Comment jail un processus ?

Rownlin · 11/12/2011, 00h08

Bonjour,

Est-il possible de jail un processus (script shell/...) dans son répertoire, c'est à dire qu'il ne puisse pas accéder aux répertoires situés "au dessus" duquel il est situé ?

Merci de vos réponses.

gangsoleil · 12/12/2011, 17h29

Bonjour,

Solution extreme :Tu peux le chrooter (man chroot)
Solution laxiste : change les droits.

Rownlin · 20/05/2012, 19h41

Désolé de revenir sur un vieux topic, mais quel droit pourrais-je utiliser ?

Sachant que j'ai cet arbre de dossiers:

DOSSIER1
- SOUS DOSSIER1
- SOUS DOSSIER2
- MON PROCESSUS
- SOUS DOSSIER3

Sachant que Mon processus se situe dans Sous Dossier2, et qu'il est éxécuté par un utilisateur ayant les droits sur tout DOSSIER1, comment faire pour que ce processus n'ai pas accès à SOUS DOSSIER3, SOUS DOSSIER1, mais seulemet SOUS DOSSIER2 ?

Merci

gangsoleil · 21/05/2012, 09h06

Bonjour,

Il faut tout d'abord changer les droits du sous-dossier 3, pour que le processus n'y ait pas acces.
Ensuite, le plus simple est de chrooter le processus. Tu peux mettre la procedure dans un script, que l'utilisateur lancera depuis ss-doss.1 ou ss-doss2

matafan · 21/05/2012, 13h26

Attention quand même car pour pouvoir tourner un exécutable dans un environnement chrooté, il faut que tout ce dont il a besoin soit aussi dans le chroot. Pour un script shell, ça veut dire toutes les commandes utilisées par ce script, ainsi que toutes les libs utilisées par ces commandes et par le shell. Ca fait vite du monde.

Rownlin · 24/05/2012, 21h41

J'ai déjà essayé de le chrooter, mais comme le dis matafan, c'est assez compliqué, surtout quand je veux automatiser l'installation et que les librairies nécessaires diffèrent en fonction de la version du processus.

Mais pour les droits (toujours du mal avec ça), si par exemple le processus est dans /a/b/c/d/e, est-il par exemple possible de refuser au processus de faire un ls ../../ ou ls ../e2 ? (Ou en tout cas, qu'il n'est pas d'accès à un répertoire parent ni "frère ou cousin")

Merci de vos réponses

messinese · 25/05/2012, 15h55

Salut,

oui tout fait possible de faire quelque chose comme ça si c'est bien ce que tu souhaites:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
[folder1]/ rwx
            -DIR/ rwx
            -DIR2/ r
            -DIR3/ rwx

de cette maniere meme avec full access sur "folder" il sera limité dur le dossier "DIR2".
Tu peux aussi mettre un user dans un groupe dédié et chowner afin de limiter (ou pas) les accés a certains répertoires, tu as plusieurs possibilitées mais l'essentiel est de bien le faire ;-).

Désolé je poste en vitesse , a bientot !
Voici un liens vers un tuto sur la gestions des droits et acl sous linux .

En espérant que ça t'aide .. ;-)

11/12/2011, 00h08	#1
Rownlin Invité de passage Architecte réseau Inscription : décembre 2011 Messages : 10 Détails du profil Informations personnelles : Sexe : Localisation : Corée Du Nord Informations professionnelles : Activité : Architecte réseau Secteur : High Tech - Matériel informatique Informations forums : Inscription : décembre 2011 Messages : 10 Points : 1 Points : 1	Comment jail un processus ? Bonjour, Est-il possible de jail un processus (script shell/...) dans son répertoire, c'est à dire qu'il ne puisse pas accéder aux répertoires situés "au dessus" duquel il est situé ? Merci de vos réponses.
	10

12/12/2011, 17h29	#2
gangsoleil Modérateur R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 485 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : R&D en systemes informatiques bas niveau Unix/Linux Informations forums : Inscription : mai 2004 Messages : 5 485 Points : 9 625 Points : 9 625	Bonjour, Solution extreme :Tu peux le chrooter (man chroot) Solution laxiste : change les droits. __________________ Modérateur "C", "Informatique Générale & Hardware" et "Unix" Les règles du forum
	40

21/05/2012, 09h06	#4
gangsoleil Modérateur R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 485 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : R&D en systemes informatiques bas niveau Unix/Linux Informations forums : Inscription : mai 2004 Messages : 5 485 Points : 9 625 Points : 9 625	Bonjour, Il faut tout d'abord changer les droits du sous-dossier 3, pour que le processus n'y ait pas acces. Ensuite, le plus simple est de chrooter le processus. Tu peux mettre la procedure dans un script, que l'utilisateur lancera depuis ss-doss.1 ou ss-doss2 __________________ Modérateur "C", "Informatique Générale & Hardware" et "Unix" Les règles du forum
	00

21/05/2012, 13h26	#5
matafan Membre Expert Ingénieur développement logiciels Inscription : octobre 2008 Messages : 1 378 Détails du profil Informations personnelles : Sexe : Âge : 33 Localisation : France Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : octobre 2008 Messages : 1 378 Points : 2 040 Points : 2 040	Attention quand même car pour pouvoir tourner un exécutable dans un environnement chrooté, il faut que tout ce dont il a besoin soit aussi dans le chroot. Pour un script shell, ça veut dire toutes les commandes utilisées par ce script, ainsi que toutes les libs utilisées par ces commandes et par le shell. Ca fait vite du monde.
	10

20/05/2012, 19h41	#3
Rownlin Invité de passage Architecte réseau Inscription : décembre 2011 Messages : 10 Détails du profil Informations personnelles : Sexe : Localisation : Corée Du Nord Informations professionnelles : Activité : Architecte réseau Secteur : High Tech - Matériel informatique Informations forums : Inscription : décembre 2011 Messages : 10 Points : 1 Points : 1	Désolé de revenir sur un vieux topic, mais quel droit pourrais-je utiliser ? Sachant que j'ai cet arbre de dossiers: DOSSIER1 - SOUS DOSSIER1 - SOUS DOSSIER2 - MON PROCESSUS - SOUS DOSSIER3 Sachant que Mon processus se situe dans Sous Dossier2, et qu'il est éxécuté par un utilisateur ayant les droits sur tout DOSSIER1, comment faire pour que ce processus n'ai pas accès à SOUS DOSSIER3, SOUS DOSSIER1, mais seulemet SOUS DOSSIER2 ? Merci
	00

24/05/2012, 21h41	#6
Rownlin Invité de passage Architecte réseau Inscription : décembre 2011 Messages : 10 Détails du profil Informations personnelles : Sexe : Localisation : Corée Du Nord Informations professionnelles : Activité : Architecte réseau Secteur : High Tech - Matériel informatique Informations forums : Inscription : décembre 2011 Messages : 10 Points : 1 Points : 1	J'ai déjà essayé de le chrooter, mais comme le dis matafan, c'est assez compliqué, surtout quand je veux automatiser l'installation et que les librairies nécessaires diffèrent en fonction de la version du processus. Mais pour les droits (toujours du mal avec ça), si par exemple le processus est dans /a/b/c/d/e, est-il par exemple possible de refuser au processus de faire un ls ../../ ou ls ../e2 ? (Ou en tout cas, qu'il n'est pas d'accès à un répertoire parent ni "frère ou cousin") Merci de vos réponses
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email