Configuration permissions sous debian 8

tonio_8 · Août 2, 2019, 1:08pm

Bonjour à tous,

Première fois que je me lance sur un forum.
J’ai vu que celui-ci avait pas mal d’activités récentes

Comme vu dans le titre, aujourd’hui j’aimerai aborder le sujet des permissions users/folders sous linux
Pour information : je suis sur un serveur (VPS) configuré sous Debian 8

J’utilise Lynis pour avoir des petites suggestions et conseils concernant la sécurité du serveur
Cependant je planche sur deux de ses “warnings” concernant les permissions

 Warnings (2):
----------------------------
! Permissions of some users' home directories are not strict enough. Should be 750 or more restrictive. [HOME-9304]
    https://cisofy.com/lynis/controls/HOME-9304/
! Owner of some users' home directories are not correctly set [HOME-9306]
    https://cisofy.com/lynis/controls/HOME-9306/

J’ai essayé de mettre les permissions en dessous de 750 comme demandé, de modifier les permissions de Home… sans réel succès (j’ai même bloqué l’accès à mon user principal…)
Après un rétablissement de la situation, je me suis demandé : quoi de mieux que de demander de précieux conseils d’experts en la matière !

J’aimerai donc savoir ce qui cloche au niveau de mes permissions… et savoir qu’est ce qui est mal configuré

Merci d’avance à celui ou celle qui prendra le temps de me lire, et encore mieux de m’aider

Bien à tous
Tonio

tonio_8 · Août 2, 2019, 1:27pm

PS : étant nouvel utilisateur, je n’avais le droit qu’à une image…

Permissions user principal :

tonio@vpsmine:~$ ls -al -l
total 64
drwx--x--x 3 tonio tonio  4096 août    1 11:27 .
drwx---r-x 3 root  root   4096 août    1 11:52 ..
-rw-r----x 1 tonio tonio  4829 août    1 16:32 .bash_history
-rw-r----x 1 tonio tonio   220 juil.  24 13:16 .bash_logout
-rw-r----x 1 tonio tonio  3701 juil.  26 04:51 .bashrc
-rw------- 1 tonio tonio   807 juil.  28 13:42 dead.letter
-rw-r--r-- 1 root  root      0 juil.  27 18:41 etc
drwxr----- 1 root  root   4096 juil.  25 05:34 lynis
-rw-r----- 1 root  root  14247 juil.  30 13:26 openvpn-install.sh
-rw-r----x 1 tonio tonio   675 juil.  24 13:16 .profile
-rw-r----- 1 root  root   2988 août    1 11:00 scriptnettoyage.sh
-rw-r----x 1 tonio tonio  1987 juil.  26 11:22 .viminfo
-rw-r----x 1 tonio tonio   106 juil.  30 15:15 .Xauthority
tonio@vpsmine:~$

tonio_8 · Août 2, 2019, 1:27pm

Permissions /home :

tonio@vpsmine:/home$ ls -al -l
total 20
drwx---r-x  3 root  root    4096 août   1 11:52.
drwx-wxr-x 22 root  root    4096 août   2 05:37 ..
drwx-wxr-x  3 debian debian 4096 juil. 24 09:01 debian
drw-------  5 root  root    4096 août   1 11:52 root
drwx--x--x  5 tonio tonio   4096 août   1 11:27 tonio
tonio@vpsmine:/home$

tonio_8 · Août 2, 2019, 1:46pm

Permissions root :

root@vpsmine:~$ ls -al -l
total 31428
drw-------  6 root  root     4096 juil. 30 15:46 .
drwx-wxr-x 22 root  root     4096 août   2 05:37 ..
-rw-r--r--  1 root  root     6879 août   2 05:40 .bash_history
-rw-r--r--  1 root  root      756 juil. 26 07:50 .bashrc
-rw-------  1 root  root      248 août   1 15:14 dead.letter
drwx------  2 root  root     4096 août   1 11:25 .gnupg
-rw-r--r--  1 root  root    10891 juil. 26 11:17 index.html
-rw-r--r--  1 root  root    10891 juil. 26 11:17 index.html.1
-rw-------  1 root  root   114688 juil. 26 09:26 mbox
-rw-------  1 root  root      118 août   1 16:31 .nano_history
-rw-r--r--  1 root  root 31961064 févr.  7  2018 openvpn-as-2.1.12-Debian8.amd_64.deb
-rw-r--r--  1 root  root    14247 juil. 29 18:43 openvpn-install.sh
-rw-r--r--  1 root  root       50 mars  24 04:10 .ovhrc
-rw-r--r--  1 root  root      148 août  17  2015 .profile
drwxr-xr-x  3 root  root     4096 juil. 30 06:43 .python-eggs
-rw-------  1 root  root     1024 juil. 30 05:26 .rnd
drwx------  2 root  root     4096 juil. 24 09:07 .ssh
drwxr-xr-x  2 root  root     4096 juil. 28 12:13 .vim
-rw-------  1 root  root     5012 juil. 30 15:46 .viminfo
root@vpsmine:~$

