Partage sftp avec docker

Sécure et facile.

Je continue sur ma lancée de proposition de containers docker pour se doter de service rapidement. Après un papier sur jellyfin, et sur la construction d’une base de centralisée pour vos platines kodi, je vous explique aujourd’hui comment je compte partager le répertoire d’un serveur distant sur mon réseau local. Et si j’ai opté une nouvelle fois pour docker c’est parce que c’est une solution simple à mettre en place qui ne donne pas un vrai accès SSH tout en évitant de chrooter un utilisateur. Bref du bon boulot.

L’installation est triviale: elle repose sur un fichier docker-compose, la génération des clés ssh nécessaires, le lancement du container, et le montage local du répertoire distant.

Configuration du docker-compose

J’utilise pour se faire l’excellente image docker netresearch/sftp, complète et efficace.
Créez un dossier sftp et collez-y un fichier docker-compose.yaml:

1

mkdir sftp

1

nano docker-compose.yaml

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


version: '3.7'

services:
  sftp:
    image: netresearch/sftp
    container_name: sftp
    restart: unless-stopped
    volumes:
        - /repertoire-local-a-partager:/home/foo/repertoire-local-a-partager
        - ./etc/ssh_ed25519_key:/etc/ssh/ssh_host_ed25519_key
        - ./etc/ssh_rsa4096_key:/etc/ssh/ssh_rsa4096_key
        - ./home/ssh_ed25519_key.pub:/home/foo/.ssh/keys/ssh_ed25519_key.pub:ro
    command: foo::1000
    ports:
        - "2222:22"
    networks:
      - web

networks:
  web:
    external: true

Commentaires

repertoire-local-a-partager: correspond au répertoire présent sur le serveur distant qu’on souhaite monter dans le container, afin de le rendre ensuite accessible en sftp à un serveur local.
./etc/ssh_ed25519_key, ./etc/ssh_rsa4096_key et ./home/ssh_ed25519_key.pub: sont les deux clés ssh privés et la clé publique requises pour établir une connexion sftp sans mot de passe sereinement. Les clés privées vont être montées dans /etc/ssh du container afin que la clé de signature soit persistante et n’engendre pas d’alerte dans votre serveur local lorsque vous devrez relancer le service (je propose une clé ed25519 et une rsa4096 afin d’assurer une compatibilité avec d’ancien client). La clé publique va quant à elle être montée dans /home/foo/.ssh/keys et permette d’accomplir l’authentification entre le container (qui fait office de serveur ssh réduit au minimum dans notre cas) et le client (voir ici, ou là pour plus de détail).
foo::1000: ici j’ai choisi de générer l’utilisateur foo avec UID 1000. Deux choses sont à noter: l’UID n’est pas une série de chiffre à négliger si on souhaite s’éviter les soucis de permission d’écriture des futurs différents utilisateurs sur les répertoires à partager, pour le connaître taper id mon-utilisateur. Je n’ai pas renseigné de mot de passe, ne souhaitant permettre de connexion que par clé. Si je changeais d’avis à l’avenir il me suffira d’écrire foo:pass:1000.

Génération des clés SSH

Il faudra trois paires de clé au total. Deux paires dont on n’utilisera que la version privée et que vous pourrez laisser dans ./etc/, elles servent au serveur local à vérifier l’identité du serveur disant. La troisième paire publique/privée sera placée dans le ~/.ssh de son serveur local, quand seule la version publique sera quant à elle montée dans le container.

Créez le dossier etc et créez ici votre clé rsa4096, puis la clé ed25519. Puis revenez en arrière et créez le dossier home pour y mettre l’autre clé ed25519.

De type RSA 4096

1

ssh-keygen -t rsa -b 4096 -o -f ssh_rsa4096_key

De type ED25519

1

ssh-keygen -t ed25519 -a 64 -f ssh_ed25519_key

N’ajoutez pas de passphrase si vous souhaitez permettre le montage automatique du volume au démarrage du système.

Montez le répertoire distant

Commencez par lancer le service en vous plaçant dans le répertoire sftp et en tapant la commande docker-compose up -d. Si vous ne voyez pas d’erreur vous pouvez passer à la suite:

C’est à dire copiez ./home/ssh_ed25519_key et ./home/ssh_ed25519_key.pub dans ~/.ssh/ de votre serveur local,
Puis de créez le dossier de montage /sshfs/repertoire-local-a-partage sur votre serveur local,
Et d’enfin ajouteez une ligne dans /etc/fstab toujours localement.

1

mkdir -p /sshfs/repertoire-local-a-partage

1

nano /etc/fstab

1

sshfs#foo@IP-DISTANTE:/repertoire-local-a-partage /sshfs/repertoire-local-a-partage fuse port=2222,x-systemd.automount,_netdev,users,idmap=user,IdentityFile=/home/USERNAME/.ssh/ssh_ed25519_key,allow_other,default_permissions,uid=1000,gid=1000 0 0

1

mount /sshfs/repertoire-local-a-partage

Pensez à changer USERNAME par votre utilisateur local, et l'IP-DISTANTE par l’ip de votre serveur distant.

Débugage

Si le répertoire ne se monte pas, vérifiez d’abord que vous disposez bien des dépendances fuse et sshfs (voir un précédent papier sur ce sujet ici).
Surtout pour investiguer un peu et vous éviter toute migraine excessive, vous pouvez utiliser cette commande:

1

sshfs -p 2222 -odebug,sshfs_debug,loglevel=debug -o Compression=no -o allow_root -o transform_symlinks foo@IP-DISTANTE:/repertoire-local-a-partage /sshfs/repertoire-local-a-partage

Happy SSHFS les amis !

Pour aller plus loin

🔗 https://doc.ubuntu-fr.org/sshfs
🔗 https://wiki.archlinux.org/index.php/SSHFS