Retirer les droits d'execution sur /tmp

**HNT** · 26/11/2006, 11h06

Bonjour,

Dans le cadre d'une mise en place d'une salle internet à 100 % sous Debian, je voudrais avoir un contrôle sur ce que les gens y font. Pour ce faire, j'ai, entre autre, supprimer les droits d'execution sur les /home et également sur /tmp. Au niveau de /tmp ça me pose un problème quand je fait des mises à jour car dpkg execute certains script post installation dans /tmp.

Ma question serait donc la suivante : Comment retirer les droits d'execution sur une partition à tout le monde sauf à root ?

**Katyucha** · 26/11/2006, 18h00

Ta question m'étonne HNT

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
ls -l 
drwxrwxrwt 14 root root  448 2006-11-26 17:58 tmp
 
chmod g-x /tmp
chmod o-x /tmp

non?

**HNT** · 26/11/2006, 20h02

Arf ma question était pas très maline c'est vrai.

Bon ben la prochaine je refléchirai plus avant de poster (si besoin de réfléchir il y avait ...

)

**narmataru** · 27/11/2006, 09h41

Katyucha,
es-tu sure de ta réponse ? ce que tu propose va interdire les non-root d'entrer dans le répertoire /tmp il me semble. Si tu enlève le droit d'exécution à un répertoire tu ne peux plus le traverser.
A mon avis enlever les droits d'exécution sur /tmp n'est pas la solution

Peut être quavec les ACL : http://sluce.developpez.com/acls/

**Katyucha** · 27/11/2006, 10h40

Ah oui, bien vu Narma...
Finallement, entre la question ou la réponse, c'est bien ma réponse la plus bete...

**keikoz** · 27/11/2006, 11h06

Si je peux me permettre, le plus simple serait simplement de ne pas toucher aux droits de /tmp. Ils ne sont pas définis au hasard, et une distribution linux (debian a fortiori) est parfaitement structurée pour une utilisation multi-utilisateur, telle quelle.

Il est normal que tous puissent accéder et écrire dans /tmp (et encore plus le traverser), parce que tout simplement ça peut être nécessaire à tous les users, d'où ces droits. Par ailleurs vous remarquerez que le sticky bit est positionné (le "t" final), ce qui précisément empêche les autres utilisateurs d'effacer les fichiers qui ne lui appartiennent pas:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

drwxrwxrwt

Donc, pas touche (amha).

**HNT** · 27/11/2006, 15h45

Ok, c'est bien pour les droits, mais moi je voudrais retirer les droits d'execution sur /tmp pour que on ne puisse pas executer quoi que ce soit dedans (à part le root)

**narmataru** · 27/11/2006, 16h07

As-tu regardé les ACL ?
http://fr.wikipedia.org/wiki/Access_Control_List

**HNT** · 27/11/2006, 17h15

Les ACL fonctionne mais visiblement uniquement pour les fichiers existants, pas pour des fichiers qui vont être crées. Autrement dit, si je dépose un executable dans /tmp je pourrais l'executer après malgré les ACL. Ce qu'il me faudrait c'est une sorte de noexec qui s'appliquerait à tout le monde sauf à root.

**keikoz** · 27/11/2006, 22h37

Ok, c'est bien pour les droits, mais moi je voudrais retirer les droits d'execution sur /tmp pour que on ne puisse pas executer quoi que ce soit dedans (à part le root)

HNT, le droit +x sur un répertoire ne donne pas le droit d'exécuter son contenu (pour ça il faut que le fichier qui s'y trouve ai un flag +x). Le flag +x sur un répertoire donne simplement le droit de le traverser (c'est-à-dire d'accéder à son contenu, en gros).

En clair, tu ne peux pas virer le +x de /tmp, sinon un processus qui utiliserais un fichier qui s'y trouve (une socket par exemple, puisque les fichiers sockets y sont souvent stockés) serait bloqué.

**narmataru** · 28/11/2006, 10h15

keikoz tu es un peu en retard là

cf les messages plus hauts...
HNT, comment as-tu réussi à enlever les droits d'exécution sur /home à tes utilisateurs ? Ne pourrons-t-ils pas toujours faire :

touch fichier.sh
vim fichier.sh
chmod +x fichier.sh
./fichier.sh

Et juste pour savoir, pourquoi veux-tu leur enlever le droit d'exécuter des fichiers dans /tmp ?

(Je sais que ça ne réponds pas à ta question, mais c'est juste pour info)

**HNT** · 28/11/2006, 18h56

Pour retirer les droits, on peut employer l'option noexec dans le fstab.

Je veut retirer ces droits car je suis en train de mettre en place une salle internet et je veut éviter que les gens viennent et commence à jouer donc j'ai une partition /tmp, une /home, une / et une swap.
Seule la partition / à les droits d'exec (la swap je sais pas, on execute rien dans la swap non ?), mais ça ma pose un problème en ce sens que lors d'un update apt, certains scripts s'execute dans le repertoire /tmp, celui-ci étant dépourvu de droit d'execution, dpkg se termine avec un code d'erreur 1.

Pour les sockets, elles sont plutot dans /var/run non ? en tout cas même avec le noexec sur /tmp, je sais accéder à internet.