Retirer les droits d'execution sur /tmp [Résolu]

HNT · 26/11/2006, 11h06

Bonjour,

Dans le cadre d'une mise en place d'une salle internet à 100 % sous Debian, je voudrais avoir un contrôle sur ce que les gens y font. Pour ce faire, j'ai, entre autre, supprimer les droits d'execution sur les /home et également sur /tmp. Au niveau de /tmp ça me pose un problème quand je fait des mises à jour car dpkg execute certains script post installation dans /tmp.

Ma question serait donc la suivante : Comment retirer les droits d'execution sur une partition à tout le monde sauf à root ?

Katyucha · 26/11/2006, 18h00

Ta question m'étonne HNT

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
ls -l 
drwxrwxrwt 14 root root  448 2006-11-26 17:58 tmp
 
chmod g-x /tmp
chmod o-x /tmp

non?

HNT · 26/11/2006, 20h02

Arf ma question était pas très maline c'est vrai.

Bon ben la prochaine je refléchirai plus avant de poster (si besoin de réfléchir il y avait ...

)

narmataru · 27/11/2006, 09h41

Katyucha,
es-tu sure de ta réponse ? ce que tu propose va interdire les non-root d'entrer dans le répertoire /tmp il me semble. Si tu enlève le droit d'exécution à un répertoire tu ne peux plus le traverser.
A mon avis enlever les droits d'exécution sur /tmp n'est pas la solution

Peut être quavec les ACL : http://sluce.developpez.com/acls/

Katyucha · 27/11/2006, 10h40

Ah oui, bien vu Narma...
Finallement, entre la question ou la réponse, c'est bien ma réponse la plus bete...

keikoz · 27/11/2006, 11h06

Si je peux me permettre, le plus simple serait simplement de ne pas toucher aux droits de /tmp. Ils ne sont pas définis au hasard, et une distribution linux (debian a fortiori) est parfaitement structurée pour une utilisation multi-utilisateur, telle quelle.

Il est normal que tous puissent accéder et écrire dans /tmp (et encore plus le traverser), parce que tout simplement ça peut être nécessaire à tous les users, d'où ces droits. Par ailleurs vous remarquerez que le sticky bit est positionné (le "t" final), ce qui précisément empêche les autres utilisateurs d'effacer les fichiers qui ne lui appartiennent pas:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

drwxrwxrwt

Donc, pas touche (amha).

HNT · 27/11/2006, 15h45

Ok, c'est bien pour les droits, mais moi je voudrais retirer les droits d'execution sur /tmp pour que on ne puisse pas executer quoi que ce soit dedans (à part le root)

narmataru · 27/11/2006, 16h07

As-tu regardé les ACL ?
http://fr.wikipedia.org/wiki/Access_Control_List

HNT · 27/11/2006, 17h15

Les ACL fonctionne mais visiblement uniquement pour les fichiers existants, pas pour des fichiers qui vont être crées. Autrement dit, si je dépose un executable dans /tmp je pourrais l'executer après malgré les ACL. Ce qu'il me faudrait c'est une sorte de noexec qui s'appliquerait à tout le monde sauf à root.

keikoz · 27/11/2006, 22h37

Citation:

Ok, c'est bien pour les droits, mais moi je voudrais retirer les droits d'execution sur /tmp pour que on ne puisse pas executer quoi que ce soit dedans (à part le root)

HNT, le droit +x sur un répertoire ne donne pas le droit d'exécuter son contenu (pour ça il faut que le fichier qui s'y trouve ai un flag +x). Le flag +x sur un répertoire donne simplement le droit de le traverser (c'est-à-dire d'accéder à son contenu, en gros).

