Discussion :

[Rownlin]

Bonjour,

Est-il possible de jail un processus (script shell/...) dans son répertoire, c'est à dire qu'il ne puisse pas accéder aux répertoires situés "au dessus" duquel il est situé ?

Merci de vos réponses.

[gangsoleil]

Bonjour,

Solution extreme :Tu peux le chrooter (man chroot)
Solution laxiste : change les droits.

[Rownlin]

Désolé de revenir sur un vieux topic, mais quel droit pourrais-je utiliser ?

Sachant que j'ai cet arbre de dossiers:

DOSSIER1
- SOUS DOSSIER1
- SOUS DOSSIER2
- MON PROCESSUS
- SOUS DOSSIER3

Sachant que Mon processus se situe dans Sous Dossier2, et qu'il est éxécuté par un utilisateur ayant les droits sur tout DOSSIER1, comment faire pour que ce processus n'ai pas accès à SOUS DOSSIER3, SOUS DOSSIER1, mais seulemet SOUS DOSSIER2 ?

Merci

[gangsoleil]

Bonjour,

Il faut tout d'abord changer les droits du sous-dossier 3, pour que le processus n'y ait pas acces.
Ensuite, le plus simple est de chrooter le processus. Tu peux mettre la procedure dans un script, que l'utilisateur lancera depuis ss-doss.1 ou ss-doss2

[matafan]

Attention quand même car pour pouvoir tourner un exécutable dans un environnement chrooté, il faut que tout ce dont il a besoin soit aussi dans le chroot. Pour un script shell, ça veut dire toutes les commandes utilisées par ce script, ainsi que toutes les libs utilisées par ces commandes et par le shell. Ca fait vite du monde.

[Rownlin]

J'ai déjà essayé de le chrooter, mais comme le dis matafan, c'est assez compliqué, surtout quand je veux automatiser l'installation et que les librairies nécessaires diffèrent en fonction de la version du processus.

Mais pour les droits (toujours du mal avec ça), si par exemple le processus est dans /a/b/c/d/e, est-il par exemple possible de refuser au processus de faire un ls ../../ ou ls ../e2 ? (Ou en tout cas, qu'il n'est pas d'accès à un répertoire parent ni "frère ou cousin")

Merci de vos réponses

[messinese]

Salut,

oui tout fait possible de faire quelque chose comme ça si c'est bien ce que tu souhaites:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
[folder1]/ rwx
            -DIR/ rwx
            -DIR2/ r
            -DIR3/ rwx

de cette maniere meme avec full access sur "folder" il sera limité dur le dossier "DIR2".
Tu peux aussi mettre un user dans un groupe dédié et chowner afin de limiter (ou pas) les accés a certains répertoires, tu as plusieurs possibilitées mais l'essentiel est de bien le faire ;-).

Désolé je poste en vitesse , a bientot !
Voici un liens vers un tuto sur la gestions des droits et acl sous linux .

En espérant que ça t'aide .. ;-)