SSHS et gestion des utilisateurs

Support Debian
#1

Bonjour à tous,

Je voudrais remplacer NFS par SSHFS sur mon serveur.

Sur le serveur, j’ai deux répertoires à partager : /srv/data et /srv/partage. En m’incluant, je n’ai que trois utilisateurs. J’aimerais que tous accèdent en lecture à /srv/data mais que je sois le seul à pouvoir modifier/supprimer/ajouter fichiers ou répertoires dedans et j’aimerais que tout le monde puisse faire n’importe quoi dans /srv/partage…

Comment faire ? J’ai conscience que SSHFS (SSH en fait) ne change rien au problème et que le comportement du partage est fonction des propriétaires/droits des répertoires /srv/data et /srv/partage mais je bloque…

Posons le problème :

[code]- /srv/partage
- riri peut y faire ce qu’il veut
- fifi peut y faire ce qu’il veut
- loulou peut y faire ce qu’il veut

  • /srv/data
    • fifi peut y faire ce qu’il veut
    • riri ne peux qu’accéder au contenu en lecture (pas d’ajout, de modif ou de suppression)
    • loulou a les mêmes droits que riri[/code]

Je créé donc trois utilisateurs riri, fifi et loulou qui serviront à chacun de mes trois vrais utilisateurs pour établir une connexion SSH… Mais comment obtenir le comportement décrit ?

D’autres points pour lesquels je bloque :
(1) Dois-je créer des groupes sur le serveur ?
(2) À qui doivent appartenir les répertoires /srv/partage et /srv/data (et leur contenu bien-sûr)
(3) Pour maintenir ce genre de droits sur les nouveaux fichiers, il faudra jouer avec l’umask des utilisateurs ? Comment ?

Merci beaucoup pour votre aide.

#2

Bonsoir,

AMHA, tu peux faire cela de la manière suivante :

Utilise un script de montage pour ton /srv/partage où tu attribue pour chaque utilisateur un umask de 000 (si j’ai bien compris … tu veux la fête du slip dans ce volume …)

Pour /srv/data, le mieux pour fifi et loulou est d’avoir un groupe primaire commun (exemple dataadmin), de mettre le partage avec propriétaire root, et groupe dataadmin. Ensuite il faudrait attribuer un umask de 002 à fifi et loulou (dans le script de montage de cette ressource) pour que riri ne puisse que lire ou exécuter le fichier (dans le cas d’un répertoire…).

Ma démarche n’est pas exempte d’erreurs je pense mais c’est la seule idée qui me vient à l’esprit…

#3

bonjour

utilise les ACL

et avec ca, un peu de lecture
http://fr.wikipedia.org/wiki/Access_Control_List

a+ gilles

#4

Bonjour à tous et merci pour vos réponses.

Dans le même temps, des amis m’ont expliqué que je pouvais utiliser des groupes et le bit setgid sur les répertoires. Je me documente donc sur toutes ces choses. Si vous avez des compléments d’information, n’hésitez pas ^^

Merci,
Philippe.

EDIT : Après étude du sujet, je comprends que le setgid sur les répertoires me permet de conserver le groupe propriétaire du répertoire sur chaque création de fichier ou de répertoire dans ce premier dossier. Cela m’intéresse en effet mais, en supposant que je fixe ce bit au début de mon partage et que je règle récursivement des droits sur son contenu, alors il me faudra obtenir des droits par défaut cohérents sur la création des nouveaux fichiers/répertoires. C’est le travail d’umask. Je cherche donc si on peu fixer un umask particulier via sshfs (au montage pour ne pas changer celui du poste client ni celui sur le serveur). Encore une fois, si vous avez des infos, je prends… :slight_smile:

#5

Bonjour,

J’ai pu utiliser l’option sftp_server de sshfs pour appeler un script sur le serveur qui, avant de passer le relais à sftp-server, règle un umask temporaire :slight_smile: Cela fonctionne très bien : je ferme donc le sujet !

A bientôt.