L'informatique est à la mode et on ne peut plus s'en passer aujourd'hui. Cependant, il est bon de réfléchir de temps en temps. Les e-passeport, d'abord mis en place par les américains, sont de plus en plus utilisés. Ce dernier regroupe un certain nombre d'informations sensibles (empreintes digitales, ...). Le problème est que ce système réputé inviolable commence à montrer quelques failles. Du coup toutes les informations sensibles qu'il contient peuvent / pourront être récupérées. Alors si on fait un peu de science fiction, si quelqu'un récupére les empreintes digitales et peut fabriquer un modèle à partir de ces données ... Et je ne parle même pas de la falsification / duplication des e-passeport ...
Si vous avez l'habitude d'appeler les renseignements (anciennement le 12), voici peut être quelques informations qui peuvent vous être utiles. Tout d'abord, une révélation ! Non le 12 n'est pas mort, il a juste changé de numéro. Pour les nostalgiques vous pouvez le retrouver en composant le 118711.
Sinon plus généralement vous pourrez trouver sur le site suivant la liste de tous les "12" disponibles ainsi que leurs tarifs: www.appel118.fr. Chose marrante, vous pourrez constater que ce n'est pas ce qui font le plus de bruit/pub qui sont les moins chères.
But: je veux mettre en place un serveur SFTP (FTP over SSH) pour partager quelques fichiers et permettre à des utilisateurs de déposer des fichiers (par exemple les photos de vacances). Et surtout je veux que cela soit secure :) Donc pour le coup on va chrooter les petits utilisateurs (c'est à dire: mettre en cage pour qu'ils aient un accès limité).
Pour cela, on va utiliser un serveur SSH (openssh.org) et le logiciel scponly (sublimation.org).
Pour commencer, il est prudent de limiter l'utilisation de SSH aux membres d'un groupe (par exemple sshusers). Nous allons donc ajouter la ligne suivante dans le fichier /etc/ssh/sshd_config:
AllowGroups sshusers
On crée le groupe grâce à la commande addgroup sshusers, et ajoute nos utilisateurs dans ce groupe: addgroup toto sshusers. Puis on redémarre le serveur SSH: /etc/init.d/ssh restart.
On va maintenant installer/configurer scponly. Pour commencer, un petit apt-get install scponly pour installer le paquet. On positionne le setuid bit (ce n'est pas fait automatiquement à l'installation): chmod u+s /usr/sbin/scponlyc.
C'est le moment de configurer notre cage (jail). Pour cela on va utiliser un script fourni par le paquet Debian. On copie ce script et on le décompresse: cp /usr/share/doc/scponly/setup_chroot/setup_chroot.sh.gz .; gunzip setup_chroot.sh.gz et enfin on l'exécute: sh ./setup_chroot.sh. J'ai gardé les paramètres proposés par défaut (utilisateur scponly, le home dans /home/scponly et le répertoire incoming pour le dépôt de fichier). Le répertoire de dépôt sera le même pour tout le monde, alors on positionne les droits en conséquence pour que tout le monde puisse écrire: chmod 1777 /home/scponly/incoming. Il nous reste à créer l'entrée pour /dev/null: mkdir /home/scponly/dev; mknod -m 666 /home/scponly/dev/null c 1 3
Pour transférer des utilisateurs déjà présents sur scponly, il suffit d'éditer le fichier /etc/passwd et de définir comme répertoire maison: /home/scponly et comme shell: /usr/sbin/scponlyc.
Pour créer un nouvel utilisateur, il suffit d'utiliser la commande magique: useradd -g 1008 -d /home/scponly -s /usr/sbin/scponlyc -c "joe tucker" joe
Puis de lui donner un mot de passe grâce à la commande: passwd joe
Évidemment le "1008" correspond à l'identifiant du groupe sshusers sur mon linux. Pour connaître le vôtre, il suffit de jeter un coup d'oeil dans le fichier /etc/groups.
Pour supprimer un compte, il faut utiliser la commande: deluser joe.
Un dernier petit mot pour les windowsiens, je vous conseille d'utiliser le logiciel Winscp (www.winscp.com) pour vous connecter.