HS: masque à un répertoire particulier

Le
Raphaël POITEVIN
Bonjour,

Je me permets de poster ce HS ne sachant pas trop où poser ma
question.

Je cherche à appliquer un umask (027) à un répertoire en particulier,
mais toutes fois conserver l'umask par défaut pour le restant de
mes répertoires.

Exemple :
le répertoire ~user/pub/www/ devrait avoir les droits 750 ainsi que
chaque nouveaux fichiers que je crée à l'intérieur. De plus, les
nouveaux fichiers devraient appartenir à l'utilisateur user et au
groupe www-data à leur création.

C'est un problème somme toute classique, mais je ne vois que des
sujets sur le sticky bit. Or, je ne pense pas que ce soit cela qui
m'intéresse.

Bien entendu, on pourrait faire un chgrp et un chmod à chaque fois,
mais c'est pour des gens qui utilisent Samba ou WinSCP et qui ne sont
pas informaticiens.

Si vous avez une idée, une page de manuel, je suis preneur.

Cordialement,
--
Raphaël

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAMmtCiWeQabjxbrcEys_bhN8rie6AfComBs-j4rm3MCSf2Hhvg@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Leopold BAILLY
Le #23989891
Raphaël POITEVIN
Bonjour,

Je me permets de poster ce HS ne sachant pas trop où poser ma
question.

Je cherche à appliquer un umask (027) à un répertoire en particulier,
mais toutes fois conserver l'umask par défaut pour le restant de
mes répertoires.

Exemple :
le répertoire ~user/pub/www/ devrait avoir les droits 750 ainsi que
chaque nouveaux fichiers que je crée à l'intérieur. De plus, les
nouveaux fichiers devraient appartenir à l'utilisateur user et au
groupe www-data à leur création.

C'est un problème somme toute classique, mais je ne vois que des
sujets sur le sticky bit. Or, je ne pense pas que ce soit cela qui
m'intéresse.

Bien entendu, on pourrait faire un chgrp et un chmod à chaque fois,
mais c'est pour des gens qui utilisent Samba ou WinSCP et qui ne sont
pas informaticiens.

Si vous avez une idée, une page de manuel, je suis preneur.



Une possibilité est d'utiliser inotify, qui est un mécanisme de
notification fourni par le noyau, pour déclencher le chmod. Un certain
nombre de paquets permettent d'exploiter ces notifications pour
réaliser des actions.

Par exemple :

:~$ apt-cache show inoticoming
Package: inoticoming
Version: 0.2.2-1
Installed-Size: 52
Maintainer: Bernhard R. Link Architecture: amd64
Depends: libc6 (>= 2.4)
Suggests: reprepro (>= 2.2.2-1)
Description: trigger actions when files hit an incoming directory
inoticoming is a daemon to watch a directory with Linux's inotify
framework and trigger actions once files with specific names are placed
in there.


--
Léo.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bernard Schoenacker
Le #23989921
Le Mon, 21 Nov 2011 21:17:41 +0100,
Raphaël POITEVIN
Bonjour,

Je me permets de poster ce HS ne sachant pas trop où poser ma
question.

Je cherche à appliquer un umask (027) à un répertoire en particulier,
mais toutes fois conserver l'umask par défaut pour le restant de
mes répertoires.

Exemple :
le répertoire ~user/pub/www/ devrait avoir les droits 750 ainsi que
chaque nouveaux fichiers que je crée à l'intérieur. De plus, les
nouveaux fichiers devraient appartenir à l'utilisateur user et au
groupe www-data à leur création.

C'est un problème somme toute classique, mais je ne vois que des
sujets sur le sticky bit. Or, je ne pense pas que ce soit cela qui
m'intéresse.

Bien entendu, on pourrait faire un chgrp et un chmod à chaque fois,
mais c'est pour des gens qui utilisent Samba ou WinSCP et qui ne sont
pas informaticiens.

Si vous avez une idée, une page de manuel, je suis preneur.

