Discussion :

[wbx13]

Bonjour,

Je suis depuis peu administrateur réseau pour une entreprise qui me demande de sécuriser un serveur de partage de fichiers sous linux. Je vais essayer de faire simple

Configuration :
Je dispose d'un serveur qui tourne sous RedHat Entreprise (6.3 ?) et qui fait office de serveur de fichiers.

40 postes Windows environ accèdent aux partages disponibles (Samba) mais tous ont les droits lecture / écriture.
A l'heure actuelle les droits sont les suivants : drwxr-xr-x nobody nobody

Objectif :
J'aimerai pouvoir sécuriser un peu tout ça et empêchant la suppression et les déplacements des dossiers (ainsi que leurs contenus) qui se trouvent en racine du dossier de partage tout en conservant les droits en lecture / écriture dans ces dossiers.

Début de piste ?
J'ai essayé avec un chmod 1777 et chown root:nobody, ça semblait fonctionner mais en tentant une suppression sur un dossier situé en racine, effectivement le dossier n'était pas supprimé mais son contenu oui...


Comment faire pour protéger les contenus de mes fameux dossiers tout en conservant les droits de lecture / écriture pour tout le monde ?

[_solo]

Le bit sticky

[wbx13]

Ca ne fonctionne pas avec un sticky bit, la suppression du dossier est bien impossible mais en sélectionnant le dossier et en tapant Suppr. tout le contenu du dossier est quand même supprimé malgré le message d'erreur.

La est tout mon problème...

[_solo]

Ca ne fonctionne pas avec un sticky bit, la suppression du dossier est bien impossible mais en sélectionnant le dossier et en tapant Suppr. tout le contenu du dossier est quand même supprimé malgré le message d'erreur.

pas possible, ils sont tous root ou quoi ????
bon sinon tu mets des droits a partir des droits des postes windows (solution crado) .

[wbx13]

pas possible, ils sont tous root ou quoi ????
bon sinon tu mets des droits a partir des droits des postes windows (solution crado) .

Non meme pas, tout le monde est en nobody:nobody :/

[thierry.chich]

Je ne vois pas ce que tu peux faire. Si tout le monde est nobody, tu ne peux pas faire de différence entre tes utilisateurs. Or, comme il est impératif que celui qui crée un fichier en soit le propriétaire et puisse l'effacer (ce qu'implique le droit w), tu n'es pas en mesure de mettre des droits ou des acls qui vont bien.
Le minimum, dans une situation comme celle-là, c'est que tous les utilisateurs soient différenciés, au niveau du partage, et donc qu'il y ait un controleuir de domaine dans le coin.