Gros Probl

[Thirganor]

Salut à vous,

afin de permettre à mes amis de sauvegarder leurs données importantes chez moi, je leur avais mis à dispo un partage en FTP, mais toutes les peines du monde à s'y connecter de l'extérieur, et de toutes facons par très sûr.

Donc je me suis tourné vers les tutos pour activer le SSH afin d'utiliser WinSCP.

Jusque là pas de problème, la connexion avec clé fonctionne nickel.

Par contre, comme certains l'avait déjà fait remarquer, les utilisateurs qui se connectaient avaient accès à tout... ce qui reste très embetant.

J'ai donc tenté d'y remedier, en partie:

1. Création d'un nouveau groupe: friends

2. Création d'un nouveau répertoire /volume1/friends

3. chgrp des repertoires non autorisés -> users (comme music, video, ...)

4. chmod de ces même répertoires en 770

5. Création d'utilisateurs avec leur home dans /volume1/friends/userX

6. chmod de ces répertoires users en 700

7. installation des clés ssh

Jusqu'ici, pas de soucis, les nouveaux utilisateurs peuvent se connecter avec leur clé, peuvent parcourir l'arborescense mais ne peuvent pas voir le contenu de ce qui leur est interdit.

Je pensais avoir une solution à peu pret propre jusqu'à ce que j'essaie d'effacer un fichier "root" avec l'un de ces utilisateurs.

Et là MALHEUR, ca fonctionne... ces utilisateurs peuvent effacer et renommer n'importe quoi ou presque (dans l'histoire, j'ai effacé le fichier aquota.groups, j'espère qu'il n'était pas important )

Je capte plus...

Mes droits de fichiers ressemblent à ca:

/volume1					 drwxrwxrwx	 root	root

/volume1/video			   drwxrwx---	 root	users

/volume1/friends			 drwxrwxrwx	 root	friends

/volume1/friends/user1	   drwx------	 user1	friends

/volume1/friends/user2	   drwx------	 user2	friends

/volume1/test.txt			-rw-r--r--	 root	root

- user2 ne peut pas voir les données de user1: OK - userX ne peuvent pas voir les données de video: OK - user2 peut renommer/détruire le répertoire de user1: PAS OK - user2 peut détruire le répertoire de user1: PAS OK - userX peuvent renommer/effacer /volume1/test.txt: PAS OK DU TOUT C'est quoi ce délire ?!? Z'auriez une idée ? Voici mon passwd:

root:x:0:0:root:/root:/bin/ash

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

ftp:x:21:21:Anonymous FTP User:/nonexist:/sbin/nologin

anonymous:x:21:21:Anonymous FTP User:/nonexist:/sbin/nologin

smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin

nobody:x:1023:1023:nobody:/home:/sbin/nologin

admin:x:1024:100:System default user:/volume1/@database:/bin/sh

guest:x:1025:100:Guest:/nonexist:/bin/sh

Moi:x:1026:100::/:/bin/csh

user1:x:1033:65537:user test 1:/volume1/friends/user1:/bin/ash

user2:x:1034:65537:user test 2:/volume1/friends/user2:/bin/ash

et mon fichier group:

#$_@GID__INDEX@_$65538$


root:x:0:

lp:x:7:nobody,lp,nobody

ftp:x:21:nobody,ftp,nobody

smmsp:x:25:nobody,smmsp,nobody

nobody:x:1023:nobody,nobody

users:x:100:nobody,nobody


friends:x:65537:nobody,user1,user2,nobody

que j'ai modifié à la main. Aurais-je fait des erreurs ? d'ailleurs je ne comprends pas pourquoi il y a partout "nobody" dans les groupes. (C'est vrai que mes cours UNIX remontent à très très loin, mais bon)

[DD_pak]

Salut

Moi aussi j'utilise mon syno pour des sauvegardes de plusieurs personnes, au début je pensé comme toi en jouant sur les droits de fichiers mais ca a pas marcher (ps: je pense comme toi pour les droits je peux pas expliquer pourkoi ca marche pas ce que tu veux faire).