Cordialement,



bonjour,

je viens de voire l'arborescence et c'est surprenant :

~user/pub/www/

normalement c'est : /www/pub/~user/

la solution consisterai en une tâche cron ou équivalent qui
repeigne le tout dans le bon sens ( après modification ) ...

le maxi qui soit le plus sûr pour un fichier (chmod 644) :

-rw-r--r-- 1 ftp ftp 1064 Oct 8 10:15 README

origine : ftp://ftp.oleane.net/pub/debian/

lien pour le manuel :
http://pwet.fr/man/linux/commandes/chmod


attention :

l'appartenance au groupe www-data peut être fortement
conseillé ...


slt
bernard


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Gilles Mocellin
Le #23989981
--nextPart1529577.aFjMZIxPIP
Content-Type: Text/Plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Le Monday 21 November 2011 21:17:41 Raphaël POITEVIN, vous avez écrit :
Bonjour,

Je me permets de poster ce HS ne sachant pas trop où poser ma
question.

Je cherche à appliquer un umask (027) à un répertoire en particulie r,
mais toutes fois conserver l'umask par défaut pour le restant de
mes répertoires.

Exemple :
le répertoire ~user/pub/www/ devrait avoir les droits 750 ainsi que
chaque nouveaux fichiers que je crée à l'intérieur. De plus, les
nouveaux fichiers devraient appartenir à l'utilisateur user et au
groupe www-data à leur création.

C'est un problème somme toute classique, mais je ne vois que des
sujets sur le sticky bit. Or, je ne pense pas que ce soit cela qui
m'intéresse.

Bien entendu, on pourrait faire un chgrp et un chmod à chaque fois,
mais c'est pour des gens qui utilisent Samba ou WinSCP et qui ne sont
pas informaticiens.

Si vous avez une idée, une page de manuel, je suis preneur.

Cordialement,



Salut,

Pour les droits (umask) tu ne pourra pas le faire seulement pour un
répertoire.
Pour le groupe, un sgid bit (chmod g+s) permettra de conserver le groupe et de
le forcer pour les nouveaux fichiers.

En dehors des solutions cron ou inotify déjà évoquées, tu peux auss i
investiguer du coté des ACL (setfacl/getfacl).

En positionnant une ACL par défaut sur le répertoire, elle devrait êt re
propagée et conservée.

--nextPart1529577.aFjMZIxPIP
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEABECAAYFAk7KvoMACgkQDltnDmLJYdB9mwCgw35+VbktOgAyf97j0JtQTe3M
D2sAniMOaCTMmlvKcav1qHsT348SohLx
=RTWE
-----END PGP SIGNATURE-----

--nextPart1529577.aFjMZIxPIP--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bernard Schoenacker
Le #23989971
Le Mon, 21 Nov 2011 22:11:30 +0100,
Gilles Mocellin
Le Monday 21 November 2011 21:17:41 Raphaël POITEVIN, vous avez
écrit :
> Bonjour,
>
> Je me permets de poster ce HS ne sachant pas trop où poser ma
> question.
>
> Je cherche à appliquer un umask (027) à un répertoire en
> particulier, mais toutes fois conserver l'umask par défaut pour le
> restant de mes répertoires.
>
> Exemple :
> le répertoire ~user/pub/www/ devrait avoir les droits 750 ainsi que
> chaque nouveaux fichiers que je crée à l'intérieur. De plus, les
> nouveaux fichiers devraient appartenir à l'utilisateur user et au
> groupe www-data à leur création.
>
> C'est un problème somme toute classique, mais je ne vois que des
> sujets sur le sticky bit. Or, je ne pense pas que ce soit cela qui
> m'intéresse.
>
> Bien entendu, on pourrait faire un chgrp et un chmod à chaque fois,
> mais c'est pour des gens qui utilisent Samba ou WinSCP et qui ne
> sont pas informaticiens.
>
> Si vous avez une idée, une page de manuel, je suis preneur.
>
> Cordialement,

Salut,

Pour les droits (umask) tu ne pourra pas le faire seulement pour un
répertoire.
Pour le groupe, un sgid bit (chmod g+s) permettra de conserver le
groupe et de le forcer pour les nouveaux fichiers.

En dehors des solutions cron ou inotify déjà évoquées, tu peux aussi
investiguer du coté des ACL (setfacl/getfacl).

En positionnant une ACL par défaut sur le répertoire, elle devrait
être propagée et conservée.



bonjour,


et tu te prend une tarte à la crème lorsque tu emploie Samba du
fait que les acl sont gérés différements ....

documentation :

http://lea-linux.org/documentations/index.php/Gestion_des_ACL


slt
bernard


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #23990061
On Mon, 21 Nov 2011 21:17:41 +0100
Raphaël POITEVIN
Je cherche à appliquer un umask (027) à un répertoire en p articulier,
mais toutes fois conserver l'umask par défaut pour le restant de
mes répertoires.

