Restreindre l’accès SFTP d’un utilisateur (chroot)

Open SSH va nous aider à réaliser un accès restreint car il peut être utile d’empêcher un utilisateur de joindre d’autre dossier du système que son dossier personnel.

OpenSSH

OpenSSH intègre la fonction ChrootDirectory depuis la version OpenSSH 4.9, la commande suivante permet d’installer OpenSSH s’il n’est pas déjà intégré à votre système :

Prenez en compte que les modifications suivantes permettent à l’utilisateur un accès restreint au dossier en SFTP qu’on lui attribue et lui retire son droit de connexion en SSH.


Droits Utilisateur

On va maintenant :
– créer un groupe pour les utilisateurs restreints,
– créer notre utilisateur restreint,
– modifier les droits de son dossier home (le dossier doit appartenir à root pour être chrooté) et son contenu :


Configuration Chroot

Il reste à configurer OpenSSH en éditant son fichier de configuration /etc/ssh/sshd_config :

Définition du groupe à qui s’applique la restriction.

Définition du dossier de restriction soit le dossier home de chacun des utilisateurs concernés.

Désactivation du X11Forwarding.

Désactivation du TCPForwarding.

Le service doit ensuite être redémarré :

Il peut être utile de désactiver la restriction pour un utilisateur en particulier via la configuration suivante :