Ca fait longtemps que je n'ai pas jou� avec FTP pour WWW. Mes recettes:
1. cr�ation de l'utilisateur, groupe primaire `nossh'.
2. DenyGroups nossh dans /etc/ssh/sshd_config
-> pas de login ssh possible, y compris pour faire des
redirections de port
3. Mise d'un shell inexistant, non list� dans /etc/shells
(/bin/nosh) dans /etc/passwd
4. R�pertoire utilisateur: /home/truc, selon la config
suivante:
drwxr-sr-x 3 root root 4096 Sep 1 15:05 .
drwxrwsr-x 6 root staff 4096 Sep 1 14:58 ..
drwxr-sr-x 3 truc truc 4096 Sep 1 15:28 public_html
en bref, pas de possibilit� de cr�er .rhosts, .ssh, .forward et autres
b�tises.
5. Alias dans /etc/aliases sur une adresse e-mail (sinon POP p.ex.)
6. cgi-bin configur� dans apache pour �tre suEXEC (tourne sous
l'utilisateur). Ne le faire que si absolument n�cessaire!
7. Ne pas autoriser autre chose que CGI (en particulier pas de
Server-Side Include, notamment PHP sans CGI, tourne sous www-data!)
8. Config proftpd ainsi (pour chroot):
<Anonymous ~truc>
User truc
group ftpguest
AnonRequirePassword on
RequireValidShell off
</Anonymous>
La personne est ainsi confin�e � un r�pertoire en chroot, ne peut se
connecter � la machine. Elle peut ex�cuter des scripts cgi sous son
utilisateur (c'est le trou!). Elle ne peut configurer son .forward
pour ex�cuter des programmes p.ex, vu que ~ ne lui appartient pas.
C'est probablement raisonnablement s�curis�.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
