[HS] montages NFS, droits et bidouilles

Le
giggzounet
Rebonjour,

bon encore un HS. mais bon c'est du presque 100% debian

J'ai un NAS netgear. ça tourne sous linux. on peut faire de l'export
NFS, du CIFS et du http. et je veux faire les 3 en même temps sur le
même répertoire

en local mes 3 pc sous debian se connectent en NFS;
ma coloc est sous windows et n'aura qu'un accès en lecture.
et de l'extérieur je me connecte sur l'interface http.

j'essaye de configurer le NAS de manière à ce que ça marche mais aussi
que j'ai un minimum de sécurité donc des droits restreints au max.

sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est
ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde
linux ???

avec les droits 777 je peux évidemment copier ce que je veux via
l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me
posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user.
normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et
j'ai pas trop envie de supprimer la conf par défaut du NASsinon je
sens que je vais tout casser. et si je mets 770 je suis coincé par la suite.

en gros je suis coincé et je me demandais s'il y avais un moyen de
bidouiller l'export NFS au moment du mount :
par exemple :
sur le NAS mes fichier appartiennent à l'admin
je monte l'export NFS il fait une super biouille et je me retrouve avec
des fichiers dont le proprio est le user du pc qui fait le montage.
Comme ça je peux mettre mes fichier en 640 et les répertoire en 750.
Est ce utopique ? :D

Merci d'avance
Guillaume


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/hvagkk$5h5$1@dough.gmane.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Yves F. Barbier
Le #22264261
Le Wed, 16 Jun 2010 14:38:44 +0200,
giggzounet
...
j'essaye de configurer le NAS de manière à ce que ça march e mais aussi
que j'ai un minimum de sécurité donc des droits restreints au m ax.

sur le NAS les répertoires partagés sont en 777 avec nobody:nog roup. Est
ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde
linux ???



Vi ce sont les usr/grp qui ont le moins de droits possibles sur le systà ¨me,
normalement leur UID & GID est à 65534.

avec les droits 777 je peux évidemment copier ce que je veux via
l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me
posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon us er.
normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et
j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je
sens que je vais tout casser. et si je mets 770 je suis coincé par la
suite.



Jusqu'à stable, il existe un package (ugidd) chargé de mapper les noms
de usr/grp aux UID/GID.
Evidemment, ça veut dire qu'il faut que ton NAS soit capable:
1- de créer d'autres utilisateurs,
2- d'installer &| activer ugidd,
3- de modifier /etc/hosts.allow|deny pour un minimum de sécurité.

en gros je suis coincé et je me demandais s'il y avais un moyen de
bidouiller l'export NFS au moment du mount :
par exemple :
sur le NAS mes fichier appartiennent à l'admin
je monte l'export NFS il fait une super biouille et je me retrouve avec
des fichiers dont le proprio est le user du pc qui fait le montage.
Comme ça je peux mettre mes fichier en 640 et les répertoire en 750.
Est ce utopique ? :D



Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas a ussi
insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers
de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est
non.



--
The British are coming! The British are coming!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
giggzounet
Le #22264391
Le 16/06/2010 14:38, giggzounet a écrit :
Rebonjour,

bon encore un HS. mais bon c'est du presque 100% debian...

J'ai un NAS netgear. ça tourne sous linux. on peut faire de l'export
NFS, du CIFS et du http. et je veux faire les 3 en même temps sur le
même répertoire...

en local mes 3 pc sous debian se connectent en NFS;
ma coloc est sous windows et n'aura qu'un accès en lecture.
et de l'extérieur je me connecte sur l'interface http.

j'essaye de configurer le NAS de manière à ce que ça marche mais aussi
que j'ai un minimum de sécurité donc des droits restreints au max.

sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est
ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde
linux ???

avec les droits 777 je peux évidemment copier ce que je veux via
l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me
posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user.
normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et
j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je
sens que je vais tout casser. et si je mets 770 je suis coincé par la suite.

en gros je suis coincé et je me demandais s'il y avais un moyen de
bidouiller l'export NFS au moment du mount :
par exemple :
sur le NAS mes fichier appartiennent à l'admin
je monte l'export NFS il fait une super biouille et je me retrouve avec
des fichiers dont le proprio est le user du pc qui fait le montage.
Comme ça je peux mettre mes fichier en 640 et les répertoire en 750.
Est ce utopique ? :D

Merci d'avance
Guillaume





est il possible de monter des exports cifs en user sans avoir à mettre
le suid sur mount.cifs ?

Merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/hval2m$mp4$
giggzounet
Le #22264441
Le 16/06/2010 15:09, Jean-Yves F. Barbier a écrit :
Le Wed, 16 Jun 2010 14:38:44 +0200,
giggzounet
...
j'essaye de configurer le NAS de manière à ce que ça marche mais aussi
que j'ai un minimum de sécurité donc des droits restreints au max.

sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est
ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde
linux ???



Vi ce sont les usr/grp qui ont le moins de droits possibles sur le système,
normalement leur UID & GID est à 65534.




oui dans le /etc/passwd de mon nas c'est bien ça.

avec les droits 777 je peux évidemment copier ce que je veux via
l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me
posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user.
normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et
j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je
sens que je vais tout casser. et si je mets 770 je suis coincé par la
suite.



Jusqu'à stable, il existe un package (ugidd) chargé de mapper les noms
de usr/grp aux UID/GID.
Evidemment, ça veut dire qu'il faut que ton NAS soit capable:
1- de créer d'autres utilisateurs,
2- d'installer &| activer ugidd,
3- de modifier /etc/hosts.allow|deny pour un minimum de sécurité.




intéressant. je vais regarder ça!

en gros je suis coincé et je me demandais s'il y avais un moyen de
bidouiller l'export NFS au moment du mount :
par exemple :
sur le NAS mes fichier appartiennent à l'admin
je monte l'export NFS il fait une super biouille et je me retrouve avec
des fichiers dont le proprio est le user du pc qui fait le montage.
Comme ça je peux mettre mes fichier en 640 et les répertoire en 750.
Est ce utopique ? :D



Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi
insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers
de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est
non.




ben...si pour écrire sur mes export je suis obligé d'être en 777...il
suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les
droits...

merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/hval68$mp4$
Jean-Yves F. Barbier
Le #22264451
Le Wed, 16 Jun 2010 15:56:24 +0200,
giggzounet
C'est un peu le PB de toutes ces appliances: réalisées à la va-vite pour ne
pas se faire piquer des ventes par le voisin, mais souvent sans
connaissances réelles des besoin utilisateurs, et surtout sans possibi lités
simples de modifications.

ben...si pour écrire sur mes export je suis obligé d'être en 777...il
suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les
droits...





--
Most men would never get laid if it weren't for the pity fuck.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #22264431
Le Wed, 16 Jun 2010 15:54:30 +0200,
giggzounet
Non, puisqu'il réside dans /sbin (sudo?)

est il possible de monter des exports cifs en user sans avoir à mett re
le suid sur mount.cifs ?

Merci






--
Bank error in your favor. Collect $200.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
giggzounet
Le #22264631
Le 16/06/2010 16:04, Jean-Yves F. Barbier a écrit :
Le Wed, 16 Jun 2010 15:54:30 +0200,
giggzounet
Non, puisqu'il réside dans /sbin (sudo?)

est il possible de monter des exports cifs en user sans avoir à mettre
le suid sur mount.cifs ?

