Mywebapp, sft et chroot

Maaanu · January 31, 2017, 10:19am

Bonjour à tous,
J’utilise (avec succès) yunohost sur un raspberry pi depuis peu.
J’ai enfin réussi à le configurer pour qu’il fasse ce que je voulais, à savoir quelques services pour moi, et de l’hébergement de quelques sites web pour d’autres gens.

Un de “mes” utilisateurs de site vient de me signaler, parce que je l’avais pas remarqué, que quand il se logge avec son utilisateur my_webapp__3, par exemple, il a accès à tout les autres répertoires, y compris les autres webapp et surtout tout le dossier /etc/ par exemple…
C’est gênant (même si je fais confiance aux quelques personnes que j’héberge gratos… mais si ils se font choper leur mot de passe par exemple?)

Du coup, y a-t-il une manière simple de chrooter les webapp? et de manière automatique?
Est-ce qu’il faut le demander au dev de l’appli?

Je vous avoue je n"ai pas encore eut le temps de me pencher sur la config ssh pour voir si je voyais quelque chose dedans…

Merci d’avance !

Maniack_Crudelis · January 31, 2017, 11:10am

Salut Maaanu,

Ça semble être une erreur de configuration de ssh effectivement. Normalement sftp permet de mettre en place facilement un chroot.
J’ai ouvert une issue à ce propos sur le dépôt de l’app.

Maaanu · January 31, 2017, 11:16am

Merci Maniack_Crudelis.
Effectivement, j’imagine bien pouvoir le faire “à la main” dans la config, mais j’avais bien l’impression que ça aurait du être un comportement par défaut.

Maaanu · February 5, 2017, 2:51pm

Alors, du coup, j’ai quand même une question :
Comment chrooter les utilisateurs my_webapp qui sont déja créés?

Merci d’avance !

Shnoulle · February 8, 2017, 6:37pm

Pour les user web app ? Ca serait pas mieux en sftponly ?

Perso , c’est ce que je fait sur mes serveurs : 1 utilisateur sudo + tous les autres utilisateurs en sftponly avec les répertoires qui vont bien créé.

Maaanu · February 8, 2017, 7:20pm

En sftponly? Comment ça?
Moi j’ai utilisé Custom_webapp pour héberger divers sites, parce qu’en installant ça à la racine de chaque domaine, ça roule (j’ai besoin d’aucun autre service pour les sites que j’héberge en général).

Du coup, je t’avoue que je ne comprends pas ta solution Shnoulle… Désolé

Shnoulle · February 9, 2017, 7:24am

Le sftponly : tu n’autorise que une connexion en sftp, pas en ssh.
Et tu fait très facilement un chroot sur un sftponly.

Match group sftponly
 ChrootDirectory /home/%u
 X11Forwarding no
 AllowTcpForwarding no
 ForceCommand internal-sftp

Cela serait juste plus facile à passer en chroot. Après voir si cela doit être gérable via yunohost et comment.

Denis

PS : cela semble être le cas : à l’installation de la web_app:

# Hardening user connection
Match User webapp1
  ChrootDirectory %h
  ForceCommand internal-sftp
  AllowTcpForwarding no
  PermitTunnel no
  X11Forwarding no
##<- my_webapp

Martin · March 29, 2021, 3:22pm

Bonjour à tous
Je viens d’avoir un problème de Chroot aussi sur mon Yuno avec cette app.
Ma conclusion de mes recherches : Si le fichier /etc/ssh/sshd_config a été modifié manuellement alors lors de l’installation de cette app il n’est pas mis à jour et alors la partie Chroot n’est pas configuré. Résultat l’utilisateur n’est pas Chrooté
on voit ca dans les logs :

WARNING - The configuration file ‘/etc/ssh/sshd_config’ has been manually modified and will not be updated

et on voit aussi la config a appliquer