Protection du fichier "credential" des Mdp pour montage CIFS

eijjetgv · Février 21, 2016, 1:30pm

Bonjour,

Je suis sur Debian Stable, en 64bits.
J’ai mis en place le montage d’un disque réseau en CIFS dans fstab.
Le montage fonctionne, mais le système n’est pas sécurisé pour l’instant.

Mon fichier contenant le nom d’utilisateur et le mot de passe se trouve actuellement dans /etc/samba/credentials/monfichier
Actuellement les permissions sont -rw----rw- et le fichier appartient à root, groupe root
Tout le monde peut donc lire ce fichier et mon mot de passe.

Si je change les permissions pour -rw------- le montage ne fonctionne plus, le fichier n’étant pas lisible

Ma question : à quel groupe attribuer le fichier pour que ça marche (en modifiant bien sur les permissions en -rw-r-----

Merci.

syam · Février 21, 2016, 1:30pm

Quand tu cherches un truc comme ça (je t’avoue que je n’ai aucune idée de la réponse exacte) il y a toujours le bon vieux ps aux qui te permettra de voir l’utilisateur/groupe associé au démon concerné.

eijjetgv · Février 21, 2016, 1:30pm

Merci de ta réponse.

En fait je ne sais pas quel est le daemon concerné !

J’ai fait un ps aux et j’ai regardé les utilisateurs autres que root ou moi même, mais je n’ai rien trouvé qui pourrait coller…

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND daemon 1245 0.0 0.0 8096 532 ? Ss 09:45 0:00 /sbin/portmap statd 1259 0.0 0.0 14384 876 ? Ss 09:45 0:00 /sbin/rpc.statd daemon 1578 0.0 0.0 18716 448 ? Ss 09:45 0:00 /usr/sbin/atd timidity 1656 0.0 0.1 89224 6372 ? S 09:45 0:00 /usr/bin/timidity -Os -iAD 101 1662 0.0 0.0 24224 1764 ? Ss 09:45 0:00 /usr/bin/dbus-daemon --system avahi 1702 0.0 0.0 33888 1580 ? S 09:45 0:00 avahi-daemon: running [PORTABLE.local] avahi 1703 0.0 0.0 33764 532 ? S 09:45 0:00 avahi-daemon: chroot helper 111 1773 0.0 0.1 45144 5604 ? Ssl 09:45 0:01 /usr/sbin/hald 111 1827 0.0 0.0 26108 1272 ? S 09:45 0:00 hald-addon-acpi: listening on acpid socket /var/run/acpid.socket 108 2234 0.0 0.2 142960 8072 ? S 09:45 0:00 /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1

kna · Février 21, 2016, 1:31pm

Le montage est fait automatiquement au boot, ou tu le montes avec mount ?

Normalement, en automatique, ça devrait fonctionner avec un fichier lisible uniquement par root.
En toute logique, si tu montes le partage manuellement, il faut que l’utilisateur qui fasse le montage puisse lire les credentials.

eijjetgv · Février 21, 2016, 1:31pm

Le montage est fait par un script lancé par anacron (c’est une sauvegarde automatique).

Le lien symbolique dans /etc/cron.daily/ appartient à root
Le fichier vers lequel pointe le lien appartient à mon utilisateur, et au groupe root, et a pour permissions : -rwxr-xr-x

Dois-je attribuer ce fichier à root selon vous ? (je vais faire quelques tests de mon coté)