IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Shell et commandes GNU Discussion :

Utilisateurs qui ont tous les droits.


Sujet :

Shell et commandes GNU

  1. #1
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    113
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 113
    Points : 41
    Points
    41
    Par défaut Utilisateurs qui ont tous les droits.
    Salut.

    J'ai deux dediés. Sur le premier tous va bien. sur le second je me rend compte que si je me connecte en shh avec l'un des mes users, j'ai acces à tous les autres users ! j'ai comparé les 2 dediés avec le webmin et les droits sur les dossiers mais je pige pas...

    Qq à une idée de là d'ou ça peut venir ?

  2. #2
    Membre éprouvé
    Avatar de Celelibi
    Profil pro
    Inscrit en
    janvier 2004
    Messages
    1 087
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2004
    Messages : 1 087
    Points : 1 101
    Points
    1 101
    Par défaut
    avec ton user, fais id pour voir tes groupes, et regarde les droits des dossiers des autres users ainsi que le groupe auquel appartienne ces dossiers.

    d'ailleur si tu pouais nous faire un copier/coller de ce que te donne id et ls -la sur tes 2 dédiés ça nous aiderait.
    Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.

  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    113
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 113
    Points : 41
    Points
    41
    Par défaut
    Deja : merci de m'avoir repondu.

    un id me donne : (c'est la même chose sur les deux machines)

    uid=509(daemonli) gid=100(users) groupes=100(users)

    un exemple du home directory sur le dedié qui decone :

    drwx---r-x 5 yspsyche yspsyche 4096 fév 15 01:13 yspsyche
    drwx---r-x 5 yssitu yssitu 4096 jan 31 15:48 yssitu


    idem sur le serveur qui marche :

    drwx---r-x 5 jourdere users 4096 nov 18 11:16 jourdere
    drwx---r-x 9 julienri users 4096 aoû 18 16:56 julienri


    En ecrivant cela, je me rend compte que C le groupe des dossiers qui va pas. Mais en quoi cela permet-il d'acceder à son contenu ?

  4. #4
    Membre éprouvé
    Avatar de Celelibi
    Profil pro
    Inscrit en
    janvier 2004
    Messages
    1 087
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2004
    Messages : 1 087
    Points : 1 101
    Points
    1 101
    Par défaut
    tu l'as dit toi même, c'est le groupe.

    sont-ce les même disitrib et même noyau sur les 2 pc ?

    dans le chmod tu as des droits superieurs pour "other" que pour le group.
    ça veut dire que tout le monde peut entrer dans le répertoir des autres users, et y lire, alors que ceux qui appartiennent au group ne pourraient rien faire.

    quelqu'un qui arriverait à se connecter en nobody pourrait lire dans les répertoirs de tous les users...


    regarde ce qui se passe :
    sur le dédié qui "déconne" le group auquel appartient les dossier est le même le l'owner du dossier. donc toi, avec ton user qui n'appartient pas au groupe yspsyche (par exemple) tu est donc considéré comme other, c'est à dire que tu a les droits r-x.
    sur l'autre serveur tous les dossier appartiennent au group users, or tu fais parti du group users, donc tu as les droit des groupes sur ces dossiers, c'est à dire --- donc tu ne peux pas y accéder.


    après pour corriger tu as plusieurs solutions, je mais te laisser les toruver tout seul. sachant que de toutes façon la config des 2 serveurs est à reovir.
    Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.

  5. #5
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    113
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 113
    Points : 41
    Points
    41
    Par défaut
    et bien merci pour l'explication.

    Ce que je vois à faire dans l'imediat, c'est faire un chown sur chacun d'eux pour remettre leur groupe à users. Ensuite retirer les droits en lecture pour other sur chacun de leur dossiers. penses-tu que cela suffise ?

    Vive les configs d'ovh.

  6. #6
    Membre éprouvé
    Avatar de Celelibi
    Profil pro
    Inscrit en
    janvier 2004
    Messages
    1 087
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2004
    Messages : 1 087
    Points : 1 101
    Points
    1 101
    Par défaut
    retirer les droits de others est une bonne idée.
    par contre pour le chgrp, étant donné que ce sont des dossiers personnels je pense qu'il serait mieux que le group soit celui de l'owner.
    comme ça l'owner pourra donner certains droits aux personnes qui appartiennent à son group.

    moi personnellement ce que je conseil c'est un chmod 750 (rwx r-x ---) et un chown celelibi:celelibi (enfin le nom de l'user quoi).
    Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    113
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 113
    Points : 41
    Points
    41
    Par défaut
    ok je vais faire comme ça.

    merci beaucoup pour ton aide... sincerement T super.

  8. #8
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    113
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 113
    Points : 41
    Points
    41
    Par défaut
    Mais alors apache qui tourne en nobody ne peut plus acceder au pages du compte !

  9. #9
    Membre éprouvé
    Avatar de Celelibi
    Profil pro
    Inscrit en
    janvier 2004
    Messages
    1 087
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2004
    Messages : 1 087
    Points : 1 101
    Points
    1 101
    Par défaut
    apache tourne en nobody ? :s

    il est pas censé tourner en www-data ou apache ?
    la config par défaut le laisse en www-data:www-data normalement.

    ensuite il suffit de rajouter l'user www-data au groupe yspsyche (par exemple).
    tu as aussi d'autres solutions, je te laisse choisir celle que tu veux.
    Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.

  10. #10
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    113
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 113
    Points : 41
    Points
    41
    Par défaut
    Ben sur les deux machines il est en nobody. C la config de base chez ovh on dirait !!

