Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Droits sur les dossiers

athanor

Bonjour,

Je suis en train de créer un serveur SFTP. J'ai un utilisateur master qui a accès à tous les comptes utilisateurs (client1, client2, ...).
Les dossiers ont les droits suivants :

/                drwx--x--x    root:root
/home            drwxr-x--x    root root
/home/master     drwx------    master:users
/home/client1    drwx---r-x    client1:users
/home/client2    drwx---r-x    client2:users

Donc utilisateur a son dossier, master peut lister dans /home mais pas clientX et master peut accéder aux dossiers de tout le monde.
Cependant clientX peut accéder aux répertoires des autres alors que ça ne devrai pas être possible. un bout de mon /etc/group :

root:x:0:master
users:x:100:client1,client2
master:x:1000:master

Avez vous une idée de pourquoi client1 peut accéder à /home/client2 et vice versa ?

Merci d'avance

bruno

Bonjour,

Merci de supprimer ton message en double 😉

D'après tes droits d'accès /home/client1 et /home/client2 sont accessibles et lisibles par tout le monde. (Par contre /home/master n'est accessible qu'à l'utilisateur master)
Si ce n'est pas ce que tu veux :

sudo chmod o-rx /home/client1

et idem sur l'autre

Filador

Bonjour,

Il faut que tu regardes la partie pour enfermer certains utilisateurs dans leur home, quand ils seront sur le FTP, ils ne pourront pas remonter plus loin que /home/nomdel'utilisateur.

http://doc.ubuntu-fr.org/vsftpd (2.1 COnfig. de base)

tiramiseb

Salut,

Avez vous une idée de pourquoi client1 peut accéder à /home/client2 et vice versa ?

Parce que tu as donné les droits en lecture et en exécution aux "autres", et ça inclut les utilisateurs qui sont dans un même groupe, même si les droits explicites du groupe sont plus restrictifs.

athanor

bruno a écritBonjour,

Merci de supprimer ton message en double 😉

D'après tes droits d'accès /home/client1 et /home/client2 sont accessibles et lisibles par tout le monde. (Par contre /home/master n'est accessible qu'à l'utilisateur master)
Si ce n'est pas ce que tu veux :
sudo chmod o-rx /home/client1
et idem sur l'autre

Désolé pour le message en double, mais j'ai pas accès à un quelconque bouton supprimer.

Pour /home/client1 et /home/client2, je veux qu'aucune des personnes du groupe (ici users) ne puisse y accéder et c'est pourquoi j'avais mis drwx---r-x pour que les autres (ici master) puisse y accéder.

Pour vsftpd je suis en 2.3.5 sous debian 7 et il semble qu'elle soit buggée à ce niveau la

tiramiseb

Pour /home/client1 et /home/client2, je veux qu'aucune des personnes du groupe (ici users) ne puisse y accéder et c'est pourquoi j'avais mis drwx---r-x pour que les autres (ici master) puisse y accéder.

Sauf que "les autres" ça inclut les personnes du groupe. Donc cette approche ne fonctionne pas.

Tu peux utiliser les ACL POSIX pour faire ce que tu veux (donner des droits à "master")...

bruno

C'est l'erreur courante 😉 others : les autres cela signifie tous les autres, c'est à dire tout le monde.

Tu peux faire ce que tu veux sans utiliser les ACL.
Admettons que ton utilisateur master ait pour groupe principal master et que client1 et 2 ne fassent pas partie de ce groupe, tu établis les droits ainsi :

/home            drwxr-x--x    root root
/home/master     drwx------    master:master
/home/client1    drwxrws---    client1:master
/home/client2    drwxrws---    client2:master

Ainsi master à accès à tout en lecture et écriture, et lorsque client1 ou 2 créent un fichier ou un dossier dans leur répertoire celui-ci appartient au groupe master (grâce au SGID placé sur /home/client1).

athanor

merci ça marche pour les permission en 770 en appartenant à clientX:master
Pour mettre le SUID, je dois mettre quoi à mon chmode pour avoir : rwxrws--- ?

bruno

C'est le SGID et non le SUID.

Tu le places ainsi :

sudo chmod g+s /home/client1