Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Restreindre un utilisateur dans son /home/user

Amerzone

Bonjour, Je voudrais savoir comment limiter l'accès d'un utilisateur d'un compte de /home/utilisateur puisse aller ou visiter toute l'arboresence de la racine.

Egalement quand on est connecté en ssh?.

hugsy_75

salut,

ben a ma connaissance, y a pas vraiment 36 000 moyens, il te faut editer les droits en lecture/ecriture des fichiers/repertoires dont tu ne veux pas qu'ils soient vus. Par exexmple, enleve les droits en lecture et ecriture (je te conseille pas trop d enlever les droits en execution) pour " other " (cf. man chmod)

je te dis ca sans garantie, ms perso c'est comme ca que je ferai.

su -c " chmod -R o-rw /* "

en plus ca risque d etre super long en fonction de la taille de ta partition nux

++

ps : si c modifié en local, ca le sera en ssh !!!

nouvo09

tu as regardé s'il n'y a pas une piste dans chroot ?

Anvil

Ca n'a aucun interet. S'il ne peut pas voir ce qu'il y a dans les repertoires du systeme, autant ne pas lui donner de compte du tout, parce qu'il ne pourra pas lancer de commande sans connaitre au prealable et donner les chemins absolus des dites commandes - il ne pourra pas non plus invoquer de scripts shell (et il y en a dans fedora : bash/python/perl/etc..) du tout. De plus il n'y a aucune donnee sensible dans les repertoires systeme. Si tu veux proteger des donnees perso d'un autre utilisateur, dans ce cas protege _tes donnees_ avec chmod. Et pas autre chose.

su -c " chmod -R o-rw /* "

Cette ligne de commande aussi ridicule et anodine puisse-t-elle paraitre risque de casser des choses. A proscrire donc. D'une maniere generale : ne changez pas les permissions des fichiers systemes. Ce qui ne doit pas etre vu ou execute par les utilisateurs est *deja* protege.

Amerzone : si tu veux eviter de venir avec des fausses solutions et nous expliquer ton vrai probleme, libre a toi. En attendant, tu as mon opinion.

Amerzone

j'ai plusieurs site persos également ceux de personnes qui s'occupent d'associations diverses.

/
/home/
/home/site_1/public_html/
/home/site_2/public_html/
/home/site_3/public_html/
/home/site_4/public_html/
/home/site_5/public_html/

Ce que fait pu constater en me connectant avec le compte de site_1.
Que je pouvais accéder aux differents compte user {site_x} également supprimer lors contenue par la même occassion recupérer toute arborescence de la racine / et tout dossier de compte utilisateurs, il placer des fichier comme bon me semble via un simple logiciel ftp [Filezilla].

Voilà mon inquiétude.

Voila pourquoi je voulais limiter et restreint chaque compte utilisateur a son compte [dossier] [/home/site_x/public_html/]
A savoir que les connections au serveur se font [sftp]
et je suis partir d'une installation de base FC4 et toute install via yum .
pour la création des differents compte avec la commande [adduser xxx]

Si j'utilise putty connecter avec un compte user non root

login as: site_2
site_2@10.16.17.4's password:
-bash-3.00$ cd /
-bash-3.00$ ls
]    boot  etc   lib         media  mnt  opt   root  selinux  sys  usr
bin  dev   home  lost+found  misc   net  proc  sbin  srv      tmp  var

Je peux visualiser toutes l'arboresence. Ce que je ne veux pas
voir pour certain compte utilisateur interdire un accès au shell.

Anvil a écrit:
Ca n'a aucun interet. S'il ne peut pas voir ce qu'il y a dans les repertoires du systeme, autant ne pas lui donner de compte du tout, parce qu'il ne pourra pas lancer de commande sans connaitre au prealable et donner les chemins absolus des dites commandes - il ne pourra pas non plus invoquer de scripts shell (et il y en a dans fedora : bash/python/perl/etc..) du tout. De plus il n'y a aucune donnee sensible dans les repertoires systeme. Si tu veux proteger des donnees perso d'un autre utilisateur, dans ce cas protege _tes donnees_ avec chmod. Et pas autre chose.
su -c " chmod -R o-rw /* "
Cette ligne de commande aussi ridicule et anodine puisse-t-elle paraitre risque de casser des choses. A proscrire donc. D'une maniere generale : ne changez pas les permissions des fichiers systemes. Ce qui ne doit pas etre vu ou execute par les utilisateurs est *deja* protege.

