecter ce shell à l’utilisateur FTP associé à la création de l’abonnement et du domaine. Lorsque vous accédez au domaine ou au sous-domaine dont vous souhaitez changez l’accès FTP en SFTP, cliquez sur le bouton « Accès FTP ».
Cliquez ensuite sur l’utilisateur que vous souhaitez modifier pour accéder aux propriétés de cet utilisateur.
Dans le menu déroulant « Accéder au serveur via SSH », au lieu de « Interdit », sélectionnez le shell qui indique « chrooted ». Validez la modification, celle-ci prendra un peu de temps car Plesk crée un sous-système root (chrooted = changement du dossier racine) lui permettant de générer la connexion SFTP depuis ce sous-système. Celui-ci se présente ainsi comme suit :
drwx--x---+ 16 user_sftp_du_domaine psaserv 4096 2018-07-20 18:32 . drwxr-xr-x+ 86 root root 4096 2018-07-20 18:21 .. drwxr-xr-x+ 2 root root 4096 2018-07-20 18:14 bin drwxr-xr-x+ 2 root root 4096 2018-07-20 18:14 dev drwxr-xr-x+ 2 root psacln 4096 2018-07-20 15:01 error_docs drwxr-xr-x+ 2 root root 4096 2018-07-20 18:14 etc drwxr-xr-x+ 4 root root 4096 2018-07-20 18:14 home drwxr-x---+ 6 root psacln 4096 2018-07-20 15:01 httpdocs drwxr-xr-x+ 4 root root 4096 2018-07-20 18:14 lib drwxr-xr-x+ 2 root root 4096 2018-07-20 18:14 lib64 drwx------+ 2 root psacln 4096 2018-07-20 15:01 logs drwxrwxrwt+ 2 root root 4096 2018-07-20 18:14 tmp drwxr-xr-x+ 3 root root 4096 2018-07-20 18:14 usr drwxr-xr-x+ 3 root root 4096 2018-07-20 18:14 var
Veillez bien à ne pas modifier les droits des dossiers créés, ou tout accès sera impossible en SFTP !
Interdire l’accès FTP/SFTP sous Plesk
Note :
Lorsque vous n’aurez plus besoin de cet accès, vous pouvez interdire à nouveau l’accès SSH dans la configuration utilisateur, ce qui supprimera le sous-système créé dans le dossier. L’accès sera à nouveau possible en FTP.
