Discussion :

[kevin066]

Bonjour à tous,
Je dispose d’un serveur Linux en version RedHat 8 j’aimerais trouver une solution pour créer un compte qui accède à cet environnement uniquement en lecture sans aucune action possible de sa part.
Comme nous savons tous, sur Linux tout est fichier, et les droits sont positionnés sur les fichiers.
Mais je pensais à SELinux que je n’ai jamais implémenté.
Peut-être créer un contexte ALL et un autre contexte READ.
Je cherche dans la littérature, mais rien ne me semble évident.
Qu’en pensez-vous ?

[papajoker]

bonjour

qui accède à cet environnement uniquement en lecture sans aucune action possible de sa part.

je n'ai pas compris ce que tu désires exactement, un compte par défaut n'a que son $HOME en écriture.
- Tu peux créer simplement un user sans HOME, il ne pourra donc rien modifier
- Tu peux créer un user sans shell (/etc/passwd) : ne peut accéder qu'à quelques services

"Accéder à un serveur linux" est vague.

[kevin066]

Merci beaucoup pour ta réponse,
Je souhaite créer un compte qui accède à l’OS uniquement pour consulter, mais sans pouvoir modifier.
Tu veux dire je crée un compte lambda sans Home Directory et sans Shell et ce compte ne pourra, par exemple, que consulter les fichiers même ceux qui ont des droits sur «*other*», et avoir un droit très restreint sur quelques services ?

[binarygirl]

Mais l'utilisateur va se connecter comment ? En SSH à distance ? Ou se logger physiquement sur un PC ?
Pour quoi faire ? Si vous définissez mieux ce qu'il doit pouvoir faire et ne pas faire, alors on verra mieux quelle est la meilleure approche.
Si l'utilisateur n'a pas de shell, il ne pourra même pas se logger en console (en SSH en tout cas), mais c'est intéressant pour faire du SSH tunneling par exemple.
Même un utilisateur lamba (non privilégié) a accès à d'autres choses que son répertoire personnel, par exemple les logs (dans /var/log) et même beaucoup d'autres répertoires, même si les droits en écriture ou lecture sont plus restreints.

[kevin066]

L’Utilisateur en question se connectera en SSH ou en Telnet via un client Putty par exemple.
L’idée c’est qu’il puisse se balader sur le serveur, sans pouvoir modifier les fichiers, juste consulter.
Pour le reste (services ou autre) ce n’est pas capital, idéalement aucune action, mais le plus important c’est qu’il ne puisse pas modifier les fichiers du serveur.
Voilà mon besoin.

[Christophe]

Tu créé un utilisateur, et tu fais un chmod -w sur le dossier /home/nomèutilisateur

Tu pourras te loguer dessus mais ne pourras pas écrire dedans
Attention aux effets de bord, exemple si tu lances nano tu auras un message comme quoi il ne peut pas créer le fichier .nano mais après ça fonctionne avec les limites que rien ne peut être écrit dans le compte.
Pour des fichiers partagés, c'est le propriétaire de ceux-ci qui devra gérer le partage.