En clair, tu ne peux pas virer le +x de /tmp, sinon un processus qui utiliserais un fichier qui s'y trouve (une socket par exemple, puisque les fichiers sockets y sont souvent stockés) serait bloqué.

narmataru · 28/11/2006, 10h15

keikoz tu es un peu en retard là

cf les messages plus hauts...
HNT, comment as-tu réussi à enlever les droits d'exécution sur /home à tes utilisateurs ? Ne pourrons-t-ils pas toujours faire :

Citation:

touch fichier.sh
vim fichier.sh
chmod +x fichier.sh
./fichier.sh

Et juste pour savoir, pourquoi veux-tu leur enlever le droit d'exécuter des fichiers dans /tmp ?

(Je sais que ça ne réponds pas à ta question, mais c'est juste pour info)

HNT · 28/11/2006, 18h56

Pour retirer les droits, on peut employer l'option noexec dans le fstab.

Je veut retirer ces droits car je suis en train de mettre en place une salle internet et je veut éviter que les gens viennent et commence à jouer donc j'ai une partition /tmp, une /home, une / et une swap.
Seule la partition / à les droits d'exec (la swap je sais pas, on execute rien dans la swap non ?), mais ça ma pose un problème en ce sens que lors d'un update apt, certains scripts s'execute dans le repertoire /tmp, celui-ci étant dépourvu de droit d'execution, dpkg se termine avec un code d'erreur 1.

Pour les sockets, elles sont plutot dans /var/run non ? en tout cas même avec le noexec sur /tmp, je sais accéder à internet.

narmataru · 28/11/2006, 19h44

Peut être que la solution serait de changer le répertoire temporaire de root

Citation:

mkdir /root/tmp
export TMPDIR=/root/tmp/

et tu monte /tmp avec noexec

HNT · 01/12/2006, 17h49

Je confirme, ça marche.

Merci.

26/11/2006, 11h06	#1
HNT Membre confirmé Étudiant Inscription : juin 2005 Messages : 448 Détails du profil Informations personnelles : Âge : 24 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2005 Messages : 448 Points : 256 Points : 256	Retirer les droits d'execution sur /tmp Bonjour, Dans le cadre d'une mise en place d'une salle internet à 100 % sous Debian, je voudrais avoir un contrôle sur ce que les gens y font. Pour ce faire, j'ai, entre autre, supprimer les droits d'execution sur les /home et également sur /tmp. Au niveau de /tmp ça me pose un problème quand je fait des mises à jour car dpkg execute certains script post installation dans /tmp. Ma question serait donc la suivante : Comment retirer les droits d'execution sur une partition à tout le monde sauf à root ? __________________ The box said : "Requires windows 95, NT or better" so I installed Linux.
	00

26/11/2006, 20h02	#3
HNT Membre confirmé Étudiant Inscription : juin 2005 Messages : 448 Détails du profil Informations personnelles : Âge : 24 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2005 Messages : 448 Points : 256 Points : 256	Arf ma question était pas très maline c'est vrai. Bon ben la prochaine je refléchirai plus avant de poster (si besoin de réfléchir il y avait ... ) __________________ The box said : "Requires windows 95, NT or better" so I installed Linux.
	00

27/11/2006, 09h41	#4
narmataru Membre Expert Inscription : décembre 2002 Messages : 1 423 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : décembre 2002 Messages : 1 423 Points : 1 491 Points : 1 491	Katyucha, es-tu sure de ta réponse ? ce que tu propose va interdire les non-root d'entrer dans le répertoire /tmp il me semble. Si tu enlève le droit d'exécution à un répertoire tu ne peux plus le traverser. A mon avis enlever les droits d'exécution sur /tmp n'est pas la solution Peut être quavec les ACL : http://sluce.developpez.com/acls/ __________________ Reportage d'Arte sur Linux
	00

27/11/2006, 10h40	#5
Katyucha Expert Confirmé Inscription : mars 2004 Messages : 3 109 Détails du profil Informations personnelles : Âge : 31 Localisation : Allemagne Informations forums : Inscription : mars 2004 Messages : 3 109 Points : 3 313 Points : 3 313	Ah oui, bien vu Narma... Finallement, entre la question ou la réponse, c'est bien ma réponse la plus bete... __________________ Ancien Rédacteur Linux && Unix / Nouveau retraité de DVP The UNIX way of sex: gunzip;strip;touch;finger;mount;fsck;more;yes;umount;sleep Je ne réponds ni aux messages privées, ni aux messages plein de fautes...
	00