Exemple :
le répertoire ~user/pub/www/ devrait avoir les droits 750 ainsi que
chaque nouveaux fichiers que je crée à l'intérieur. De plu s, les
nouveaux fichiers devraient appartenir à l'utilisateur user et au
groupe www-data à leur création.



QUI (user/grp) écrit dans le DIR, toujours le même ou différ ents users?

C'est un problème somme toute classique, mais je ne vois que des
sujets sur le sticky bit. Or, je ne pense pas que ce soit cela qui
m'intéresse.

Bien entendu, on pourrait faire un chgrp et un chmod à chaque fois,
mais c'est pour des gens qui utilisent Samba ou WinSCP et qui ne sont
pas informaticiens.



Ton explication n'est pas claire: c'est une exploitation par un httpd ou
par samba?

S'il s'agit juste de samba et de forcer user & grp, il suffit de lire
la doc de smb.conf (force user|group), en n'oubliant pas que samba ne
peut attribuer que ce qui est permis dans les droit Linux et rien de
plus.

Si c'est juste un seul user qui écrit dans ce DIR, alors comme dé jà
dit, un chmod g+s (ET un chown user:www-data) du DIR suffisent.

--
"Mind if I smoke?"
"I don't care if you burst into flames and die!"

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Raphaël POITEVIN
Le #23990391
Bonsoir,

Merci à vous tous pour vos réponses, je vais étudier la question.
Le 21/11/11, Jean-Yves F. Barbier
QUI (user/grp) écrit dans le DIR, toujours le même ou différents


users?

Ton explication n'est pas claire: c'est une exploitation par un httpd ou
par samba?



Je me suis mal expliqué. Le cas le plus concret :
Je donne un espace à un ami qui met des pages Web accessibles avec
Apache. Il le fait depuis chez lui sous Windows et WinSCP, en se
connectant avec son nom d'utilisateur et son mot de passe. Je
souhaite, lorsqu'il dépose ses fichiers, que ceux-ci aient les
pemissions 750, qu'il soit le propriétaire et le groupe soit www-data.
Pour samba, on verra plus tard, mais c'est le même genre de situation,
les fichiers doivent être à 750 et appartenir à l'utilisateur + group e
sambashare.

S'il s'agit juste de samba et de forcer user & grp, il suffit de lire
la doc de smb.conf (force user|group), en n'oubliant pas que samba ne
peut attribuer que ce qui est permis dans les droit Linux et rien de
plus.



OK pour samba, je vais voir. Mon but est en fait, de n'avoir aucune
visibilité des fichiers d'un ut'ilisateur à l'autre et pouvoir
appliquer des règles de permissions à certains répertoire qui doivent
faire partie de groupes.

Si c'est juste un seul user qui écrit dans ce DIR, alors comme déjà
dit, un chmod g+s (ET un chown user:www-data) du DIR suffisent.



Merci beaucoup pour toutes ces indications.

Cordialement,

Raphaël

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAMmtCiU2r_pe=vmZ98VQWBcQQqZZVHA1yS96DXbefoQ1+
Raphaël POITEVIN
Le #23990431
Bonjour,
Le 21/11/11, Bernard Schoenacker
je viens de voire l'arborescence et c'est surprenant :

~user/pub/www/

normalement c'est : /www/pub/~user/



Ah ! J'avoue ne pas trop savoir ! J'ai tout simplement fait un
répertoire /home/mon_user/pub/www et appliqué un vhost qui pointe
dessus. Je ne suis pas un grand spécialiste de Apache.

la solution consisterai en une tâche cron ou équivalent qui
repeigne le tout dans le bon sens ( après modification ) ...



J'y ai pensé, mais je n'étéais pas sûr que cela était très
informatiquement correct. Mais j'en apprends tous les jours.

le maxi qui soit le plus sûr pour un fichier (chmod 644) :



Oui, je pensais 750 dans le cas où il y aurait des répertoires à trav erser.
attention :

l'appartenance au groupe www-data peut être fortement
conseillé ...



Oui, l'un des points de départ de toutes mes questions.

