Utilisateurs qui ont tous les droits. [Résolu]

[seal3]

Salut.

J'ai deux dediés. Sur le premier tous va bien. sur le second je me rend compte que si je me connecte en shh avec l'un des mes users, j'ai acces à tous les autres users ! j'ai comparé les 2 dediés avec le webmin et les droits sur les dossiers mais je pige pas...

Qq à une idée de là d'ou ça peut venir ?

[Celelibi]

avec ton user, fais id pour voir tes groupes, et regarde les droits des dossiers des autres users ainsi que le groupe auquel appartienne ces dossiers.

d'ailleur si tu pouais nous faire un copier/coller de ce que te donne id et ls -la sur tes 2 dédiés ça nous aiderait.

[seal3]

Deja : merci de m'avoir repondu.

un id me donne : (c'est la même chose sur les deux machines)

uid=509(daemonli) gid=100(users) groupes=100(users)

un exemple du home directory sur le dedié qui decone :

drwx---r-x 5 yspsyche yspsyche 4096 fév 15 01:13 yspsyche
drwx---r-x 5 yssitu yssitu 4096 jan 31 15:48 yssitu


idem sur le serveur qui marche :

drwx---r-x 5 jourdere users 4096 nov 18 11:16 jourdere
drwx---r-x 9 julienri users 4096 aoû 18 16:56 julienri


En ecrivant cela, je me rend compte que C le groupe des dossiers qui va pas. Mais en quoi cela permet-il d'acceder à son contenu ?

[Celelibi]

tu l'as dit toi même, c'est le groupe.

sont-ce les même disitrib et même noyau sur les 2 pc ?

dans le chmod tu as des droits superieurs pour "other" que pour le group.
ça veut dire que tout le monde peut entrer dans le répertoir des autres users, et y lire, alors que ceux qui appartiennent au group ne pourraient rien faire.

quelqu'un qui arriverait à se connecter en nobody pourrait lire dans les répertoirs de tous les users...


regarde ce qui se passe :
sur le dédié qui "déconne" le group auquel appartient les dossier est le même le l'owner du dossier. donc toi, avec ton user qui n'appartient pas au groupe yspsyche (par exemple) tu est donc considéré comme other, c'est à dire que tu a les droits r-x.
sur l'autre serveur tous les dossier appartiennent au group users, or tu fais parti du group users, donc tu as les droit des groupes sur ces dossiers, c'est à dire --- donc tu ne peux pas y accéder.


après pour corriger tu as plusieurs solutions, je mais te laisser les toruver tout seul. sachant que de toutes façon la config des 2 serveurs est à reovir.

[seal3]

et bien merci pour l'explication.

Ce que je vois à faire dans l'imediat, c'est faire un chown sur chacun d'eux pour remettre leur groupe à users. Ensuite retirer les droits en lecture pour other sur chacun de leur dossiers. penses-tu que cela suffise ?

Vive les configs d'ovh.

[Celelibi]

retirer les droits de others est une bonne idée.
par contre pour le chgrp, étant donné que ce sont des dossiers personnels je pense qu'il serait mieux que le group soit celui de l'owner.
comme ça l'owner pourra donner certains droits aux personnes qui appartiennent à son group.

moi personnellement ce que je conseil c'est un chmod 750 (rwx r-x ---) et un chown celelibi:celelibi (enfin le nom de l'user quoi).

[seal3]

ok je vais faire comme ça.

merci beaucoup pour ton aide... sincerement T super.

[seal3]

Mais alors apache qui tourne en nobody ne peut plus acceder au pages du compte !

[Celelibi]

apache tourne en nobody ? :s

il est pas censé tourner en www-data ou apache ?
la config par défaut le laisse en www-data:www-data normalement.

ensuite il suffit de rajouter l'user www-data au groupe yspsyche (par exemple).
tu as aussi d'autres solutions, je te laisse choisir celle que tu veux.

[seal3]

Ben sur les deux machines il est en nobody. C la config de base chez ovh on dirait !!

Par contre celà implique qu'a chaque creation d'un compte que j'ajoute le nouveau groupe créé pour le compte comme groupe secondaire de mon user d'apache. Il aurait falu que je puisse installer la machine moi même car là je doit reconfigurer les modules webmin.. pffffff .

C vrai que C mal foutu. y'a des users pour qmail, mysql .... mais pas pour apache.

Y'a aussi un truc que j'explique pas. J'ai juste changé les groupes de mes users et leurs dossiers.. pour le moment j'ai tt passé en "users". Mais si je me connecte en ssh , j'arrive à faire un "netstat -alpe" et de voir les process des autres users !! normalement je devrai pas y avoir droit.

[Celelibi]

c'est la même chose que si tu faisais un ps -A, tu aura toujours les processus ces autres utilisateurs.


tu as quelle distribution, car sous debian quand on créé un user, un group avec le même nom que l'user est créé automatiquement.

si tu créé un fichier /usr/local/sbin/adduser.local il sera exécuté après chaque ajout d'user (voir man adduser).

si apache doit avoir accès à tous les comptes créés sans exception tu peux aussi simplement mettre comme groupe principal à chaque user le groupe d'apache (voir l'option --ingroup). comme ça chaque fichier créé par l'user aura le groupe www-data et avec un chmod qui ca bien apache pourra lire tous les fichiers.

[seal3]

je suis sous redhat 7.2

Sous mon autre serveur un netstat -alpe ne passe pas. mais le dossier /proc/net et /proc/sys n'ont aucun droit sur les group et les other. Ce qui n'est pas le cas ici. C'est ptet pour ça q'ici le netstat fonctionne. J'ai essayé de changer ces droit mais le chmod n'a pas d'effet.. surement à cause de l'interet de ces dossiers....

j'ai ecrit un prog en perl qui permet de creer des comptes automatiquement, et effectivement quand on fait un adduser il cré automatiquement le groupe avec le même nom ce qui explique l'erreur du debut avec le "mauvais" (pas si mauvais en fait) nom de groupe.

Le fait de tous passer sous apache est effectivement une possibilité. Dans ce cas pourquoi ne pas rester sous nobody. Est-ce que nobody est utilisé par d'autre appli et est donc plus sensible au hack ?

[Celelibi]

et bien nobody est un user qui n'en est pas vraiment un.
quelque soit le fichier il aura toujours les permissions other, il n'a pas de répertoir home. en gros nobody c'est... personne.

faire tourner apache en nobody permet en cas de faille que le pirate n'ai que les droits nobody, mais dans ce cas il faudra quand même que apache ai accès aux fichiers à mettre sur internet, il faudra donc mettre des droits à other.

faire tourner apache avec un user spécifique permet de ne donner aucun droit à other, mais seulement à apache. en cas d'un faille quelconque si quelqu'un arrive à avoir un accès nobody, il n'aura pas accès aux fichiers web. en cas de faille dans apache le pirate aura accès aux fichiers web tout comme il y aurait eut accès si apache tournait en nobody.

[seal3]

ha ok.

ben merci pour ces lumieres, C pas facile de trouver ces infos sur le net.
Mon truc C le flash (en fait C mon metier) donc si tu as besoin.... je serai ravi de te depanner.

merci encore et @+

[Celelibi]

tu sais tout ce que je t'ai dis là, je n'ai trouvé aucune de ces infos sur internet (sauf peut-être le fonctionnement des chmod).
ensuite c'est du test, de la réflexion et de l'extrapolation.

nobody = personne, donc quelqu'un qui n'a pas de compte user ni de groupe.



en ce qui concerne flash, actuellement je suis plutôt à la recherche d'un décompilateur qui fonctionne sous linux. (voir un topic pas très loin) donc je ne suis pas sûr que là dessus je ne suis pas sûr que tu puisse m'aider.
enfin si tu veux aider des personnes en ce qui concerne flash il y a un forum dédié à flash.


voilà, n'oublie pas de cliquer sur [résolu] en bas à gauche.