Problème de connexion avec ssh

Résolu
fatou.diene22 Messages postés 49 Statut Membre -  
barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour j'ai configuré un serveur sftp qui marche bien j'arrive à me connecter avec filezila mais mon problème est que j'arrive pas à me connecter avec ssh à distance putty se ferme des que je me logue .
Voici mon fichier de configuration de mon serveur sftp

#sudo apt-get update
#sudo apt-get install openssh-server
#sudo groupadd sftponly
#cat /etc/group
#sudo useradd abc -d / -g 1001 -M -N -o -u 1001
#sudo passwd abc
#cat /etc/passwd
#sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
#sudo nano +76 /etc/ssh/sshd_config
Je me place à la 76 eme ligne du fichier et je remplace "Subsystem sftp /usr/lib/openssh/sftp-server" par Subsystem sftp internal-sftp
Ensuite à la fin du fichier j'ai ajouté les lignes suivantes:
" Match group sftponly
ChrootDirectory /var/www
X11Forwarding no
AllowTcpForwarding no
ForceCommond internal-sftp
"
Le reste je laisse tout par défaut j'enregistre te je quitte .
Enuite j'ai fait
sudo mkdir /var/www
cd /var/www
sudo mkdir test_readonly
sudo chmod 755 test_readonly
sudo mkdir test_readwrite
sudo chown root:sftponly test_readwrite
sudo chmod 775 test_readwrite
sudo mkdir test_noaccess
sudo chmod 733 test_noaccess
sudo /etc/init.d/ssh restart

Et la conexion avec filezila marche mon probleme est que je ne peux pas acceder à mon serveur à distance avec ssh putty se ferme desque je me logue
Qui pour m'aider?

16 réponses

Résumé de la discussion

Le sujet concerne la mise en place d'un serveur SFTP avec chroot et internal-sftp, où la connexion SSH via PuTTY se ferme dès l’authentification malgré une connexion SFTP fonctionnelle. Des solutions évoquées incluent l’utilisation d’utilisateurs séparés pour SSH et SFTP, l’ajout d’une directive AllowUsers et la suppression des guillemets autour du bloc de configuration. Plusieurs réponses recommandent aussi d’empêcher l’accès SSH pour le même compte que le SFTP et de vérifier la présence d’un éventuel typo 'ForceCommond' qui doit être 'ForceCommand'. En cas de mise à jour, il convient de relancer les services et de tester les connexions, l’objectif étant d’éviter les blocages causés par une configuration mal placée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
     
    Bonjour,

    Tu ne peux pas utiliser le même utilisateur pour SSH et SFTP, il faut créer des utilisateurs distincts.

    C'est pour ça que putty se ferme lorsque tu te log.
    1
  2. UnGnU Messages postés 1468 Statut Contributeur 158
     
    Salut,

    ForceCommond internal-sftp

    Est-ce une faute de frappe ou un copier/coller de ton fichier ?

    0
  3. fatou.diene22
     
    UnGnU c'est une fautre d'ecriture c'est ForceCommand internal-sftp au lieu de ForceCommond internal-sftp
    0
  4. fatou.diene22
     
    Bernabe0057 j'ai crée un autre utilisateur pour la connexion ssh mais putty se ferme des que l'uilisateur se logue et pourtant et pourtant si le mot de passe de l'utilisateur est erroné il te dit acces denied et te demande de retaper le mot de passe et des que c'est correcte putty se ferme automatiquement.
    0
    1. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
       
      Il faut ajouter la directive AllowUsers ou AllowGroups avant la partie concernant SFTP.

      exemple :

      AllowUsers fatou barnabe0057 toto

      Tu comprends ?
      0
    2. fatou.diene22
       
      Non je ne comprend pas
      0
    3. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
       
      Il faut que tu dises à SSH quels sont les utilisateurs autorisés à se connecter, ça se fait avec la directive AllowUsers dans le fichier /etc/ssh/sshd_config

      Encore une fois je précise qu'il faut des utilisateurs différents pour SSH et pour SFTP.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. fatou.diene22
     
    la je comprend un peu plus donc supposons que je voulais dire à ssh que les utilisateurs autorisés à se connecter avec ssh sont : fatou, saliou et modou qu'est ce que je dois ajouter dans le fichier??
    0
    1. barnabe0057
       
      Il faudra ajouter ceci :