Cordialement,

Raphaël

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAMmtCiWJSkb=-CsySWvmz0vVsyLqpP+
Jean-Yves F. Barbier
Le #23990561
On Tue, 22 Nov 2011 00:21:29 +0100
Raphaël POITEVIN
Je me suis mal expliqué. Le cas le plus concret :
Je donne un espace à un ami qui met des pages Web accessibles avec
Apache. Il le fait depuis chez lui sous Windows et WinSCP, en se
connectant avec son nom d'utilisateur et son mot de passe. Je
souhaite, lorsqu'il dépose ses fichiers, que ceux-ci aient les
pemissions 750, qu'il soit le propriétaire et le groupe soit www-dat a.
Pour samba, on verra plus tard, mais c'est le même genre de situatio n,
les fichiers doivent être à 750 et appartenir à l'utilisat eur + groupe
sambashare.



Dans le cas que j'ai cité les fichiers sont en 644; mais à partir du
moment où les autres users ne font pas partie du groupe www-data, ils
n'y ont pas accès.

Si tu veux *vraiment* faire sauter le dernier 4 il va falloir modifier
l'umask général ou rajouter des lignes dans le .basrc des users o u plus
prosaïquement dans celui de /etc/skel/ de façon à affecter d irectement cet
umask lors de la création d'un user.

Mais ça me parait démesuré par rapport à tes attentes; le plus simple étant
d'avoir une structure du genre:
/var/www/monsiteamoi/user1/ => drwxrws--- 2 user1 www-data
" " " /user2/ => drwxrws--- 2 user2 www-data
etc.

Le seul travail d'admin étant de créer le DIR voulu avec les bons droits
à chaque fois qu'un nouveau user arrive.

> S'il s'agit juste de samba et de forcer user & grp, il suffit de lire
> la doc de smb.conf (force user|group), en n'oubliant pas que samba ne
> peut attribuer que ce qui est permis dans les droit Linux et rien de
> plus.

OK pour samba, je vais voir. Mon but est en fait, de n'avoir aucune
visibilité des fichiers d'un ut'ilisateur à l'autre et pouvoir
appliquer des règles de permissions à certains répertoire qui doivent
faire partie de groupes.



Dans samba c'est plus facile parce que tu peux justement forcer le masque
des fichiers (ET des dirs) de façon à faire sauter le 4 final -
Attention cependant à ne forcer que dans les shares voulus, sinon l'op tion
devient globale.

--
Civilization is fun! Anyway, it keeps me busy!!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #23990571
On Tue, 22 Nov 2011 00:31:53 +0100
Raphaël POITEVIN
> je viens de voiR l'arborescence et c'est surprenant :
>
> ~user/pub/www/
>
> normalement c'est : /www/pub/~user/

Ah ! J'avoue ne pas trop savoir ! J'ai tout simplement fait un
répertoire /home/mon_user/pub/www et appliqué un vhost qui poin te
dessus. Je ne suis pas un grand spécialiste de Apache.



Si tu veux ne donner accès qu'aux fichiers déposés par ces u sers,
c'est ce qu'il fallait faire - à cause de l'accès de dépà ´t des fichiers
qui doit se faire vraisemblablement par un vsftp ou assimilé, qui chro ot
l'accès par *défaut* au *$HOME* de l'utilisateur.

> la solution consisterai en une tâche cron ou équivalent qui
> repeigne le tout dans le bon sens ( après modification ) ...



Ou pourquoi faire simple quand on peut faire compliqué...

...
> l'appartenance au groupe www-data peut être fortement
> conseillé ...



Strictement aucun intérêt, mais un danger de plus et surtout la n ullification
de ce qui a été exposé précédemment: avec un DIR a yant les droits à 42770
(soit: drwxrws--- userX www-data), si tous font partie du groupe www-data,
fini les données privées...

--
A man's gotta know his limitations.
-- Clint Eastwood, "Dirty Harry"

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Yves Rutschle
Le #23990851
On Tue, Nov 22, 2011 at 12:21:29AM +0100, Raphaël POITEVIN wrote:
il dépose ses fichiers, [...] le groupe soit www-data.



Pourquoi?

De façon générale, il ne faut pas que les fichiers servis
par Apache (typiquement, les fichiers html) appartiennent à
www-data.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme