Discussion :

[El Blondino]

Bonjour a tous,

Je suis en train de faire ma maquette pour mon prochain serveur, qui aura bien sur la fonction de nas, le but est aussi de pouvoir accueillir mes amis.

Pour cela je les chroot dans un directory (/rep/$user), comme je suis sympa ils ont un rep "uploads" ou ils peuvent faire ce qu'il veulent, et en plus je voudrais leur donner accès a mon répertoire media qui contient toute ma musique, films etc ... via un rep "data" qui serait un point de montage du rep media.

Je contait faire un mount du rep "media" dans le rep "chroot/$user/data" avec mount --bind, mais je me suis rendu compte que je pouvais (en root) supprimer ce répertoire et du coup supprimer aussi le contenu du répertoire source

Du coup pour les experts, qu'elle serait selon vous la meilleur solution ? Je doit bien sur préciser que un user normale ne pourrait cela car il n'aurait pas les droits pour ca, mais le fait que root peut le faire m’embête un peu, une mauvaise manipulation et hop plus de données !!!

L'ideal serait un mount bind en lecture seul, mais je n'arrive pas a le faire sur mon system, il y aussi les options --make-xxx mais je n'ai pas bien compris leurs utilités.

les symblinks ne fonctionnant pas dans un chroot, pas possible d'utiliser aussi.

Je continue a tester de mon coté

Merci a vous

[chrtophe]

Quel protocole va tu utiliser ?

NFS ? SMB ?

C'est le démon qui est chrooté, après les utilisateurs ont des droits ( droits Unix, acl, ou lié au type de partage ex : droits SMB )

Avec les différents démons, pour t'authentifier, tu peux utiliser le fichier /etc/passwd de base un serveur LDAP ( pouvant être installé sur la même machine ), etc ..

Pour quelques users avec SMB, je crée mes utilisateurs dans le /etc/passwd et ils sont recopié dans le fichier utilisateurs de SAMBA via mon interface graphique ( webmin )

[El Blondino]

Bonjour,

Depuis la version 5.9 d'open ssh, il est possible de chrooté des users unix très simplement via la directive "chrootdirectory", il ne s'agit pas de chrooté un démon comme on peut le faire avec apache par ex

en fait je voudrait le faire pour des users chrooté via sftp, le soucis est que comme je l'ai dit dans mon premier message si je fait un montage --bind par ex : mount --bind /media/perso/video /chroot/$user/video premièrement le montage est en rw deuxièmement si en root je décide de supprimer le rep /chroot/$user/video cela supprime aussi le contenu de /media/perso/video, j'aimerais faire ne sorte que même si par inadvertance je supprime /chroot/$user/video cela n'est pas d'impact sur /media/perso/video.

Tous cela est pour fignoler et améliorer ma compréhension, ce n'est pas un point bloquant, car mon serveur est fonctionnel, mais j'avoue que une mauvaise manip en root pourrait me faire perdre toutes mes données d'un coup.

J'ai vu que mount propose en option --make-slave, qui permettrait si j'ai bien compris de faire ce que je veux, mais les explications dans le man sont assez brèves, du coup je vais chercher sur le net

edit : en faisant mount --bind -r /media/toto /root/test me donne :

-bash-3.2# mount -l
/media/toto on /root/test type none (ro,bind)

J'ai supprimé le rep /root/test pour voir, après verif le contenu du rep /media/toto n'a pas été supprimé !

edit2 : je vien de test chez moi ca ne fonctionne pas (centos 6.4), par contre en faisant un mount --bind /rep1 /rep2 + remount -o remount,ro /rep2 j'ai bien un mount read-only !

Donc je passe le message en résolut