(si vous avez besoin d’autres informations ou si vous pensez que cela vient d’autre part, n’hésitez pas à me solliciter)

grandtoubab · Août 2, 2019, 11:15am

le lien donné par lynis doit expliqué le pourquoi du warning, mais comme tu as collé une image on ne peut pas cliquer…les images c’est gonflant
un simple copier coller est beaucoup plus simple pour les futurs intervenant

tonio_8 · Août 2, 2019, 11:35am

Tout d’abord merci pour ta réponse
J’ai été sur les liens et ils emmènent nul part, dans le sens où personne n’a implémenté de solution donc ça marque « new discovery »
Mais je note

A première vue rien ne te surprends dans mes permissions?
Merci de ton aide

tonio_8 · Août 2, 2019, 12:00pm

Liens lynis :

! Permissions of some users’ home directories are not strict enough. Should be 750 or more restrictive. [HOME-9304]
https://cisofy.com/lynis/controls/HOME-9304/

! Owner of some users’ home directories are not correctly set [HOME-9306]
https://cisofy.com/lynis/controls/HOME-9306/

grandtoubab · Août 5, 2019, 11:43am

cf /etc/adduser.conf les droits standards sont 0755 (rwxr-xr-x)

# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0755

https://www.debian.org/doc/manuals/debian-handbook/sect.creating-accounts.fr.html

Sur lynis

Follow-up:

Show details of a test (lynis show details TEST-ID)

lynis show details HOME-9304

littlejohn75 · Août 2, 2019, 12:39pm

Pourquoi y-a-t’il dans ce répertoire /home/tonio deux fichiers *.sh qui ne sont pas exécutables et qui appartiennent à root ?
Que fait ce répertoire etc dans ~tonio ?
De même il y a un répertoire lynis qui appartient à root et qui ne peut être lu ou traversé que par root ?
Avez-vous installé le paquet lynis depuis les dépôts Debian ? Si c’est le cas, installez le paquet debian-goodies et parcourez toute la documentation affichée par

debmany lynis

La sortie de la commande stat peut aussi être éclairante.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » (R. Devos)

« Celui qui, parti de rien, n’est arrivé nulle part n’a de merci à dire à personne !! »
Pierre Dac

tonio_8 · Août 2, 2019, 3:36pm

Merci pour ton post, le “show détails” apporte les bonnes réponses !

grandtoubab:

cf /etc/adduser.conf les droits standards sont 0755 (rwxr-xr-x)
# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0755

Est-ce possible de passer en 750 par défaut par exemple ?

Merci

tonio_8 · Août 2, 2019, 2:53pm

Bonjour,
Tout d’abord merci de votre réponse

Il y a deux fichiers .sh dans tonio qui appartienne à Root car j’étais en root et j’ai crée des petits scripts pour tester. La présence de ces fichiers est dérangeante ?

Pour la présence du répertoire etc dans tonio, je vous avoue que je me posais la même question !
Nous sommes d’accord que ce n’est pas normal ? est-ce problématique ? je viens de regarder, il s’agit d’un fichier… vide. Je peux le supp ?

Alors, de base j’ai installé Lynis par le traditionnel “apt-get install lynis”.
Sauf que la version n’était pas bonne (ancienne)
En passant par “apt-get update” et “apt-get upgrade” la version ne se mettait pas à jour.
Depuis j’ai changé mes sources donc je devrais peut être réessayer
Pour répondre à ta question donc, je suis passé par le package officiel du site de Lynis avec leur dernière version. Et je l’ai mis dans tonio
Depuis je l’utilise par la
Je suppose que ce n’est pas top non plus ?

Merci du temps accordé

Tonio