Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment cacher le .ssh aux utilisateurs utilisant SFTP ou SSH ?

Wiggum

Bonjour à tous,

J’ai une question qui relève plus des bonnes pratiques que d’un problème technique et si un « ancien » passait dans le coin pour me donner son avis, il serait le bienvenu.

J’utilise une machine relais pour les échanges de fichiers entre mon cloud et l’extérieur (ce qui pourrait être assimilable à un serveur SFTP dans une DMZ).

Les machines présentent dans mon cloud déposent les fichiers via ssh avec authentification par clefs.
Les clients externes se connectent également en sftp pour récupérer leurs fichiers.

Quand un client externe il a donc accès au répertoire .ssh et donc potentiellement à la clef privée. Si je déplace cette clef privée, je pense que le deamon SSH ne sera pas super content quand les machines de mon cloud tenteront de se connecter.

Comment cacher vous le répertoire .ssh aux utilisateurs externes ?

mangue

as-tu essayé de restreindre les droits sur le fichier ?

sudo chmod 700 [repertoire.ssh] par exemple, et restart du service ssh pour tester.

Je n'ai plus le technique en tête mais n'es-tu pas sensé avoir un répertoire précis par utilisateurs ? Pourquoi leur donner accès au répertoire dans lequel se trouve ta clé privé ?

Quelque chose comme :

sudo usermod -d [/nouveau/repertoire/partagé] [nom_account]
sudo chmod [nom_account] [/nouveau/repertoire/partagé]

J'ai pas trop le temps de chercher là tout de suite, mais si personne d'autre n'a répondu ce soir, je reviendrais avec les infos.

tiramiseb

Quand un client externe il a donc accès au répertoire .ssh et donc potentiellement à la clef privée.

Les clefs privées ne sont normalement que lisibles par le propriétaire du fichier.

Si tes utilisateurs externes se connectent tous sur le même utilisateur, alors là c'est problématique et il faut revoir le fonctionnement de leur truc.
S'ils se connectent chacun à son compte, alors chacun doit avoir sa clé, alors il ne devrait pas y avoir de problème.

Ou alors j'ai mal compris ton problème...

En tout cas le .ssh ne peut pas être "caché" à l'utilisateur qui en est propriétaire...