Merci






bon j'ai trouvé un moyen!!! et en plus ça marche! :D

dans /etc/fstab :
//nom_du_serveur/share /mount_point cifs
users,noauto,username=user_cifs,uid=mon_user,gid=mon_group 0 0

ce qui important c'est userS avec un s.
si le /mount_point a les droits du user, on peut monter le share
sans les droit root et ça c'est bon :D

bon reste à voir si c'est aussi rapide que NFS.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/hvanb8$vkm$
Jean-Yves F. Barbier
Le #22264821
Le Wed, 16 Jun 2010 16:33:12 +0200,
giggzounet
bon j'ai trouvé un moyen!!! et en plus ça marche! :D

dans /etc/fstab :
//nom_du_serveur/share /mount_point cifs
users,noauto,username=user_cifs,uid=mon_user,gid=mon_group 0 0

ce qui important c'est userS avec un s.



Le PB, c'est que cette constante permet à *tous* les users le dém ontage du
share.

si le /mount_point a les droits du user, on peut monter le share
sans les droit root et ça c'est bon :D

bon reste à voir si c'est aussi rapide que NFS.



Non, le protocol CIFS induit une chute non-négligeable de la vitesse.

--
You will be dead within a year.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
giggz
Le #22265011
Le 16/06/2010 16:40, Jean-Yves F. Barbier a écrit :
Le Wed, 16 Jun 2010 16:33:12 +0200,
giggzounet
bon j'ai trouvé un moyen!!! et en plus ça marche! :D

dans /etc/fstab :
//nom_du_serveur/share /mount_point cifs
users,noauto,username=user_cifs,uid=mon_user,gid=mon_group 0 0

ce qui important c'est userS avec un s.



Le PB, c'est que cette constante permet à *tous* les users le démontage du
share.




oui et puis je n'avais pas vu...j'ai le suid sur le mount en lenny... :'(

si le /mount_point a les droits du user, on peut monter le share
sans les droit root et ça c'est bon :D

bon reste à voir si c'est aussi rapide que NFS.



Non, le protocol CIFS induit une chute non-négligeable de la vitesse.




bon ben je continue de chercher alors.

merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/hvare2$gsd$
Sylvain Sauvage
Le #22265111
giggzounet, mercredi 16 juin 2010, 15:56:24 CEST
[…]
> Je ne suis pas un spécialiste de NFS, mais il n'est qd même p as aussi
> insecure que cela (sinon, n'imorte quel user pourrait piquer les fichie rs
> de n'importe qui); c'est le SVR qui impose les UID/GID, donc à pri ori, c'est
> non.
>

ben...si pour écrire sur mes export je suis obligé d'être en 777...il
suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les
droits...



Si n’importe quel PC peut monter ton partage NFS, les droits
sur ce dernier ne servent à rien (au niveau sécurité). Le ro ot
sur le PC qui monte le NFS peut faire ce qu’il veut : il peut
s’embêter en créant un utilisateur du bon uid/gid ou simp lement
tout lire/modifier puisqu’il est root.
C’est un problème de sécurité de NFS : le mon teur peut tout
faire et il n’y a pas énormément de sécurité su r qui peut être
monteur.

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
giggz
Le #22265251
Le 16/06/2010 18:05, Sylvain Sauvage a écrit :
giggzounet, mercredi 16 juin 2010, 15:56:24 CEST
[…]
Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi
insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers
de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est
non.




ben...si pour écrire sur mes export je suis obligé d'être en 777...il
suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les
droits...



Si n’importe quel PC peut monter ton partage NFS, les droits
sur ce dernier ne servent à rien (au niveau sécurité). Le root
sur le PC qui monte le NFS peut faire ce qu’il veut : il peut
s’embêter en créant un utilisateur du bon uid/gid ou simplement
tout lire/modifier puisqu’il est root.
C’est un problème de sécurité de NFS : le monteur peut tout
faire et il n’y a pas énormément de sécurité sur qui peut être
monteur.




ah oui tiens...c'est vrai...j'avais jamais vu les choses comme ça :D
donc en fait on s'en fout qu'il y ait de droit 700 ou 777 puisque de
toute façon le monteur peut le modifier...

bon ben je me coucherai moins bete ce soir...un peu plus emmerdé mais
moins bete.

bye

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/hvaue2$si2$
Publicité
Poster une réponse
Anonyme