Protection de mon arborescence


#1

Bonsoir, j’ai un léger problème :
je souhaite créer une arborescence qui sera partagée via samba sur mon réseau. Le problème se situe au niveau des droits : mes utilisateurs auront tous les droits (777) dans les fichiers que cette arborescence va contenir, mais je ne veux pas qu’ils puissent supprimer ces dossiers que j’ai prédéfini.

Comment je dois m’y prendre ?
Merci :jap:


#2

j’ai pas retrouvé comment le faire dans smb.conf (je connais mal la gestion des acl), mais il me semble que tu peux configurer ça dans les propriétés de l’arbo depuis un poste client windows (avec le clic droit) en s’authentifiant comme admin samba.
Mais j’ai bien compris: tu veux tout de même qu’il puissent modifier les fichier existant et en créer des nouveaux ?
En parlant d’acl, il y a moyen aussi peut être de le faire avec les “extended attributes” de ton systême de fichier. C’est une partoche ext ?

Ah oui, et j’oubliais, si ce ne sont que les dossiers que tu veux protèger, il suffit que tu mettes des fichiers “veto” dans ces répertoire, (man smb.conf) et les répertoires ou il y a un fichier “veto” (= invisible+inaccessible) deviennent indestructibles.


#3

[quote=“MattOTop”]snip …
et les répertoires ou il y a un fichier “veto” (= invisible+inaccessible) deviennent indestructibles.[/quote]Dsl de l’intrusion :slightly_smiling:
Ils sont indestructibles meme pour root?
Tu les créés comment???


#4

non: ils sont indestructibles et invisibles par samba. Mais sous linux, ils sont normaux…
Tu les crées avec touch par exemple (même en user si tu as les droits d’ecriture), mais en fait, tu déclares un “pattern” les “matchant” dans smb.conf, ce qui les rend invisibles + indestructibles en accèdant au share.


#5

Oki merci tres interressant tous ca je n’ai pas besoin de tous ca mais je lit quand meme pour m’instruire on ne sais jamais si un jour j’en ai besoin :slightly_smiling:

One day …


#6

Merci à toi, je vais essayer avec ces solutions.
En fait, ça serait un peu comme les .htaccess pour Apache si j’ai bien comprit.


#7

[quote=“micha30000”]Merci à toi, je vais essayer avec ces solutions.
En fait, ça serait un peu comme les .htaccess pour Apache si j’ai bien comprit.[/quote]voui.


#8

Bon, bin toujours pas trouvé !

Je veux juste que mes dossiers ne soient pas effacés / renommés par mes utilisateurs. Ca doit pas etre très compliqué, mais je n’ai pas les outils pour le faire !


#9

slt,

La ca veut dire que n’importe qui pour effacer ce qu’il veut, si c’est ce que tu veut ok sinon pense au “sticky-bit”.

Si toi parcontre tu veut etre tranquille pour tes rép tu leur file juste les droits en lecture, execution, modification pour le proprio et le groupe. Ensuite tu ajoute tes users a ce groupe et tu place le sticky-bit. La tes users pour créer des files, les supprimés mais pas dans le rép supérieur.


#10

Oui, je veux que tous mes utilisateurs puissent créer des fichiers, les supprimer, les renommer, les exécuter… Mais je veux qu’ils gardent l’arborescence que j’ai défini. Comme cela :

/stockage
-> /drivers
-> /logiciels
-> /outils
-> /prog-libres
-> /autres

Le sticky-bit c’est pour relancer plus rapidement un contenu non ? C’est une sorte de cache. Je me rappelle plus trop. Je ne pense pas que ce soit ma solution :confused:


#11

et quand le répertoire est en 0755, appartenant, par exemple à root.root, tu arrives à le supprimer par samba ?


#12

Comme ça ça marche, mais le jour où c’est un autre groupe que root qui veut écrire, ça ne fonctionnera pas ?

A quoi sert le 0 dans 0755 ?


#13

slt,

commence par te documenté sur les droits unix, le sticky, s-bit etc…je pense que ce sera moins compliqué que tu le crois.


#14

Merci du conseil.
Les droits UGO RWX421 ça va je connais, mais c’est vrai que j’ai jamais eu l’occasion de beaucoup les pratiquer donc c’est un peu galère, je n’ai pas la notion de ce que je peux faire avec ça.

Sinon pour les sticky-bit, les SUID ou GUID je ne connais pas du tout.
:jap:


#15

tout à fait. Ce n’est pas une piste. Je me demandais si tu pouvais déjà en faire qqchose, mais non.
Sinon, comme alternative à la solution de stonfi, il y a aussi les “extended attributes” du systême de fichier, mais je ne sais pas s’ils sont activés en standard dans le noyau pour ton format de filesystem, donc ça peut être un peu galère à mettre en oeuvre.

il n’est pas obligatoire, mais c’est là qu’on indique un éventuel “sticky bit” (auquel je n’avais pas pensé).
Pour mieux comprendre: man chmod.