Meme si ca marche rien empeche user 1 et user 2 de se connecter en ssh et de lancer des commandes, et rien ne les bloque pour remonter au / et aller dans /etc ou /volume1/web ...

Voila ma solution perso j'ai installer scponly (de memoire je crois que c'est celui la c'est en ipkg), ca te permet de faire une connection en sftp (plus secure que le ftp), d'interdire le ssh, et de les chrooter directement dans leur home (donc chaque user a son home et ne peux pas en sortir donc pas de probleme de droit a gerer meme pas la peine de faire des groupes).

L'inconvenients est que dans le repertoire chrooter il faut recopier les repertoires systèmes de bases environ 400mb à chaque fois, chez moi tout le monde se connecte avec le meme user (on se fait confiance) j'ai voulus une separation des données du web et leurs sauvagardes de facon a ce qu'il ne font pas le bordel car il n'y connaisse rien.

Pour toi le mieux c'est un mixte tu chroot user 1 et 2 dans le meme repertoire, et la tu gere les droits (j'ai essayé ca marche pas de probleme).

J'ai pas le net j'attend ma freebox, donc j'ai pas le syno devant moi pour t'aider si t'essaye ma solution (pas simple a mettre en place), mais j'essaye de passer une fois par jour sur le forum si ma solution t'interresse

@+

[Thirganor]

Merci DD_pak de ton aide.

J'avais vu, aussi, que certains c'étaient tourné vers le scponly ou du chroot, mais cela me paraissait plus compliqué à mettre en place. Et comme nous avons un gentil linux sur nos becannes, je voulais essayer le plus simplement possible.

Ce qui me gene vraiment c'est qu'un utilisateur lamda, sans droits "Root", puissent faire ce genre de truc. Qu'il puisse se promener dans l'arborescence ne me gene pas trop, mais qu'il puisse effacer du contenu auquel il n'a pas droit m'interpelle fortement. Soit j'ai rien compris au droits d'Accès, soit le Linux du Syno a un mode spécial pour gérer les droits.

Je vais voir sur le forum de Syno si certains ont remarquer le même phénomène.

Autrement, pour nos pros du Linux ici, vous n'auriez pas essayé d'ajouter à la main un utlisateur dans un nouveau groupe et essayé d'effacer des fichiers "root" avec ?

Bye...

[pepere51]

L'effacement d'un fichier ne depand pas des droits du fichier, mais du répertoire parent.

si le répértoire est en drwxrwxrwx, tu peux effacer n'importe quel fichier dedans, ce qui est le cas de /volume1

Il faut fermer le repertoire

J'espère que cela répond à ta question

[KDD]

Je capte plus...

Mes droits de fichiers ressemblent à ca:

/volume1					 drwxrwxrwx	 root	root

	 /volume1/video			   drwxrwx---	 root	users

	 /volume1/friends			 drwxrwxrwx	 root	friends

	 /volume1/friends/user1	   drwx------	 user1	friends

	 /volume1/friends/user2	   drwx------	 user2	friends

	 /volume1/test.txt			-rw-r--r--	 root	root

- user2 ne peut pas voir les données de user1: OK

- userX ne peuvent pas voir les données de video: OK

- user2 peut renommer/détruire le répertoire de user1: PAS OK

Normal, user2 est dans le groupe friends qui a le droit d'écriture (w) sur le répertoire /volume1/friends qui contient le répertoire de user1.

- user2 peut détruire le répertoire de user1: PAS OK

Idem.

- userX peuvent renommer/effacer /volume1/test.txt: PAS OK DU TOUT

Normal, tous les droits (rwx) sont permis à tout le monde (le troisième rwx) sur le répertoire /volume1 qui contient /volume1/test.txt.

Bref, c'est ce qu'explique pepere51 ci-dessus.

[Thirganor]

Merci pour ces explications, ca ne fonctionne donc pas comme les droits windows... damned .

Maintenant, je suppose que si je modifie les droits de "volume1" ca va mettre le boxon.