27/11/2006, 11h06	#6
keikoz Membre actif Inscription : janvier 2003 Messages : 146 Détails du profil Informations forums : Inscription : janvier 2003 Messages : 146 Points : 150 Points : 150	Si je peux me permettre, le plus simple serait simplement de ne pas toucher aux droits de /tmp. Ils ne sont pas définis au hasard, et une distribution linux (debian a fortiori) est parfaitement structurée pour une utilisation multi-utilisateur, telle quelle. Il est normal que tous puissent accéder et écrire dans /tmp (et encore plus le traverser), parce que tout simplement ça peut être nécessaire à tous les users, d'où ces droits. Par ailleurs vous remarquerez que le sticky bit est positionné (le "t" final), ce qui précisément empêche les autres utilisateurs d'effacer les fichiers qui ne lui appartiennent pas: Code : Sélectionner tout - Visualiser dans une fenêtre à part drwxrwxrwt Donc, pas touche (amha).
	00

27/11/2006, 15h45	#7
HNT Membre confirmé Étudiant Inscription : juin 2005 Messages : 448 Détails du profil Informations personnelles : Âge : 24 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2005 Messages : 448 Points : 256 Points : 256	Ok, c'est bien pour les droits, mais moi je voudrais retirer les droits d'execution sur /tmp pour que on ne puisse pas executer quoi que ce soit dedans (à part le root) __________________ The box said : "Requires windows 95, NT or better" so I installed Linux.
	00

27/11/2006, 16h07	#8
narmataru Membre Expert Inscription : décembre 2002 Messages : 1 423 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : décembre 2002 Messages : 1 423 Points : 1 491 Points : 1 491	As-tu regardé les ACL ? http://fr.wikipedia.org/wiki/Access_Control_List __________________ Reportage d'Arte sur Linux
	00

27/11/2006, 17h15	#9
HNT Membre confirmé Étudiant Inscription : juin 2005 Messages : 448 Détails du profil Informations personnelles : Âge : 24 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2005 Messages : 448 Points : 256 Points : 256	Les ACL fonctionne mais visiblement uniquement pour les fichiers existants, pas pour des fichiers qui vont être crées. Autrement dit, si je dépose un executable dans /tmp je pourrais l'executer après malgré les ACL. Ce qu'il me faudrait c'est une sorte de noexec qui s'appliquerait à tout le monde sauf à root. __________________ The box said : "Requires windows 95, NT or better" so I installed Linux.
	00

28/11/2006, 18h56	#12
HNT Membre confirmé Étudiant Inscription : juin 2005 Messages : 448 Détails du profil Informations personnelles : Âge : 24 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2005 Messages : 448 Points : 256 Points : 256	Pour retirer les droits, on peut employer l'option noexec dans le fstab. Je veut retirer ces droits car je suis en train de mettre en place une salle internet et je veut éviter que les gens viennent et commence à jouer donc j'ai une partition /tmp, une /home, une / et une swap. Seule la partition / à les droits d'exec (la swap je sais pas, on execute rien dans la swap non ?), mais ça ma pose un problème en ce sens que lors d'un update apt, certains scripts s'execute dans le repertoire /tmp, celui-ci étant dépourvu de droit d'execution, dpkg se termine avec un code d'erreur 1. Pour les sockets, elles sont plutot dans /var/run non ? en tout cas même avec le noexec sur /tmp, je sais accéder à internet. __________________ The box said : "Requires windows 95, NT or better" so I installed Linux.
	00

01/12/2006, 17h49	#14
HNT Membre confirmé Étudiant Inscription : juin 2005 Messages : 448 Détails du profil Informations personnelles : Âge : 24 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2005 Messages : 448 Points : 256 Points : 256	Je confirme, ça marche. Merci. __________________ The box said : "Requires windows 95, NT or better" so I installed Linux.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email