      AllowUsers fatou saliou modou

      Ces trois-là ne pourront pas se connecter en SFTP, juste en SSH.
      0
  7. fatou.diene22
     
    je l'ai fait j'ai crée 3 utilisateur feuz, dio12345 et sarr je les ai autorisé à se connecter avec sh en ajoutant la ligne suivante: AllowUsers feuz dio12345 sarr au fichier de configuration
    /etc/ss/sshd_config
    mais le probleme persiste putty se ferme directement des que l'utilisateur se logue correctement
    0
  8. fatou.diene22
     
    je l'ai fait j'ai crée 3 utilisateur feuz, dio12345 et sarr je les ai autorisé à se connecter avec sh en ajoutant la ligne suivante: AllowUsers feuz dio12345 sarr au fichier de configuration
    /etc/ssh/sshd_config
    mais le probleme persiste putty se ferme directement des que l'utilisateur se logue correctement
    0
    1. barnabe0057
       
      Voilà à quoi doit ressembler ton fichier /etc/ssh/sshd_config :

      # Package generated configuration file
      # See the sshd_config(5) manpage for details

      # What ports, IPs and protocols we listen for
      Port 22

      # Use these options to restrict which interfaces/protocols sshd will bind to
      #ListenAddress ::
      ListenAddress 0.0.0.0
      Protocol 2

      # HostKeys for protocol version 2
      HostKey /etc/ssh/ssh_host_rsa_key
      HostKey /etc/ssh/ssh_host_dsa_key
      HostKey /etc/ssh/ssh_host_ecdsa_key
      HostKey /etc/ssh/ssh_host_ed25519_key
      #Privilege Separation is turned on for security
      UsePrivilegeSeparation yes

      # Lifetime and size of ephemeral version 1 server key
      KeyRegenerationInterval 3600
      ServerKeyBits 1024

      # Logging
      SyslogFacility AUTH
      LogLevel INFO

      # Authentication:
      LoginGraceTime 120
      PermitRootLogin without-password
      StrictModes yes

      RSAAuthentication yes
      PubkeyAuthentication yes
      #AuthorizedKeysFile %h/.ssh/authorized_keys

      # Don't read the user's ~/.rhosts and ~/.shosts files
      IgnoreRhosts yes
      # For this to work you will also need host keys in /etc/ssh_known_hosts
      RhostsRSAAuthentication no
      # similar for protocol version 2
      HostbasedAuthentication no
      # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
      #IgnoreUserKnownHosts yes

      # To enable empty passwords, change to yes (NOT RECOMMENDED)
      PermitEmptyPasswords no

      # Change to yes to enable challenge-response passwords (beware issues with
      # some PAM modules and threads)
      ChallengeResponseAuthentication no

      # Change to no to disable tunnelled clear text passwords
      PasswordAuthentication yes

      # Kerberos options
      #KerberosAuthentication no
      #KerberosGetAFSToken no
      #KerberosOrLocalPasswd yes
      #KerberosTicketCleanup yes

      # GSSAPI options
      #GSSAPIAuthentication no
      #GSSAPICleanupCredentials yes

      X11Forwarding no
      X11DisplayOffset 10
      PrintMotd no
      PrintLastLog yes
      ClientAliveInterval 30
      TCPKeepAlive yes
      ClientAliveCountMax 1200
      #UseLogin no

      #MaxStartups 10:30:60
      #Banner /etc/issue.net

      AllowUsers feuz dio12345 sarr

      # Allow client to pass locale environment variables
      AcceptEnv LANG LC_*

      # Subsystem sftp /usr/lib/openssh/sftp-server

      # Set this to 'yes' to enable PAM authentication, account processing,
      # and session processing. If this is enabled, PAM authentication will
      # be allowed through the ChallengeResponseAuthentication and
      # PasswordAuthentication. Depending on your PAM configuration,
      # PAM authentication via ChallengeResponseAuthentication may bypass
      # the setting of "PermitRootLogin without-password".
      # If you just want the PAM account and session checks to run without
      # PAM authentication, then enable this but set PasswordAuthentication
      # and ChallengeResponseAuthentication to 'no'.

