La gestion des utilisateurs occupe un chapitre à elle toute seule car il y a beaucoup de connaissances théoriques à intégrer avant d’aller plus loin.
Comme nous l’avons déjà évoqué, vous avez pour l’instant deux utilisateurs pouvant se connecter à votre système : root et john.
Nous avons fait le choix de créer un utilisateur Linux par site Web hébergé sur le serveur. Une autre solution aurait été de créer un répertoire /var/www/nom_site/ pour chaque site Web. Chaque méthode à ses avantages et ses inconvénients. En faisant comme nous, vous aurez moins de soucis pour gérer les droits des fichiers et vous pourrez facilement abandonner le protocole FTP pour passer à une méthode plus sûre de transfert de fichier nommé SFTP (FTP over SSH).
Même si on reviendra plus tard sur SSH, il faut s’assurer que vous savez vous connecter à votre serveur. Normalement votre prestataire devrait vous l’avoir dit. Dans une console, tapez la commande ssh john@ip_serveur. Et voilà !
Pour créer (respectivement supprimer) un utilisateur sous Debian il existe la commande adduser (respectivement deluser). Ces commandes sont spécifiques à Debian et ses dérivés, les commandes classiques sont useradd et userdel mais elles proposent moins d’options.
La commande pour définir ou changer le mot de passe d’un utilisateur est passwd john et celle pour créer un groupe d’utilisateur est addgroup.
On va donc commencer par ajouter un groupe sitesweb, dans lequel seront tous nos utilisateurs/sites Web :
# addgroup sitesweb
Adding group `sitesweb' (GID 1000) ...
Done.
À moins de vouloir faire un serveur FTP pour distribuer des fichiers (comme ftp.debian.org par exemple), vous n’aurez pas besoin d’un logiciel dédié à ce service. Nous allons donc éviter les solutions telles que proftpd ou vsftpd pour passer par SSH, qui est déjà installé sur la machine. Cette solution nous permettra en plus d’utiliser le protocole SFTP au lieu de FTP, qui est plus sûr (les transferts sont chiffrés).
Chaque utilisateur que l’on va créer pour les sites Web aura un accès SSH et donc l’accès SFTP. Mais l’accès SSH veut donc dire qu’il a accès à la console et à toutes les commandes disponibles sur le serveur. C’est le cas de notre utilisateur john par exemple. Cependant ce n’est pas forcément ce qu’on désire pour nos autres utilisateurs. Pour régler ces ennuis, nous allons installer un shell alternatif ne permettant d’utiliser que SFTP et nous allons aussi “chrooter” leur répertoire personnel pour qu’ils ne puissent pas se “balader” au delà.
Il existe deux principaux shells pour n’autoriser que SFTP : rssh et scponly. Nous allons utiliser ce dernier car le paquet fourni un script prêt à l’emploi qui nous facilite le travail.
Installons scponly : apt-get install scponly. Lors de l’installation, la ligne /usr/sbin/scponlyc est directement rajoutée à la fin du fichier /etc/shells qui représente la liste des shells utilisables.
Ce paquet a rajouté à notre système un script tout fait pour rajouter des utilisateurs Linux ne pouvant utiliser que SFTP et disposant d’un environnement chrooté. Pour l’obtenir aller dans le bon répertoire : cd /usr/share/doc/scponly/setup_chroot/ et décompresser le : gunzip setup_chroot.sh.gz. Donnons les droits d’exécution au fichier : chmod +x setup_chroot.sh et lançons le pour créer notre premier utilisateur : ./setup_chroot.sh.
./setup_chroot.sh
Next we need to set the home directory for this scponly user.
please note that the user's home directory MUST NOT be writeable
by the scponly user. this is important so that the scponly user
cannot subvert the .ssh configuration parameters.
for this reason, a writeable subdirectory will be created that
the scponly user can write into.
Username to install [scponly]monsiteweb-fr
Dans un premier temps le script vous demande le nom de l’utilisateur a créer (monsiteweb-fr dans notre cas)
home directory you wish to set for this user [/home/monsiteweb-fr]
Ici on vous demande le chemin du répertoire personnel de l’utilisateur, il est conseillé de laisser la valeur par défaut.
name of the writeable subdirectory [incoming]www
A cette étape il faut entrer le nom d’un répertoire qui sera créé dans le répertoire personnel de l’utilisateur et pour lequel celui-ci aura les droits en écritures (www dans notre cas). Il n’a pas accès en écriture à la racine de son répertoire personnel sinon il pourrait modifier les fichier du répertoire .ssh/ et s’accorder plus de droits que nous le lui avons donné !
creating /home/monsiteweb-fr/www directory for uploading files
Your platform (Linux) does not have a platform specific setup script.
This install script will attempt a best guess.
If you perform customizations, please consider sending me your changes.
Look to the templates in build_extras/arch.
- joe at sublimation dot org
Pour finir on vous demande d’entrer un mot de passe pour le nouvel utilisateur.
please set the password for monsiteweb-fr:
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
if you experience a warning with winscp regarding groups, please install
the provided hacked out fake groups program into your chroot, like so:
cp groups /home/exemple-com/bin/groups
Il faut maintenant activer le bit SUID sur /usr/sbin/scponlyc : chmod +s /usr/sbin/scponlyc. Cette commande n’est à faire que lors de la création du premier utilisateur ! Pour les autres, il ne sera plus utile de la faire.
Sous Debian Etch 4.0 et Debian Lenny 5.0 (aucune idée pour les autres distributions), il y a un bug à corriger : il faut créer un fichier /dev/null dans le répertoire personnel :
# cd ~monsiteweb-fr
# mkdir dev
# mknod -m 666 dev/null c 1 3
Warning
Pour finir, il faut rajouter notre nouvel utilisateur au groupe sitesweb : usermod -aG sitesweb monsiteweb-fr. Ça y est vous pouvez vous connecter en SFTP avec l’utilisateur monsiteweb-fr.