« Discussion:Gestion des ACL » : différence entre les versions
m (Merci + problème) |
m (Attention : la sécurité peut être mise à mal) |
||
Ligne 24 : | Ligne 24 : | ||
Peut-on juste apporter le x aux dossiers et pas aux fichiers ? | Peut-on juste apporter le x aux dossiers et pas aux fichiers ? | ||
== Attention : la sécurité peut être mise à mal == | |||
La sécurité peut être mise à mal | |||
Sur un serveur relié à un domaine Windows (via samba), les utilisateurs vont avoir, en général, comme groupe par défaut le groupe "Utilisa. du domaine". | |||
Si un utilisateur crée un fichier, celui-ci va être de la forme suivante : | |||
-rw-rwx---+ 1 eric.quinton Utilisa. du domaine 0 mai 20 16:42 essai | |||
getfacl essai | |||
"# file: essai | |||
"# owner: eric.quinton | |||
"# group: Utilisa.\040du\040domaine | |||
user::rw- | |||
group::rwx | |||
group:MSI:rwx | |||
mask::rwx | |||
other::--- | |||
Tout utiilsateur appartenant au groupe ’Utilisa. du domaine’ va pouvoir le modifier, si on a laissé les droits par défaut ou si on a juste créé des acls complémentaires, même si l’utilisateur ne fait pas partie des droits attribués via les acls... | |||
Pour éviter ce trou de sécurité, il faut supprimer les droits par défaut sur le groupe par défaut ! La solution est assez simple : | |||
setfacl -R -m g::- /opt | |||
setfacl -R -m d:g::- /opt | |||
La lettre g permet d’indiquer qu’on travaille sur un groupe, le nom du groupe laissé à vide permet d’indiquer que l’on s’intéresse au groupe par défaut. Pour supprimer les droits, il faut utiliser le caractère -, sinon le système ne prend pas en compte la demande. |
Dernière version du 1 octobre 2008 à 13:28
Petite question: ne devrait-on pas dire "une ACL" vue qu'il s'agit d'une liste de contrôle d'accès ? Fred
- Je me suis posé la question : vu qu'il s'agit d'un(e) Acces Control List et qu'il n'y a pas de genre en anglais (dans ce cas de figure-là), il n'y a pas de réponse toute faite, à moins de se dire qu'on va l'utiliser au féminin parce qu'il y a un lien évident qu'on peut faire entre List et liste.
- Dans ce cas, c'est un choix qui ne repose sur rien de grammatical mais sur une impression d'euphonie. Si le féminin te semble plus compréhensible, il n'y a qu'à changer. Vincent Ramos 26 oct 2005 à 11:24 (CEST)
- petite remarque, on dit aussi bien "un gui" que "une gui" (google référence des milliers de page pour ces deux expressions), personnellement je suis un partisant du "une gui" car interface c'est un mot féminin --Mike-m 28 oct 2005 à 05:24:46 (CEST)
- J'avais entre temps changé tous mes un ACL en une ACL. Vincent Ramos 28 oct 2005 à 11:11 (CEST)
- petite remarque, on dit aussi bien "un gui" que "une gui" (google référence des milliers de page pour ces deux expressions), personnellement je suis un partisant du "une gui" car interface c'est un mot féminin --Mike-m 28 oct 2005 à 05:24:46 (CEST)
je n'est pas trouver l'option "recursive"
elle a existé juque au environ de 2001-2002 pas plus de doc a jour dessus
aurais t'il un autre moyen
merci
Merci + problème
Bonjour
Merci pour cet article très intéressant et très clair.
J'ai essayé de mettre en oeuvre cette technique pour des dossiers partagés entre plusieurs utilisateurs. Je ne comprend cependant pas comment autoriser un utilisateur à rentrer dans des dossiers sans lui donner le droit d'exécuter les fichiers (comme des photos par exemple).
sudo setfacl -Rm u:laurent:rwx /mnt/share_photos/2007 : permet d'entrer dans les sous-dossiers, mais affecte aussi les fichiers.
Peut-on juste apporter le x aux dossiers et pas aux fichiers ?
Attention : la sécurité peut être mise à mal
La sécurité peut être mise à mal
Sur un serveur relié à un domaine Windows (via samba), les utilisateurs vont avoir, en général, comme groupe par défaut le groupe "Utilisa. du domaine".
Si un utilisateur crée un fichier, celui-ci va être de la forme suivante :
-rw-rwx---+ 1 eric.quinton Utilisa. du domaine 0 mai 20 16:42 essai
getfacl essai
"# file: essai
"# owner: eric.quinton
"# group: Utilisa.\040du\040domaine
user::rw-
group::rwx
group:MSI:rwx
mask::rwx
other::---
Tout utiilsateur appartenant au groupe ’Utilisa. du domaine’ va pouvoir le modifier, si on a laissé les droits par défaut ou si on a juste créé des acls complémentaires, même si l’utilisateur ne fait pas partie des droits attribués via les acls...
Pour éviter ce trou de sécurité, il faut supprimer les droits par défaut sur le groupe par défaut ! La solution est assez simple :
setfacl -R -m g::- /opt
setfacl -R -m d:g::- /opt
La lettre g permet d’indiquer qu’on travaille sur un groupe, le nom du groupe laissé à vide permet d’indiquer que l’on s’intéresse au groupe par défaut. Pour supprimer les droits, il faut utiliser le caractère -, sinon le système ne prend pas en compte la demande.