Qu'appelles-tu stratégie de groupe ? Concrètement, tu veux faire quoi ?

Poste le Wednesday 9 May 2007 18:24:08

bonjour tg(y),

Enfait, je veus faire ce que l'on apelle stratégie de groupe sous Windows (le sytème de restriction sur des utilisateurs) mais sous Linux.

Par exemple interdire a un utilisateur particuler d'instaler de logitiel, a un otre lui interdir l'accé a internet, etc...

Voila, j'espère que c'est un peu plus clair!!! Et merci davoir répondu!:-)

Poste le Thursday 10 May 2007 10:03:46

Documentes toi sur les permissions d'Unix, la notion de user et de group id, peut-être la notion d'attribut étendu (getfattr).

----

Basile STARYNKEVITCH

Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!

Projet logiciel libre: RefPerSys

Poste le Thursday 10 May 2007 10:07:53

ça toujours existé sous linux comme sous les autres unix et c'est même beaucoup plus puissant que sous windows ...

cette page t'expliquera tout ça : [lea-linux.org]#

Poste le Thursday 10 May 2007 10:37:12

merci beaucoup à vous deux, je me penche sur le sujet!
bonne journée

Poste le Thursday 10 May 2007 10:57:04

rebonjour,

c'est impécable tout toutes les restriction fonctionne, sauf une :
je n'arrive pas a empécher un utilisateur d'instaler des logitiels, vous avez une idée de la ou je peus chercher pour trouver la ligne de commande qui va bien?

merci

Vive Ragnarok!!

Poste le Thursday 10 May 2007 14:15:07

Où veux tu empécher ton utilisateur d'installer des logiciels? Dans son répertoire domestique, ou bien dans les répertoires systèmes.

Et pourquoi empêcher un utilisateur d'installer des logiciels? A-t-il le droit ou non de faire ses propres scripts ou logiciels?


----

Basile STARYNKEVITCH

Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!

Projet logiciel libre: RefPerSys

Poste le Thursday 10 May 2007 14:18:40

Un utilisateur normal n'a pas le droit d'installer des logiciels pour l'enesemble du système.

En revanche, il peut toujours installer des logiciels dans son répertoire personnel, en se les compilant, par exemple. Retire-lui le droit d'utiliser le compilateur, et il pourra toujours les compiler ailleurs et les copier dans son répertoire personnel ensuite.

Poste le Thursday 10 May 2007 15:15:03

enfaite, je créé une salle en réseau dans un mini centre de formation. C'est une salle de documentation public et donc je dois en gros tout interdire enfin just laisser la connection a internet (bien sure) et l'outil openoffice. Par contre je dois empécher l'installation de logitiel, dans n'importe quel dossier! (genre méssagerie instentané ou jeux par exemple).

le problème, c'est que les utilisateurs ont un dossier à eux bien sure, mé comment empécher l'installation de jeux tout en autorisant la sauvgarde de donnée?

...

Vive Ragnarok!!

Poste le Thursday 10 May 2007 15:40:49

j'ai oublier une petit chose : es possible de tout supprimer ce qu'il y dans un dossier à la fermeture de la séssion?

Poste le Thursday 10 May 2007 15:45:12

Tu peux faire le /home dans une partition dédiée, et enlever le droit d'exécution.
Tu peux essayer la même chose pour /tmp et /var/tmp (noexec dans /etc/fstab)

Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"

Poste le Thursday 10 May 2007 15:59:41

merci oudoubah, je vais faire comme tu dis, on véra ce que ca donne!!!:-)

Poste le Thursday 10 May 2007 16:20:51

Citation
oudoubah
Tu peux faire le /home dans une partition dédiée, et enlever le droit d'exécution.
Tu peux essayer la même chose pour /tmp et /var/tmp (noexec dans /etc/fstab)

j'avais accidentellement fait la même chose sur mon pc de tests (voir un autre topic dans ce même forum) et j'arrivais toujours à lancer des scripts shell en faisant

$ sh mon_script

... Un script parvenait à lancer curl, un autre ne parvenait pas à lancer fakeroot ...

Mais il te faudrait effectuer des tests si possible assez approfondis pour voir ce qui se passerait ...

Poste le Thursday 10 May 2007 17:03:27

Citation
ankou29666
j'avais accidentellement fait la même chose sur
mon pc de tests (voir un autre topic dans ce même
forum) et j'arrivais toujours à lancer des scripts
shell en faisant$ sh mon_script... Un script
parvenait à lancer curl, un autre ne parvenait pas
à lancer fakeroot ...

Il faut de toute manière empêcher à un utilisateur d'avoir accès à un terminal. Tu peux donc par exemple utiliser une des possibilités d'xfce qui permet d'empêcher à un utilisateur de modifier le menu (une autre solution est de faire appartenir les fichiers de conf à un autre utilisateur, et d'empêcher l'accès en écriture).
Il faut également empêcher l'accès aux terminaux (ctrl-alt-f1).

Pour cela, le plus simple est de modifier /etc/profile et de rajouter, juste après les "export", les commandes suivantes :

[ -z "$(id | grep wheel)" ] && [ -z "$DISPLAY" ] && exit

Explication : si l'utilisateur ne fait pas partie du groupe wheel et si ce n'est pas une connexion X, alors, on se déconnecte.

Je viens de faire des tests, et la première partie fonctionne (interdiction à tout utilisateur non membre de wheel de ses connecter dans un terminal, ou via un client ssh).
Je n'ai, par contre, pas encore testé si l'utilisateur arrive à se connecter sous X.

Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"

Poste le Thursday 10 May 2007 20:32:20

On peut aussi donner les shells connus à un groupe shell, puis en retirer les droits d'exécution pour les autres...

Poste le Thursday 10 May 2007 22:03:19

Il y a aussi les restricted shells, donc mettre rbash comme login shell

----

Basile STARYNKEVITCH

Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!

Projet logiciel libre: RefPerSys

Poste le Thursday 10 May 2007 22:09:28

merci à tous pour vos infos, ma config commence à tenir la route! Il ne reste que deux ou trois truk à modifier!


Vive Ragnarok!!

Poste le Friday 11 May 2007 10:50:42

Citation
oudoubah
Pour cela, le plus simple est de modifier
/etc/profile et de rajouter, juste après les
"export", les commandes suivantes :
[ -z "$(id |
grep wheel)" ] && [ -z "$DISPLAY" ]
&& exit

j'ai trouvé le fichier (enfin je crois que c'est le bon) mais c'est laquelle la ligne pour les exports?

mon fichier resemble à ca :

if [ "$PS1"]; then
if ["$BASH"]; then
PS1='\u@\h:\w\$
if [ -f /etc/bash.bashrc ]; then
. /etc/bash.bashrc
fi
else
if [ "'id -u'" -eq 0 ]; then
PS1='#'
else
PS1='$'
fi
fi
fi

umask 022

Poste le Friday 11 May 2007 11:10:41

Tu peux le mettre à la fin. La tête du /etc/profile dépend de la distrib.

Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"

Poste le Friday 11 May 2007 12:03:23