Bonsoir,
premier message sur cette mailing list! salut donc, linux since 1.2.x, etc blabla:)
un petit ajout, par rapport au dummy shell, cette ligne devrait bypasser ton dummyshell ;) ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih) man sshd_config indique forcecommand,
salutations,
Le Sun, Dec 05, 2010 at 10:33:39PM +0100, Christophe De Wolf:
J'ai moi-même plublié un tutoriel pour sécuriser le bouzin : http://geekfault.org/2010/12/05/devenez-miroir-de-wikileaks-sans-risque/
C'est plus ou moins la même chose que ton tuto, j'ai juste un dummyshell en plus pour s'assurer que seul Rsync pouvait être exécuté.
Tito
2010/12/5 Gaetan Duchaussois gaetan.duchaussois@laposte.net
Bonsoir,
pour ceux qui se démandent comment facilement faire un chroot openssh avec rsync, j'ai écrit en vitesse un petit tuto: http://www.justasysadmin.net/fr/practical/chroot-ssh-rsync/
Commentaires bienvenus, c'est perfectible et je le sais
Gaëtan
Le 05/12/2010 14:25, Jérôme Nicolle a écrit :
Petite précision technique :
- La clef de Wikileaks doit être placée dans le fichier
~/.ssh/authorized_keys (une clef par ligne, si vous mettez aussi la votre, par exemple)
- Le miroir se compose uniquement de fichiers statiques (html, png, css)
et occupe un peu moins de 2Go pour le site complet.
- Une fois la clef ou le compte FTP enregistré sur wikileaks, le robot
déposera un fichier test. Le site complet n'arrivera que d'ici quelques heures (12 au plus)
- Si votre serveur est joignable en IPv4 et IPv6, enregistrez de
préférence l'entrée en v6 ou un hostname disposant d'un A et d'un AAAA. Cette adresse ne sert que pour l'envoi des fichiers, pas pour le référencement des miroirs.
Il est préférable, pour l'instant que vous mettiez en place un hostname dans vos zones (wikileaks.votredomaine.tld) (ou autre chose que wikileaks, voir http://46.59.1.2/mirrors.html si vous cherchez l'inspiration)
L'URL enregistrée dans la page http://46.59.1.2/mirrors.html est celle renseignée un peu plus bas dans le formulaire, pas nécessairement l'hostname auquel les fichiers sont envoyés. La correspondance entre les deux sera testée par l'envoi du premier fichier avant le miroir complet.
On me dit dans l'oreillette que les servername www.wikileaks.* ne seront pas activés tout de suite. Donc pour la conf httpd, vous pouvez vous en tenir à un vhost sur un domaine à vous.