Cas d'école : gestion des droits unix

fabienhespul · 23/06/2011, 10h29

Bonjour,

je me casse la tête sur un problème que me semble pourtant courant de gestion des droits.

Des users vont se connecter en FTP avec un couple identifiant/mdp perso

les homes de ces users sont dans

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/home/machin/depot_ftp/<categorie>/<id user>

ou <categorie> peut varier et id user est un identifiant technique correspondant a l'utilisateur.

FTP chroot les connexions.

Je souhaiterai que ces utilisateurs ne puissent par aucun moyen accéder aux données des autres utilisateurs.

Et je souhaiterais également que l'utilisateur "machin" (a qui appartient le home) puisse accéder en lecture/écriture a tout ces dossiers.

Je me perd dans l'affectation des droits users / groupes, comment procéder ?

Merci de votre aide

frp31 · 23/06/2011, 14h00

si tes users sont chroot avec leurs comptes FTP, ET <= c'est là le truc dans leur home directory c'est réglé.

Marc3001 · 24/06/2011, 13h44

Il suffit de créer un groupe unique pour chaque user. Disons que le nom de ce groupe est égal au nom du user. Ce groupe serait le groupe par défaut de chaque user.

Ensuite tu donnes les droits de lecture/écriture seulement au propriétaire et groupe propriétaire des répertoires (chmod 770).

Et enfin, tu ajoutes ton user machin dans le groupe de chacun des users FTP.

La contrainte c'est que le groupe primaire de chacun des tes users doit être celui du premier point (égal au nom du user) sinon ton admin risque de ne pas avoir le droit de visualiser les prochains fichiers et répertoires créés par les users FTP.

Balbuzard · 17/07/2011, 18h14

Je ne suis pas d'accord avec toi Marc3001.

J'aurais plutôt créé un groupe unique pour tous les utilisateurs et ensuite comme le dit frp31 c'est le fait que chacun est dans son home qui empêche à un utilisateur d'aller chez un autre.

Il suffit de donner des droits corrects dans les home des utilisateurs (700) pour s'assurer que les autres membres du groupe commun (disons ftp) n'aille pas dans les autres homes.

PS en fait, tu as un home unique pour tous les utilisateurs. Ça change rien, pour

/home/machin/depot_ftp/<categorie>/<id user> tu donnes $id_user:ftp 700
(seul l'utilisateur en question peut faire ce qu'il veut des documents dans <id_user>)
et pour
/home/machin/depot_ftp/<categorie> root:ftp 710
(seul l'user dans le groupe ftp peut ouvrir (exécution pour le répertoire) le dossier)

Marc3001 · 26/07/2011, 12h20

L'idée d'un groupe par user permettait à un compte admin appartenant aux groupes des users ftp d'accéder en lecture aux home directory des users ftp.

Si tu mets 700 tu peux pas avoir d'admin.

jouana · 26/07/2011, 12h57

Bonjour,
Tu peux te pencher sur les acl c'est beaucoup plus complet et plus manipulable que les droits UNIX de base.
En plus si tu gère bien t'es comptes utilisateurs et tes groupes tu peux mettre en place une solutions vraiment intéressante.

les ACL
cordialement.

Sve@r · 26/07/2011, 21h23

Citation:

Envoyé par Marc3001

L'idée d'un groupe par user permettait à un compte admin appartenant aux groupes des users ftp d'accéder en lecture aux home directory des users ftp.

Ben oui mais bon, le "groupe" est quand-même fait pour regrouper les users selon certains critères. Avoir autant de groupe que d'user fait perdre l'intérêt d'avoir des groupes non ???

Citation:

Envoyé par Marc3001

Si tu mets 700 tu peux pas avoir d'admin.

T'as toujours root. Pourquoi mettre un niveau intermédiaire qui provoque plus d'embêtements qu'autre chose ???

Marc3001 · 27/07/2011, 10h36

Citation:

Envoyé par Sve@r

Ben oui mais bon, le "groupe" est quand-même fait pour regrouper les users selon certains critères. Avoir autant de groupe que d'user fait perdre l'intérêt d'avoir des groupes non ???

J'admets que c'est un peu lourd mais j'ai trouvé que cette solution pour coller avec la demande....

Citation:

Envoyé par Sve@r

T'as toujours root. Pourquoi mettre un niveau intermédiaire qui provoque plus d'embêtements qu'autre chose ???

Déjà ça permet de filer l'accès à ce user admin sans filer les droits root. J'ai tendance à ne jamais filer les droits root si il y a moyen de faire autrement.

Sve@r · 27/07/2011, 19h07

Citation:

Envoyé par Marc3001

Déjà ça permet de filer l'accès à ce user admin sans filer les droits root. J'ai tendance à ne jamais filer les droits root si il y a moyen de faire autrement.

