Discussion :

[wbx13]

Bonjour,

Je suis depuis peu administrateur réseau pour une entreprise qui me demande de sécuriser un serveur de partage de fichiers sous linux. Je vais essayer de faire simple

Configuration :
Je dispose d'un serveur qui tourne sous RedHat Entreprise (6.3 ?) et qui fait office de serveur de fichiers.

40 postes Windows environ accèdent aux partages disponibles (Samba) mais tous ont les droits lecture / écriture.
A l'heure actuelle les droits sont les suivants : drwxr-xr-x nobody nobody

Objectif :
J'aimerai pouvoir sécuriser un peu tout ça et empêchant la suppression et les déplacements des dossiers (ainsi que leurs contenus) qui se trouvent en racine du dossier de partage tout en conservant les droits en lecture / écriture dans ces dossiers.

Début de piste ?
J'ai essayé avec un chmod 1777 et chown root:nobody, ça semblait fonctionner mais en tentant une suppression sur un dossier situé en racine, effectivement le dossier n'était pas supprimé mais son contenu oui...


Comment faire pour protéger les contenus de mes fameux dossiers tout en conservant les droits de lecture / écriture pour tout le monde ?

[_solo]

Le bit sticky

[wbx13]

Ca ne fonctionne pas avec un sticky bit, la suppression du dossier est bien impossible mais en sélectionnant le dossier et en tapant Suppr. tout le contenu du dossier est quand même supprimé malgré le message d'erreur.

La est tout mon problème...

[_solo]

Ca ne fonctionne pas avec un sticky bit, la suppression du dossier est bien impossible mais en sélectionnant le dossier et en tapant Suppr. tout le contenu du dossier est quand même supprimé malgré le message d'erreur.

pas possible, ils sont tous root ou quoi ????
bon sinon tu mets des droits a partir des droits des postes windows (solution crado) .

[wbx13]

pas possible, ils sont tous root ou quoi ????
bon sinon tu mets des droits a partir des droits des postes windows (solution crado) .

Non meme pas, tout le monde est en nobody:nobody :/

[thierry.chich]

Je ne vois pas ce que tu peux faire. Si tout le monde est nobody, tu ne peux pas faire de différence entre tes utilisateurs. Or, comme il est impératif que celui qui crée un fichier en soit le propriétaire et puisse l'effacer (ce qu'implique le droit w), tu n'es pas en mesure de mettre des droits ou des acls qui vont bien.
Le minimum, dans une situation comme celle-là, c'est que tous les utilisateurs soient différenciés, au niveau du partage, et donc qu'il y ait un controleuir de domaine dans le coin.

[Tchetch]

Si j'ai bien compris, les utilisateurs ont le droit de lire et écrire dans tous les répertoires racine + 1, mais pas à la racine (seulement lecture).

Il suffit de mettre les droits sur la racine 0755 root:root sur la racine et 0775 root:users sur les répertoire racine + 1.

Et puis par la même occasion pour sécuriser, chaque utilisateur doit être distingué au niveau du système de fichier (avoir un UID propre) et faire partie d'un groupe (genre users).

Et c'est pareil pour les services, chaque service doit avoir un utilisateur et un groupe propre.

[Leeloo_Multiboot]

J'ai essayé avec un chmod 1777 et chown root:nobody, ça semblait fonctionner mais en tentant une suppression sur un dossier situé en racine, effectivement le dossier n'était pas supprimé mais son contenu oui...

Tu as essayé avec l'option -R de chmod? Ca doit normalement appliquer les modifs aux sous-répertoires et fichiers.

Peux-tu nous donner le contenu de ton /etc/samba/smb.conf?

[wbx13]

Pour le -R ça ne fonctionnera pas puisque les fichiers seront envoyés après attribution des droits sur le dossier conteneur.
Les fichiers ajoutés ne bénéficieront pas des droits en question.

Pour mon smb.conf, le voila en pièce jointe.

[Leeloo_Multiboot]

Tu as des directives qui te permettront de faire ce que tu souhaites:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
[partage]
	comment = Partage
	path = /partage
	guest ok = yes
	public = yes
	browseable = yes
	writable = yes
        create mask = xxxx
        directory mask = xxxx