Le 19/12/2013 14:33, Pierre `Sn4kY` DOLIDON a écrit :
Le 19/12/2013 13:24, Emmanuel Thierry a écrit :
Bonjour,
Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit :
Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te permettra déjà d'avoir 1 user / site, et de mieux cloisonner.
Je plussoie violemment pour php-fpm. Ajouter à ça une directive open_basedir par utilisateur pour les empêcher d'aller voir plus haut que leur $HOME
Tip N°2 : utilise MySecureShell pour faire des environnements en jail Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes utilisateurs
Concernant le chroot du shell, même avec un OpenSSH standard, c'est inutile de copier les dossiers, il suffit de les monter en bind mount.
C'est compliqué ! pourquoi ne pas utiliser "internal-sftp" plutôt que "sftp-server" en "Subsystem sftp" ? pas besoin de se faire chier a monter ou a copier les environnements dans la jail... ça impose d'autres contraintes, mais il me semble qu'on s'écarte, puisque le monsieur désire du SSH.
J'allais justement poser la question si c'était du SFTP ou SSH dont il y a besoin...
Peut-être que le mieux serait de poser la question des besoins avant de parler de la solution...
Quelles sont par ailleurs les contraintes, typiquement peux-tu installer n'importe quelle version d'Openssh ou non ? Suivant les versions on peut plus ou moins faire de choses...
Cdlt,
JYL