Amerzone : si tu veux eviter de venir avec des fausses solutions et nous expliquer ton vrai probleme, libre a toi. En attendant, tu as mon opinion.

La protection se situe ou si moi utilisateur A avec mon login et mots de passe je puisse accéder au compte de l'utilisateur B. et pourvoir modifier, creer, supprimer fichier ou dossier.

J'ai compris en creant un compte 450D
automatique il aura uniquement les privilieges et droit de son group 450D uniquement. donc a aucun moment il ne pourra ou aura les priviliéges de lecture ou execution sur un autre compte.

Amerzone

hugsy, Oui, mais je perds mes droit de lecture.

nouvo09 a écrit:
tu as regardé s'il n'y a pas une piste dans chroot ?

je regarde. Thx.

Amerzone

re, j'ai lu plusieurs doc sur chroot mais ça aborde plus sujet et je m'y perd un peu. et je n'arrive pas a voir la solution de mon problem avec chroot.

avez-vous une explication a me donner.

grosminet

Je ne comprends pas trop la philosophie de ton principes de sites.
Soit il s'agit de compte utilisateur et il ont un repertoire home
A l aide de la notion de groupe d'utilisateur, tu peux effectuer il partage d un repertoire du groupe.
Soit il s'agit d'un site , l'acces aux pages peut etre gere par une gestion d une base de donnée.
Je pense que ton probleme est le melange site et partage de repertoires.
Pouer chroot, il est mis en oeuvre pour proteger des applications (ex named ou bind)
Ton probleme releve plutot de l organisation.
appliquer les regles qui decoulent du besoin ou plutot que tu veux offrir
Ne melange pas les solutions afin de faire queleque chose qui va devenir non administrable
Pose ton probleme ansi
service demande - solution organisation - moyen humain - technique
Fait un cahier des charges

Anvil

Ce que fait pu constater en me connectant avec le compte de site_1.
Que je pouvais accéder aux differents compte user {site_x} également supprimer lors contenue par la même occassion recupérer toute arborescence de la racine / et tout dossier de compte utilisateurs, il placer des fichier comme bon me semble via un simple logiciel ftp [Filezilla].

Voilà mon inquiétude.

Voila pourquoi je voulais limiter et restreint chaque compte utilisateur a son compte [dossier] [/home/site_x/public_html/]
A savoir que les connections au serveur se font [sftp]
et je suis partir d'une installation de base FC4 et toute install via yum .
pour la création des differents compte avec la commande [adduser xxx]

La protection se situe ou si moi utilisateur A avec mon login et mots de passe je puisse accéder au compte de l'utilisateur B. et pourvoir modifier, creer, supprimer fichier ou dossier.

J'ai compris en creant un compte 450D
automatique il aura uniquement les privilieges et droit de son group 450D uniquement. donc a aucun moment il ne pourra ou aura les priviliéges de lecture ou execution sur un autre compte.

Pour moi la situation est simple : tu as donne des permissions laxistes a tes repertoires /home/siteblah/ et leur public_html.
Pas besoin d'en faire un fromage. Suffit de corriger ca. Un utilisateur ne peut _pas_ modifier un fichier ou un repertoire s'il en n'en a pas la permission. L'erreur c'est toi qui l'a faite. Ne cherche pas a detraquer le systeme.

Amerzone

je dois modifier les droits des permissions lecture ecriture pour /home & /home/{site_x}?

Anvil

Pour effacer un fichier, il suffit d'avoir un droit en ecriture sur le repertoire qui le contient. Pour entrer dans un repertoire, il faut un droit en execution sur le repertoire. Pour pouvoir lister le contenu d'un repertoire, il faut un droit en lecture sur le repertoire.
Pour modifier (ou lire) un fichier, il faut avoir une permission en ecriture (ou lecture) sur le fichier lui-meme.
Tu ne nous as pas donner l'etat actuel des permissions, nous ne pouvons pas deviner ce qu'il faut que tu fasses exactement.
On fait bcp de choses mais on ne lit pas les pensees.