    Par contre celà implique qu'a chaque creation d'un compte que j'ajoute le nouveau groupe créé pour le compte comme groupe secondaire de mon user d'apache. Il aurait falu que je puisse installer la machine moi même car là je doit reconfigurer les modules webmin.. pffffff .

    C vrai que C mal foutu. y'a des users pour qmail, mysql .... mais pas pour apache.

    Y'a aussi un truc que j'explique pas. J'ai juste changé les groupes de mes users et leurs dossiers.. pour le moment j'ai tt passé en "users". Mais si je me connecte en ssh , j'arrive à faire un "netstat -alpe" et de voir les process des autres users !! normalement je devrai pas y avoir droit.

  11. #11
    Membre éprouvé
    Avatar de Celelibi
    Profil pro
    Inscrit en
    janvier 2004
    Messages
    1 087
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2004
    Messages : 1 087
    Points : 1 101
    Points
    1 101
    Par défaut
    c'est la même chose que si tu faisais un ps -A, tu aura toujours les processus ces autres utilisateurs.


    tu as quelle distribution, car sous debian quand on créé un user, un group avec le même nom que l'user est créé automatiquement.

    si tu créé un fichier /usr/local/sbin/adduser.local il sera exécuté après chaque ajout d'user (voir man adduser).

    si apache doit avoir accès à tous les comptes créés sans exception tu peux aussi simplement mettre comme groupe principal à chaque user le groupe d'apache (voir l'option --ingroup). comme ça chaque fichier créé par l'user aura le groupe www-data et avec un chmod qui ca bien apache pourra lire tous les fichiers.
    Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.

  12. #12
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    113
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 113
    Points : 41
    Points
    41
    Par défaut
    je suis sous redhat 7.2

    Sous mon autre serveur un netstat -alpe ne passe pas. mais le dossier /proc/net et /proc/sys n'ont aucun droit sur les group et les other. Ce qui n'est pas le cas ici. C'est ptet pour ça q'ici le netstat fonctionne. J'ai essayé de changer ces droit mais le chmod n'a pas d'effet.. surement à cause de l'interet de ces dossiers....

    j'ai ecrit un prog en perl qui permet de creer des comptes automatiquement, et effectivement quand on fait un adduser il cré automatiquement le groupe avec le même nom ce qui explique l'erreur du debut avec le "mauvais" (pas si mauvais en fait) nom de groupe.

    Le fait de tous passer sous apache est effectivement une possibilité. Dans ce cas pourquoi ne pas rester sous nobody. Est-ce que nobody est utilisé par d'autre appli et est donc plus sensible au hack ?

  13. #13
    Membre éprouvé
    Avatar de Celelibi
    Profil pro
    Inscrit en
    janvier 2004
    Messages
    1 087
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2004
    Messages : 1 087
    Points : 1 101
    Points
    1 101
    Par défaut
    et bien nobody est un user qui n'en est pas vraiment un.
    quelque soit le fichier il aura toujours les permissions other, il n'a pas de répertoir home. en gros nobody c'est... personne.

    faire tourner apache en nobody permet en cas de faille que le pirate n'ai que les droits nobody, mais dans ce cas il faudra quand même que apache ai accès aux fichiers à mettre sur internet, il faudra donc mettre des droits à other.

    faire tourner apache avec un user spécifique permet de ne donner aucun droit à other, mais seulement à apache. en cas d'un faille quelconque si quelqu'un arrive à avoir un accès nobody, il n'aura pas accès aux fichiers web. en cas de faille dans apache le pirate aura accès aux fichiers web tout comme il y aurait eut accès si apache tournait en nobody.
    Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.

  14. #14
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    113
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 113
    Points : 41
    Points
    41
    Par défaut
    ha ok.

    ben merci pour ces lumieres, C pas facile de trouver ces infos sur le net.
    Mon truc C le flash (en fait C mon metier) donc si tu as besoin.... je serai ravi de te depanner.

    merci encore et @+

  15. #15
    Membre éprouvé
    Avatar de Celelibi
    Profil pro
    Inscrit en
    janvier 2004
    Messages
    1 087
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2004
    Messages : 1 087
    Points : 1 101
    Points
    1 101
    Par défaut
    tu sais tout ce que je t'ai dis là, je n'ai trouvé aucune de ces infos sur internet (sauf peut-être le fonctionnement des chmod).
    ensuite c'est du test, de la réflexion et de l'extrapolation.

    nobody = personne, donc quelqu'un qui n'a pas de compte user ni de groupe.



    en ce qui concerne flash, actuellement je suis plutôt à la recherche d'un décompilateur qui fonctionne sous linux. (voir un topic pas très loin) donc je ne suis pas sûr que là dessus je ne suis pas sûr que tu puisse m'aider.
    enfin si tu veux aider des personnes en ce qui concerne flash il y a un forum dédié à flash.


    voilà, n'oublie pas de cliquer sur [résolu] en bas à gauche.
    Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Steam : un bug qui supprime tous les fichiers de l'utilisateur
    Par Amine Horseman dans le forum Développement 2D, 3D et Jeux
    Réponses: 19
    Dernier message: 24/01/2015, 13h52
  2. Réponses: 8
    Dernier message: 19/10/2011, 19h03
  3. Macro excel qui ferme tous les fichiers .xls
    Par max2245 dans le forum Macros et VBA Excel
    Réponses: 7
    Dernier message: 10/01/2006, 20h21
  4. Formulaire qui contient tous les champs d'une table
    Par cakeby dans le forum Access
    Réponses: 2
    Dernier message: 09/01/2006, 09h22
  5. creation d'utilisateur sous interbase avec tous les droits
    Par devalender dans le forum InterBase
    Réponses: 2
    Dernier message: 13/09/2004, 10h00

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo