Droits très restreints pour un utilisateur

24/01/2007, 17h01

Bonjour,

Sauriez-vous comment faire pour qu'un utilisateur ait des droits restreints ?

Par exemple qu'il n'ait que le droit d'avoir un simple shell avec que la commande ls et ne peut par exemple pas aller en dehors de son home mais peut aller lire un fichier de log par exemple !?

Une idée ? chroot ?

bye

MarcG · 24/01/2007, 17h17

chroot est le plus puissant mais un peut lourd a metre en oeuvre.
par contre avec le shell restreind (bash -r)
l'utilisateur ne peut plus aller ailleur que dans son repertoire (entre autre la commande cd ne fonctionne plus)

24/01/2007, 19h01

J'ai fait un bash -r, pas mal du tout !

En faite, voici le problème : un utilisateur ne doit avoir accès qu'au programme awk et avoir un accès en lecture sur /var/log/auth.log et tout ça via un simple prompt utilisateur.

Mais bash -r, ce n'est que temporaire apparemment...

Scurz

MarcG · 25/01/2007, 08h46

non bash -r n'est pas temporaire si tu le declare comme shell de connexion :
dans le fichier /etc/passwd

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
test:x:1004:100::/home/test:/bin/bash

devient

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
test:x:1004:100::/home/test:/bin/bash -r

l'utilisateur "test" est en permanence en mode restreint.

25/01/2007, 11h42

Quand je fais un su utilisateur :

Citation:

Impossible d'exécuter /bin/bash -r: Aucun fichier ou répertoire de ce type

Avec :

Citation:

utilisateur:1001:1001:,,,:/home/utilisateur:/bin/bash -r

MarcG · 25/01/2007, 12h05

effectivement je viens de tester en pratique ...... marche pas, celon la doc bash il y aurrait une version appellé rbash, existe pas sur mon systeme.

j ai contourné le probleme en creant un fichier :
$HOME/.bash_profile de l'utilisateur a restreindre comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
exec /bin/bash -r

est cela fonctionne bien .

le exec est pour "remplacer le process courant donc le bash "normal", il faut que le fichier .bash_profile est uniquement les droit de lecture pour l'utilisateur, pas ceux d'ecriture.

25/01/2007, 18h23

Dans le home de cet utilisateur, un .bash_profile existait déjà par défaut :

Citation:

# ~/.bash_profile: executed by bash(1) for login shells.
# see /usr/share/doc/bash/examples/startup-files for examples.
# the files are located in the bash-doc package.

# the default umask is set in /etc/login.defs
#umask 022

# include .bashrc if it exists
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi

# set PATH so it includes user's private bin if it exists
if [ -d ~/bin ] ; then
PATH=~/bin:"${PATH}"
fi

J'ai ajouté à la fin du fichier :

Citation:

exec /bin/bash -r

Mais, pareil :

Citation:

Impossible d'exécuter /bin/bash : Aucun fichier ou répertoire de ce type

Les droits sur le fichier .bash_profil sont bons.

Ne penses-tu pas qu'un chroot serait mieux adapé ?

Scurz

MarcG · 25/01/2007, 18h33

la le message d'erreur est diferent ...... ou se trouve le binaire de bash ? (commande type bash)
- quel version de Linux/Unix ?

29/01/2007, 13h08

/bin/bash pour le binaire et c'est sous debian

24/01/2007, 17h01	#1
Scurz Invité(e) Messages : n/a Détails du profil Informations forums : Messages : n/a Points : 0	Droits très restreints pour un utilisateur Bonjour, Sauriez-vous comment faire pour qu'un utilisateur ait des droits restreints ? Par exemple qu'il n'ait que le droit d'avoir un simple shell avec que la commande ls et ne peut par exemple pas aller en dehors de son home mais peut aller lire un fichier de log par exemple !? Une idée ? chroot ? bye
	00

24/01/2007, 17h17	#2
MarcG Rédacteur Inscription : mars 2004 Messages : 1 298 Détails du profil Informations forums : Inscription : mars 2004 Messages : 1 298 Points : 1 450 Points : 1 450	chroot est le plus puissant mais un peut lourd a metre en oeuvre. par contre avec le shell restreind (bash -r) l'utilisateur ne peut plus aller ailleur que dans son repertoire (entre autre la commande cd ne fonctionne plus) __________________ Marc Slackware for ever ...... BASH - KSH ( http://marcg.developpez.com/ksh/ )
	00

25/01/2007, 18h33	#8
MarcG Rédacteur Inscription : mars 2004 Messages : 1 298 Détails du profil Informations forums : Inscription : mars 2004 Messages : 1 298 Points : 1 450 Points : 1 450	la le message d'erreur est diferent ...... ou se trouve le binaire de bash ? (commande type bash) - quel version de Linux/Unix ? __________________ Marc Slackware for ever ...... BASH - KSH ( http://marcg.developpez.com/ksh/ )
	00

24/01/2007, 19h01	#3
Scurz Invité(e) Messages : n/a Détails du profil Informations forums : Messages : n/a Points : 0	J'ai fait un bash -r, pas mal du tout ! En faite, voici le problème : un utilisateur ne doit avoir accès qu'au programme awk et avoir un accès en lecture sur /var/log/auth.log et tout ça via un simple prompt utilisateur. Mais bash -r, ce n'est que temporaire apparemment... Scurz
	00

29/01/2007, 13h08	#9
Scurz Invité(e) Messages : n/a Détails du profil Informations forums : Messages : n/a Points : 0	/bin/bash pour le binaire et c'est sous debian
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email