====== Chroot sftp =======
===== Principe =====
Créer un utilisateur avec un accès sftp sur un port particulier avec uniquement la possibilité de télécharger des fichiers d'un seul répertoire.
===== Configuration =====
Créer l'utilisateur, lui donner un mot de passe et configurer les bons droits :
<code>
useradd userplop -d /home/plop/download
passwd userplop
mkdir /home/plop/download
chmod 750 /home/plop/download
chown root:userplop /home/plop/download
</code>
Éditer la conf' sshd :
<code>
vim /etc/ssh/sshd_config
</code>
Ajouter un port dédié en plus du port 22 par défaut :
<code>
Port 22
Port 12345
</code>
Modifier la configuration du PermitRootLogin à no :
<code>
PermitRootLogin no
</code>
Commenter la ligne existante pour la remplacer par la suivante :
<code>
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem     sftp   internal-sftp -f AUTH -l VERBOSE
</code>
Et ajouter ces lignes __à la fin __du fichier :
<code>
Match LocalPort 22
        PermitRootLogin yes

Match LocalPort 12345
        AllowUsers userplop
        ChrootDirectory /home/plop/download
        ForceCommand internal-sftp
        AllowTcpForwarding no
        GatewayPorts no
        X11Forwarding no
</code>
Redémarrer le service pour prendre en compte ces modif' :
<code>
systemctl restart sshd
</code>
Si besoin :
<code>
firewall-cmd --permanent --zone=public --add-port=12345/tcp
firewall-cmd reload
</code>