[HS] montages NFS, droits et bidouilles

j'essaye de configurer le NAS de manière à ce que ça march e mais aussi
que j'ai un minimum de sécurité donc des droits restreints au m ax.

sur le NAS les répertoires partagés sont en 777 avec nobody:nog roup. Est
ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde
linux ???

avec les droits 777 je peux évidemment copier ce que je veux via
l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me
posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon us er.
normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et
j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je
sens que je vais tout casser. et si je mets 770 je suis coincé par la
suite.

en gros je suis coincé et je me demandais s'il y avais un moyen de
bidouiller l'export NFS au moment du mount :
par exemple :
sur le NAS mes fichier appartiennent à l'admin
je monte l'export NFS il fait une super biouille et je me retrouve avec
des fichiers dont le proprio est le user du pc qui fait le montage.
Comme ça je peux mettre mes fichier en 640 et les répertoire en 750.
Est ce utopique ? :D

Rebonjour,

bon encore un HS. mais bon c'est du presque 100% debian...

J'ai un NAS netgear. ça tourne sous linux. on peut faire de l'export
NFS, du CIFS et du http. et je veux faire les 3 en même temps sur le
même répertoire...

en local mes 3 pc sous debian se connectent en NFS;
ma coloc est sous windows et n'aura qu'un accès en lecture.
et de l'extérieur je me connecte sur l'interface http.

j'essaye de configurer le NAS de manière à ce que ça marche mais aussi
que j'ai un minimum de sécurité donc des droits restreints au max.

sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est
ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde
linux ???

avec les droits 777 je peux évidemment copier ce que je veux via
l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me
posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user.
normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et
j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je
sens que je vais tout casser. et si je mets 770 je suis coincé par la suite.

en gros je suis coincé et je me demandais s'il y avais un moyen de
bidouiller l'export NFS au moment du mount :
par exemple :
sur le NAS mes fichier appartiennent à l'admin
je monte l'export NFS il fait une super biouille et je me retrouve avec
des fichiers dont le proprio est le user du pc qui fait le montage.
Comme ça je peux mettre mes fichier en 640 et les répertoire en 750.
Est ce utopique ? :D

Merci d'avance
Guillaume

Le Wed, 16 Jun 2010 14:38:44 +0200,
giggzounet <giggzounet@gmail.com> a écrit :

...

j'essaye de configurer le NAS de manière à ce que ça marche mais aussi
que j'ai un minimum de sécurité donc des droits restreints au max.

sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est
ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde
linux ???

Vi ce sont les usr/grp qui ont le moins de droits possibles sur le système,
normalement leur UID & GID est à 65534.

avec les droits 777 je peux évidemment copier ce que je veux via
l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me
posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user.
normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et
j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je
sens que je vais tout casser. et si je mets 770 je suis coincé par la
suite.

Jusqu'à stable, il existe un package (ugidd) chargé de mapper les noms
de usr/grp aux UID/GID.
Evidemment, ça veut dire qu'il faut que ton NAS soit capable:
1- de créer d'autres utilisateurs,
2- d'installer &| activer ugidd,
3- de modifier /etc/hosts.allow|deny pour un minimum de sécurité.

en gros je suis coincé et je me demandais s'il y avais un moyen de
bidouiller l'export NFS au moment du mount :
par exemple :
sur le NAS mes fichier appartiennent à l'admin
je monte l'export NFS il fait une super biouille et je me retrouve avec
des fichiers dont le proprio est le user du pc qui fait le montage.
Comme ça je peux mettre mes fichier en 640 et les répertoire en 750.
Est ce utopique ? :D

Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi
insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers
de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est
non.

ben...si pour écrire sur mes export je suis obligé d'être en 777...il
suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les
droits...

est il possible de monter des exports cifs en user sans avoir à mett re
le suid sur mount.cifs ?

Merci

Le Wed, 16 Jun 2010 15:54:30 +0200,
giggzounet <giggzounet@gmail.com> a écrit :

Non, puisqu'il réside dans /sbin (sudo?)

est il possible de monter des exports cifs en user sans avoir à mettre
le suid sur mount.cifs ?

Merci

bon j'ai trouvé un moyen!!! et en plus ça marche! :D

dans /etc/fstab :
//nom_du_serveur/share /mount_point cifs
users,noauto,username=user_cifs,uid=mon_user,gid=mon_group 0 0

ce qui important c'est userS avec un s.

si le /mount_point a les droits du user, on peut monter le share
sans les droit root et ça c'est bon :D

bon reste à voir si c'est aussi rapide que NFS.

Le Wed, 16 Jun 2010 16:33:12 +0200,
giggzounet <giggzounet@gmail.com> a écrit :

bon j'ai trouvé un moyen!!! et en plus ça marche! :D

dans /etc/fstab :
//nom_du_serveur/share /mount_point cifs
users,noauto,username=user_cifs,uid=mon_user,gid=mon_group 0 0

ce qui important c'est userS avec un s.

Le PB, c'est que cette constante permet à *tous* les users le démontage du
share.

si le /mount_point a les droits du user, on peut monter le share
sans les droit root et ça c'est bon :D

bon reste à voir si c'est aussi rapide que NFS.

Non, le protocol CIFS induit une chute non-négligeable de la vitesse.

[…]
> Je ne suis pas un spécialiste de NFS, mais il n'est qd même p as aussi
> insecure que cela (sinon, n'imorte quel user pourrait piquer les fichie rs
> de n'importe qui); c'est le SVR qui impose les UID/GID, donc à pri ori, c'est
> non.
>

ben...si pour écrire sur mes export je suis obligé d'être en 777...il
suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les
droits...

giggzounet, mercredi 16 juin 2010, 15:56:24 CEST

[…]

Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi
insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers
de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est
non.

ben...si pour écrire sur mes export je suis obligé d'être en 777...il
suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les
droits...

Si n’importe quel PC peut monter ton partage NFS, les droits
sur ce dernier ne servent à rien (au niveau sécurité). Le root
sur le PC qui monte le NFS peut faire ce qu’il veut : il peut
s’embêter en créant un utilisateur du bon uid/gid ou simplement
tout lire/modifier puisqu’il est root.
C’est un problème de sécurité de NFS : le monteur peut tout
faire et il n’y a pas énormément de sécurité sur qui peut être
monteur.