Thirganor Posté(e) le 12 septembre 2007 Posté(e) le 12 septembre 2007 Salut à vous, afin de permettre à mes amis de sauvegarder leurs données importantes chez moi, je leur avais mis à dispo un partage en FTP, mais toutes les peines du monde à s'y connecter de l'extérieur, et de toutes facons par très sûr. Donc je me suis tourné vers les tutos pour activer le SSH afin d'utiliser WinSCP. Jusque là pas de problème, la connexion avec clé fonctionne nickel. Par contre, comme certains l'avait déjà fait remarquer, les utilisateurs qui se connectaient avaient accès à tout... ce qui reste très embetant. J'ai donc tenté d'y remedier, en partie: 1. Création d'un nouveau groupe: friends 2. Création d'un nouveau répertoire /volume1/friends 3. chgrp des repertoires non autorisés -> users (comme music, video, ...) 4. chmod de ces même répertoires en 770 5. Création d'utilisateurs avec leur home dans /volume1/friends/userX 6. chmod de ces répertoires users en 700 7. installation des clés ssh Jusqu'ici, pas de soucis, les nouveaux utilisateurs peuvent se connecter avec leur clé, peuvent parcourir l'arborescense mais ne peuvent pas voir le contenu de ce qui leur est interdit. Je pensais avoir une solution à peu pret propre jusqu'à ce que j'essaie d'effacer un fichier "root" avec l'un de ces utilisateurs. Et là MALHEUR, ca fonctionne... ces utilisateurs peuvent effacer et renommer n'importe quoi ou presque (dans l'histoire, j'ai effacé le fichier aquota.groups, j'espère qu'il n'était pas important ) Je capte plus... Mes droits de fichiers ressemblent à ca: /volume1 drwxrwxrwx root root /volume1/video drwxrwx--- root users /volume1/friends drwxrwxrwx root friends /volume1/friends/user1 drwx------ user1 friends /volume1/friends/user2 drwx------ user2 friends /volume1/test.txt -rw-r--r-- root root - user2 ne peut pas voir les données de user1: OK - userX ne peuvent pas voir les données de video: OK - user2 peut renommer/détruire le répertoire de user1: PAS OK - user2 peut détruire le répertoire de user1: PAS OK - userX peuvent renommer/effacer /volume1/test.txt: PAS OK DU TOUT C'est quoi ce délire ?!? Z'auriez une idée ? Voici mon passwd: root:x:0:0:root:/root:/bin/ash lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin ftp:x:21:21:Anonymous FTP User:/nonexist:/sbin/nologin anonymous:x:21:21:Anonymous FTP User:/nonexist:/sbin/nologin smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin nobody:x:1023:1023:nobody:/home:/sbin/nologin admin:x:1024:100:System default user:/volume1/@database:/bin/sh guest:x:1025:100:Guest:/nonexist:/bin/sh Moi:x:1026:100::/:/bin/csh user1:x:1033:65537:user test 1:/volume1/friends/user1:/bin/ash user2:x:1034:65537:user test 2:/volume1/friends/user2:/bin/ash et mon fichier group: #$_@GID__INDEX@_$65538$ root:x:0: lp:x:7:nobody,lp,nobody ftp:x:21:nobody,ftp,nobody smmsp:x:25:nobody,smmsp,nobody nobody:x:1023:nobody,nobody users:x:100:nobody,nobody friends:x:65537:nobody,user1,user2,nobody que j'ai modifié à la main. Aurais-je fait des erreurs ? d'ailleurs je ne comprends pas pourquoi il y a partout "nobody" dans les groupes. (C'est vrai que mes cours UNIX remontent à très très loin, mais bon)
