Associer plusieurs sites à un compte FTP supplémentaire

Si vous avez des suggestions sur nos services, n'hésitez pas à nous en parler ici.
Electronic100
Messages : 174
Inscription : 13 avril 2012 à 20:53

Bonjour Élodie,

Je reviens avec cette idée de pouvoir faire en sorte qu'un compte FTP supplémentaire ai accès à plusieurs sites en même temps.

En effet en ce moment la situation est assez particulière du fais que j'utilise mon hébergement à la fois pour la la version "prod" et la version "dev" des sites de l'association et j'ai donc besoin de faire en sorte de pouvoir donné l'accès au sites au second développeur. Même si cette situation n'est que temporaire cela m'aiderait pas mal.

@+ ;)
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,

Oui je me souviens que vous m'en aviez parlé mais je ne vois pas comment rendre ça possible et le serveur ne le permet pas via configuration par défaut.

Actuellement, le mieux serai de créer un compte à part uniquement pour le développement et pourquoi pas créer un compte FTP supplémentaire pour chacun des sites actuellement en cours de développement.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Electronic100
Messages : 174
Inscription : 13 avril 2012 à 20:53

elodie a écrit :Actuellement, le mieux serai de créer un compte à part uniquement pour le développement et pourquoi pas créer un compte FTP supplémentaire pour chacun des sites actuellement en cours de développement.
Tu veux dire créer un autre compte FSH ?
elodie a écrit :Oui je me souviens que vous m'en aviez parlé mais je ne vois pas comment rendre ça possible et le serveur ne le permet pas via configuration par défaut.
En regardant vite fait, j'ai pensé aux liens symboliques, peut-être qu'en créer un dossier par compte FTP et y mettant dedans les liens vers les dossiers auquel l'utilisateur à la droit d’accéder.

Après ce n'est qu'une idée ;)
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

electronic100 a écrit :En regardant vite fait, j'ai pensé aux liens symboliques, peut-être qu'en créer un dossier par compte FTP et y mettant dedans les liens vers les dossiers auquel l'utilisateur à la droit d’accéder.
L'idée est intéressante mais apparemment non sécurisée, malheureusement.

Je viens d'essayer en créant un lien symbolique dans un de mes comptes FTP de développement et il m'est impossible de suivre le lien avec le chroot défini en dur. Pour que ça soit possible, il faudrait activer les "virtualchroot" (et donc désactiver le chroot principal), mais du coup si un hébergé crée un lien vers un autre compte, il pourrai théoriquement y avoir accès s'il y a un problème dans les droits et les permissions (des chmod 777 par exemple). Au mieux un chmod 777 rendrai vulnérable les comptes, au pire il n'y aurai plus de contrôle de permissions avec les virtualchroot.

Voici ce que dit la documentation du service Pure-FTPd :

Code : Tout sélectionner

--with-virtualchroot: usually, when a user is chrooted (-A and -a
options), it's impossible to go out of his home directory. Enabling that
feature makes it possible: symbolic links are always followed, even if they
are pointing to directories not located in the user's home directory. [...]
Cette méthode serai alors non sécurisée ...
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Electronic100
Messages : 174
Inscription : 13 avril 2012 à 20:53

elodie a écrit :Je viens d'essayer en créant un lien symbolique dans un de mes comptes FTP de développement et il m'est impossible de suivre le lien avec le chroot défini en dur. Pour que ça soit possible, il faudrait activer les "virtualchroot" (et donc désactiver le chroot principal), mais du coup si un hébergé crée un lien vers un autre compte, il pourrai théoriquement y avoir accès s'il y a un problème dans les droits et les permissions (des chmod 777 par exemple). Au mieux un chmod 777 rendrai vulnérable les comptes, au pire il n'y aurai plus de contrôle de permissions avec les virtualchroot.
As-tu regarder du côté des ACL ?

J'y ai pensé car je les utilise sur mon serveur perso pour gérer l'accès aux dossiers du NAS à un utilisateur (le serveur Plex dans mon cas) sans pour autant le mettre dans le même groupe que les utilisateurs "normaux".

Je ne peux pas tester avec Pure-FTPd car je suis en train de refaire mon serveur (Plus de disques et Gigabit).

J'essaye de proposer des solutions même si je ne suis ni un pro de Debian ni de Pure-FTPd bien qu'utilisant ces derniers, mais pas de manière aussi poussé ;)
Après c'est sur que sur une telle infra c'est plus compliqué à gérer.
Répondre