Effectivement, je n'avais pas pensé qu'on pouvait émettre l'hypothèse que l'administration de cette partie spécifique serait faite par quelqu'un d'autre que l'admin de la machine.

Désolé, j'ai trop tendance à penser par rapport à mon propre environnement où c'est moi l'admin du serveur et où j'administre tout le serveur (le serveur web, le serveur ftp, le serveur postgres). Dans mon cas, utiliser ta solution serait alors trop lourde...

Marc3001 · 28/07/2011, 15h07

Citation:

Envoyé par Sve@r

Dans mon cas, utiliser ta solution serait alors trop lourde...

Effectivement

23/06/2011, 10h29	#1
fabienhespul Invité de passage Inscription : juillet 2010 Messages : 6 Détails du profil Informations forums : Inscription : juillet 2010 Messages : 6 Points : 0 Points : 0	Cas d'école : gestion des droits unix Bonjour, je me casse la tête sur un problème que me semble pourtant courant de gestion des droits. Des users vont se connecter en FTP avec un couple identifiant/mdp perso les homes de ces users sont dans Code : Sélectionner tout - Visualiser dans une fenêtre à part /home/machin/depot_ftp/<categorie>/<id user> ou <categorie> peut varier et id user est un identifiant technique correspondant a l'utilisateur. FTP chroot les connexions. Je souhaiterai que ces utilisateurs ne puissent par aucun moyen accéder aux données des autres utilisateurs. Et je souhaiterais également que l'utilisateur "machin" (a qui appartient le home) puisse accéder en lecture/écriture a tout ces dossiers. Je me perd dans l'affectation des droits users / groupes, comment procéder ? Merci de votre aide
	01

23/06/2011, 14h00	#2
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 534 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 534 Points : 7 743 Points : 7 743	si tes users sont chroot avec leurs comptes FTP, ET <= c'est là le truc dans leur home directory c'est réglé. __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	10

17/07/2011, 18h14	#4
Balbuzard Membre confirmé Inscription : août 2008 Messages : 374 Détails du profil Informations personnelles : Âge : 27 Informations forums : Inscription : août 2008 Messages : 374 Points : 210 Points : 210	Je ne suis pas d'accord avec toi Marc3001. J'aurais plutôt créé un groupe unique pour tous les utilisateurs et ensuite comme le dit frp31 c'est le fait que chacun est dans son home qui empêche à un utilisateur d'aller chez un autre. Il suffit de donner des droits corrects dans les home des utilisateurs (700) pour s'assurer que les autres membres du groupe commun (disons ftp) n'aille pas dans les autres homes. PS en fait, tu as un home unique pour tous les utilisateurs. Ça change rien, pour /home/machin/depot_ftp/<categorie>/<id user> tu donnes $id_user:ftp 700 (seul l'utilisateur en question peut faire ce qu'il veut des documents dans <id_user>) et pour /home/machin/depot_ftp/<categorie> root:ftp 710 (seul l'user dans le groupe ftp peut ouvrir (exécution pour le répertoire) le dossier) __________________ ZORRO Plus Vengeur que Masqué
	10

24/06/2011, 13h44	#3
Marc3001 Membre chevronné Ingénieur développement logiciels Inscription : février 2008 Messages : 430 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : février 2008 Messages : 430 Points : 682 Points : 682	Il suffit de créer un groupe unique pour chaque user. Disons que le nom de ce groupe est égal au nom du user. Ce groupe serait le groupe par défaut de chaque user. Ensuite tu donnes les droits de lecture/écriture seulement au propriétaire et groupe propriétaire des répertoires (chmod 770). Et enfin, tu ajoutes ton user machin dans le groupe de chacun des users FTP. La contrainte c'est que le groupe primaire de chacun des tes users doit être celui du premier point (égal au nom du user) sinon ton admin risque de ne pas avoir le droit de visualiser les prochains fichiers et répertoires créés par les users FTP.
	01

26/07/2011, 12h20	#5
Marc3001 Membre chevronné Ingénieur développement logiciels Inscription : février 2008 Messages : 430 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : février 2008 Messages : 430 Points : 682 Points : 682	L'idée d'un groupe par user permettait à un compte admin appartenant aux groupes des users ftp d'accéder en lecture aux home directory des users ftp. Si tu mets 700 tu peux pas avoir d'admin.
	01

26/07/2011, 12h57	#6
jouana Membre confirmé antoine jouan Étudiant Inscription : janvier 2010 Messages : 175 Détails du profil Informations personnelles : Nom : antoine jouan Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : janvier 2010 Messages : 175 Points : 250 Points : 250	Bonjour, Tu peux te pencher sur les acl c'est beaucoup plus complet et plus manipulable que les droits UNIX de base. En plus si tu gère bien t'es comptes utilisateurs et tes groupes tu peux mettre en place une solutions vraiment intéressante. les ACL cordialement.
	01

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email