DD_pak Posté(e) le 13 septembre 2007 Posté(e) le 13 septembre 2007 Salut Moi aussi j'utilise mon syno pour des sauvegardes de plusieurs personnes, au début je pensé comme toi en jouant sur les droits de fichiers mais ca a pas marcher (ps: je pense comme toi pour les droits je peux pas expliquer pourkoi ca marche pas ce que tu veux faire). Meme si ca marche rien empeche user 1 et user 2 de se connecter en ssh et de lancer des commandes, et rien ne les bloque pour remonter au / et aller dans /etc ou /volume1/web ... Voila ma solution perso j'ai installer scponly (de memoire je crois que c'est celui la c'est en ipkg), ca te permet de faire une connection en sftp (plus secure que le ftp), d'interdire le ssh, et de les chrooter directement dans leur home (donc chaque user a son home et ne peux pas en sortir donc pas de probleme de droit a gerer meme pas la peine de faire des groupes). L'inconvenients est que dans le repertoire chrooter il faut recopier les repertoires systèmes de bases environ 400mb à chaque fois, chez moi tout le monde se connecte avec le meme user (on se fait confiance) j'ai voulus une separation des données du web et leurs sauvagardes de facon a ce qu'il ne font pas le bordel car il n'y connaisse rien. Pour toi le mieux c'est un mixte tu chroot user 1 et 2 dans le meme repertoire, et la tu gere les droits (j'ai essayé ca marche pas de probleme). J'ai pas le net j'attend ma freebox, donc j'ai pas le syno devant moi pour t'aider si t'essaye ma solution (pas simple a mettre en place), mais j'essaye de passer une fois par jour sur le forum si ma solution t'interresse @+
Thirganor Posté(e) le 18 septembre 2007 Auteur Posté(e) le 18 septembre 2007 Merci DD_pak de ton aide. J'avais vu, aussi, que certains c'étaient tourné vers le scponly ou du chroot, mais cela me paraissait plus compliqué à mettre en place. Et comme nous avons un gentil linux sur nos becannes, je voulais essayer le plus simplement possible. Ce qui me gene vraiment c'est qu'un utilisateur lamda, sans droits "Root", puissent faire ce genre de truc. Qu'il puisse se promener dans l'arborescence ne me gene pas trop, mais qu'il puisse effacer du contenu auquel il n'a pas droit m'interpelle fortement. Soit j'ai rien compris au droits d'Accès, soit le Linux du Syno a un mode spécial pour gérer les droits. Je vais voir sur le forum de Syno si certains ont remarquer le même phénomène. Autrement, pour nos pros du Linux ici, vous n'auriez pas essayé d'ajouter à la main un utlisateur dans un nouveau groupe et essayé d'effacer des fichiers "root" avec ? Bye...
pepere51 Posté(e) le 22 novembre 2007 Posté(e) le 22 novembre 2007 L'effacement d'un fichier ne depand pas des droits du fichier, mais du répertoire parent. si le répértoire est en drwxrwxrwx, tu peux effacer n'importe quel fichier dedans, ce qui est le cas de /volume1 Il faut fermer le repertoire J'espère que cela répond à ta question
KDD Posté(e) le 11 décembre 2007 Posté(e) le 11 décembre 2007 Je capte plus... Mes droits de fichiers ressemblent à ca: /volume1 drwxrwxrwx root root /volume1/video drwxrwx--- root users /volume1/friends drwxrwxrwx root friends /volume1/friends/user1 drwx------ user1 friends /volume1/friends/user2 drwx------ user2 friends /volume1/test.txt -rw-r--r-- root root - user2 ne peut pas voir les données de user1: OK - userX ne peuvent pas voir les données de video: OK - user2 peut renommer/détruire le répertoire de user1: PAS OK Normal, user2 est dans le groupe friends qui a le droit d'écriture (w) sur le répertoire /volume1/friends qui contient le répertoire de user1. - user2 peut détruire le répertoire de user1: PAS OK Idem. - userX peuvent renommer/effacer /volume1/test.txt: PAS OK DU TOUT Normal, tous les droits (rwx) sont permis à tout le monde (le troisième rwx) sur le répertoire /volume1 qui contient /volume1/test.txt. Bref, c'est ce qu'explique pepere51 ci-dessus.
Thirganor Posté(e) le 1 janvier 2008 Auteur Posté(e) le 1 janvier 2008 Merci pour ces explications, ca ne fonctionne donc pas comme les droits windows... damned . Maintenant, je suppose que si je modifie les droits de "volume1" ca va mettre le boxon.
.png.c1ce62910554a5e8a2915ffddd97fe16.png)
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.