      Subsystem sftp internal-sftp
      Match group sftponly
      ChrootDirectory /var/www
      X11Forwarding no
      AllowTcpForwarding no


      # UsePAM yes
      # GatewayPorts yes
      0
  9. fatou.diene22
     
    pourtant c'est ce k j'ai fait sauf que j'ai mis entre guillemets
    "Subsystem sftp internal-sftp
    Match group sftponly
    ChrootDirectory /var/www
    X11Forwarding no
    AllowTcpForwarding no
    "

    et je les placé à l fin du fichier juste après UsePAM yes
    0
    1. barnabe0057
       
      Enlève les guillemets.
      0
  10. fatou.diene22
     
    j'ai enlevé les guillemets mais toujours meme chose
    0
    1. UnGnU Messages postés 1468 Statut Contributeur 158
       
      Salut,

      As-tu relancé les services après chaque modification ?
      0
  11. fatou.diene22
     
    oui j'ai bien relançé les services après chaque modification
    0
    1. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
       
      Est-ce qu'on pourrait voir ton fichier ?
      0
  12. fatou.diene22
     
    Attend je monte ma clé usb pour recuperer le fichier de configuration et je le poste
    0
  13. fatou.diene22
     
    # Package generated configuration file
    # See the sshd_config(5) manpage for details

    # What ports, IPs and protocols we listen for
    Port 22

    # Use these options to restrict which interfaces/protocols sshd will bind to
    #ListenAddress ::
    ListenAddress 0.0.0.0
    Protocol 2

    # HostKeys for protocol version 2
    HostKey /etc/ssh/ssh_host_rsa_key
    HostKey /etc/ssh/ssh_host_dsa_key
    HostKey /etc/ssh/ssh_host_ecdsa_key
    HostKey /etc/ssh/ssh_host_ed25519_key
    #Privilege Separation is turned on for security
    UsePrivilegeSeparation yes

    # Lifetime and size of ephemeral version 1 server key
    KeyRegenerationInterval 3600
    ServerKeyBits 1024

    # Logging
    SyslogFacility AUTH
    LogLevel INFO

    # Authentication:
    LoginGraceTime 120
    PermitRootLogin without-password
    StrictModes yes

    RSAAuthentication yes
    PubkeyAuthentication yes
    #AuthorizedKeysFile %h/.ssh/authorized_keys

    # Don't read the user's ~/.rhosts and ~/.shosts files
    IgnoreRhosts yes
    # For this to work you will also need host keys in /etc/ssh_known_hosts
    RhostsRSAAuthentication no
    # similar for protocol version 2
    HostbasedAuthentication no
    # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
    #IgnoreUserKnownHosts yes

    # To enable empty passwords, change to yes (NOT RECOMMENDED)
    PermitEmptyPasswords no

    # Change to yes to enable challenge-response passwords (beware issues with
    # some PAM modules and threads)
    ChallengeResponseAuthentication no

    # Change to no to disable tunnelled clear text passwords
    PasswordAuthentication yes

    # Kerberos options
    #KerberosAuthentication no
    #KerberosGetAFSToken no
    #KerberosOrLocalPasswd yes
    #KerberosTicketCleanup yes

    # GSSAPI options
    #GSSAPIAuthentication no
    #GSSAPICleanupCredentials yes

    X11Forwarding no
    X11DisplayOffset 10
    PrintMotd no
    PrintLastLog yes
    ClientAliveInterval 30
    TCPKeepAlive yes
    ClientAliveCountMax 1200
    #UseLogin no

    #MaxStartups 10:30:60
    #Banner /etc/issue.net

    AllowUsers feuz dio12345 sarr

    # Allow client to pass locale environment variables
    AcceptEnv LANG LC_*

    # Subsystem sftp internal-sftp

    # Set this to 'yes' to enable PAM authentication, account processing,
    # and session processing. If this is enabled, PAM authentication will
    # be allowed through the ChallengeResponseAuthentication and
    # PasswordAuthentication. Depending on your PAM configuration,
    # PAM authentication via ChallengeResponseAuthentication may bypass
    # the setting of "PermitRootLogin without-password".
    # If you just want the PAM account and session checks to run without
    # PAM authentication, then enable this but set PasswordAuthentication
    # and ChallengeResponseAuthentication to 'no'.

    # UsePAM yes
    Subsystem sftp internal-sftp
    Match group sftponly
    ChrootDirectory /var/www
    X11Forwarding no
    AllowTcpForwarding no
    # GatewayPorts yes
    0
    1. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
       
      Tout est correct.