Amerzone

[/]

[root@Panasonic /]# ls -l
total 138
-rw-r--r--   1 root root     0 dÃ©c 27 02:47 ]
drwxr-xr-x   2 root root  4096 jan 10 04:02 bin
drwxr-xr-x   4 root root  1024 jan  1 19:15 boot
drwxr-xr-x   9 root root  3960 jan  8 13:04 dev
drwxr-xr-x  51 root root  4096 jan 12 12:15 etc
drwxr-xr-x  30 root root  4096 jan  3 06:58 home
drwxr-xr-x  10 root root  4096 jan 10 04:02 lib
drwx------   2 root root 16384 dÃ©c 16 19:44 lost+found
drwxr-xr-x   2 root root  4096 dÃ©c 17 13:52 media
drwxr-xr-x   2 root root     0 jan  8 13:04 misc
drwxr-xr-x   2 root root  4096 mai 23  2005 mnt
drwxr-xr-x   2 root root     0 jan  8 13:04 net
drwxr-xr-x   2 root root  4096 mai 23  2005 opt
dr-xr-xr-x  76 root root     0 jan  8 14:03 proc
drwxr-x---   3 root root  4096 dÃ©c 26 03:44 root
drwxr-xr-x   2 root root  4096 jan 10 04:02 sbin
drwxr-xr-x   2 root root  4096 dÃ©c 16 18:45 selinux
drwxr-xr-x   2 root root  4096 mai 23  2005 srv
drwxr-xr-x  10 root root     0 jan  8 14:03 sys
drwxrwxrwt   3 root root  4096 jan 12 12:15 tmp
drwxr-xr-x  14 root root  4096 dÃ©c 16 18:47 usr
drwxr-xr-x  20 root root  4096 dÃ©c 26 05:32 var

[/home]

[root@Glaquine]# ls -l
total 224

drwxr-xr-x   3 homessss                       homessss      4096 déc 25 00:32 homessss
drwxr-xr-x   6 course                         course        4096 jan  7 12:28 course
drwx------   3 groote                         groote        4096 jan  8 20:16 groote
drwxr-x---   2 groote2                        groote2       4096 déc 20 00:33 groote2
drwxr-xr-x   3 marsd                          marsd         4096 déc 25 00:32 marsd
drwxr-xr-x   3 orange                         orange        4096 déc 29 02:35 orange
drwxr-xr-x   3 canada                         canada        4096 déc 27 02:46 canada
drwxr-xr-x   2 Guadeloupe                     Guadeloupe    4096 déc 17 16:24 Guadeloupe
drwx--x--x   3 Chine                          Chine         4096 déc 19 20:38 Chine
drwxr-xr-x   3 COuscous                       COuscous      4096 déc 25 00:32 COuscous
drwxr-xr-x   3 fleur                          fleur         4096 déc 27 02:01 fleur
drwxr-xr-x   3 flower                         flower        4096 déc 25 00:32 flower
drwxr-xr-x   3 Russie                         Russie        4096 déc 27 02:15 Russie
drwxr-xr-x   3 Australie                      Australie     4096 déc 25 00:32 Australie
drwxr-xr-x  70 disco                          disco         4096 jan 12 14:31 disco
drwxr-xr-x   7 root                           root          4096 déc 26 03:40 phpmyadmin
drwxr-xr-x   2 pierrot                        pierrot       4096 déc 17 16:30 pierrot
drwxr-xr-x   3 bebe                           bebe          4096 jan  1 21:30 bebe
drwxr-xr-x   3 pompier                        pompier       4096 déc 29 13:17 pompier
drwxr-xr-x   9 avocat                         avocat        4096 déc 19 18:14 avocat
drwxr-xr-x   3 handicapsport                  handicapsport 4096 déc 25 00:32 handicapsport
drwxr-xr-x   3 warcraft                       warcraft      4096 déc 25 00:32 warcraft
drwxr-xr-x   3 rire                           rire          4096 déc 27 03:32 rire
drwxr-xr-x   3 planete                        planete       4096 déc 25 00:32 planete
drwxr-xr-x   3 arbre                          arbre         4096 déc 29 13:17 arbre

CHAQUE compte est un emplacement pour un site internet.
avec pour priliege actuel/

drwxrwxr-x  2 pierrot pierrot 4096 dÃ©c 24 16:45 public_html

/
/home/
/home/pierrot/
/home/pierrot/public_html/ <== contenu du site.

Anvil

Je t'ai donne toutes les informations necessaires dans mon precedent post. A moins que tu ne comprennes pas quelque chose - auquel cas, dis le - je ne mache pas le boulot des gens. pas mon genre.