      Tu as pensé à créer les utilisateurs feuz dio12345 sarr ???

      Est-ce que ces utilisateurs font parti du groupe sftponly ?
      0
  14. fatou.diene22 Messages postés 49 Statut Membre
     
    Bernabe c'est ça mon fichier de configuration mais constaté que la ligne PasswordAuthentication yes c'est commenté par défaut chez moi et j'ai vu que c'est pas le cas chez toi j'ai pas aussi la ligne # GatewayPorts yes
    Je ne sais po si c'est grave ou pas

    J'ai aussi cré les users dio12345 feuz et sarr en les ajoutant au groupe sftponly avec les commandes suivants:
    sudo useradd feuz -d / -g 1001 -M -N -o -u 1001
    sudo useradd sarr -d / -g 1001 -M -N -o -u 1001
    sudo useradd dio12345 -d / -g 1001 -M -N -o -u 1001


    et j'ai définit le mot de passe pour chaque user
    0
    1. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
       
      Comme je l'ai déjà dit, les utilisateurs SSH et SFTP doivent être distincts, à cause du chroot.

      Donc il ne faut pas que dio12345 feuz et sarr fassent partie du groupe sftponly.
      0
      1. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930 > barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention  
         
        Si la ligne PasswordAuthentication yes était commentée, le problème vient peut-être de là.

        Tu peux laisser la ligne # GatewayPorts yes commentée, sauf si tu te trouves derrière une box (ou une passerelle quelconque).
        0
    2. fatou.diene22 Messages postés 49 Statut Membre
       
      en ok donc si je comprend bien je doit creer d'autre user et ne pas les ajouter au groupe sftp only
      supposons que je voulais creer un utilisateur pape pour la connexion ssh qu'est ce que je dois mettre à la place de sudo useradd feuz -d / -g 1001 -M -N -o -u 1001?
      mais aussi j'ai pas la ligne # GatewayPorts yes ça ne figure pas j'au aussi décommenté la ligne PasswordAuthentication yes
      0
    3. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
       
      sudo useradd pape -d /var/www -Mn 
      sudo passwd pape
      0
  15. fatou.diene22 Messages postés 49 Statut Membre
     
    ok d' acord attend je teste ça pour voir je te donnerai le résultat
    0
    1. fatou.diene22 Messages postés 49 Statut Membre
       
      la commande ne passe pas quand je fais
      sudo useradd pape -d /var/www -Mn
      j'obtien les écritures suivantes
      -f, --inactive INACTIVE
      -g --gid GROUPE
      -G, --groups , GROUPE
      -h --help
      et c'est pas tout j'ai d'ecris tout simplement les premiers lignes
      il me semble que j'ai sauté quelque chose dans la commande
      0
    2. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
       
      Il y a une petite erreur, il faut taper comme cela :

      sudo useradd -d /var/www -Mn pape
      0
    3. fatou.diene22 Messages postés 49 Statut Membre
       
      je l'ai fait mais j'obtiens toujours la même erreur
      sudo useradd -d /var/www -Mn pape
      0
    4. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
       
      sudo useradd -Mn pape
      0
    5. fatou.diene22 Messages postés 49 Statut Membre
       
      toujours la même chose ça ne passe pas
      0
  16. fatou.diene22 Messages postés 49 Statut Membre
     
    ça marche maintenant j'ai fait la commande suivante pour la création des users sudo useradd -d /var/www -M pape

    comme ça si l'utilisateur se connecte il se positionne directement dans le repertoire de partage /var/www

    et j'ai ajouté dans le fichier de configuration
    AllowUsers pape et ça marche tres bien maintenant merci beaucoup c'est vraiment gent merci infiniement
    0
  17. fatou.diene22 Messages postés 49 Statut Membre
     
    maintenant j'ai constaté que je ne peux pas me connecter en tant que root sur ssh j'ai mis PermitRootLogin yes mais ça n'as pas réussi par contre les autres utilisateurs se connectent correctement alors que je dois creer un dossier chaque jour pour effectuer un backup et c'est fastidieux d'aller toujours sur la machine physique pour creer ce dossier
    0
    1. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
       
      Pas besoin de se connecter en root, tu te connectes en tant que pape ou un autre utilisateur et tu utilises la commande sudo, non ?
      0