MAC & Selinux

Le
ptilou
Bonjour,

Y a t'il un équivalent à Selinux sous Mac OS X ?
Plus particulierement la finesse sur es droit des fichiers ?

Ptilou
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
laurent.pertois
Le #11188801
ptilou
Plus particulierement la finesse sur es droit des fichiers ?



Quel niveau de finesse ?

Essaie de regarder ça :


--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Nicolas-Michel_REMOVE
Le #12172001
ptilou
Bonjour,

Y a t'il un équivalent à Selinux sous Mac OS X ?
Plus particulierement la finesse sur es droit des fichiers ?



A ma connaissance, on ne peut pas sécuriser Mac OS X de la sorte.

Et c'est pas prêt d'arriver amha :
déjà pour les linuxiens, selinux est un joli morceau.
Alors pour les macounets ... C'est carrément de la science fiction.

Quoi, root a pas les droits ? c'est quoi ce bordel ? ;->
--
Nicolas Michel
ptilou
Le #12263661
Bonsoir,

On 4 juil, 16:58, (Laurent Pertois)
wrote:
ptilou > Plus particulierement la finesse sur es droit des fichiers ?

Quel niveau de finesse ?

Essaie de regarder ça :




Uniquement sur server, ou j'ai pas tous saisi ...

Merci

Ptilou
h.sainct
Le #12275361
ptilou
Uniquement sur server, ou j'ai pas tous saisi ...



la seconde ligne sur le site c'est "ACLs for Mac OS X **Client** " :-D

--
Frédérique & Hervé Sainct, [fr,es,en,it]
Frédérique's initial is missing in front of the above address
l'initiale de Frédérique manque devant l'adresse email ci-dessus
ptilou
Le #12844441
On 7 juil, 15:21, (Frédérique & Hervé
Sainct) wrote:
ptilou > Uniquement sur server, ou j'ai pas tous saisi ...

la seconde ligne sur le site c'est "ACLs for Mac OS X **Client** "   :- D



Ou peut on voir un cvs de la bete ?

Merci

ptilou
Jacques Perrocheau
Le #12847171
In article
ptilou
Ou peut on voir un cvs de la bête ?



Tout de suite des gros mots... que personne ne peut comprendre ;-)

--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
Nicolas-Michel_REMOVE
Le #12852361
ptilou
On 7 juil, 15:21, (Frédérique & Hervé
Sainct) wrote:
> ptilou > > Uniquement sur server, ou j'ai pas tous saisi ...
>
> la seconde ligne sur le site c'est "ACLs for Mac OS X **Client** " :-D
>
Ou peut on voir un cvs de la bete ?



Je ne sais pas ce que tu entends par là.
C'est pas du gpl, donc si c'est les sources que tu veux, domage.

Par contre sauf erreur sandbox n'est qu'une interface graphique à chmod,
"man chmod" t'en dira plus si tu veux savoir ce qu'il y a derrière.

Ceci dit, les ACL ne sont pas faites pour sceller ton noyaux ou
améliorer la sécurité, ça permet juste d'avoir plusieurs owners/groups
pour un même dossier et surtout ça permet de placer des "inherit".

--
Nicolas Michel
laurent.pertois
Le #14499051
ptilou
Uniquement sur server, ou j'ai pas tous saisi ...



T'as pas tout saisi ;-)

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
ptilou
Le #16343111
Bonsoir,

On 8 juil, 16:07, (Michel
Nicolas Alex) wrote:
ptilou > On 7 juil, 15:21, (Frédérique & Herv é
> Sainct) wrote:
> > ptilou > > > Uniquement sur server, ou j'ai pas tous saisi ...

> > la seconde ligne sur le site c'est "ACLs for Mac OS X **Client** "   :-D

> Ou peut on voir un cvs de la bete ?

Je ne sais pas ce que tu entends par là.
C'est pas du gpl, donc si c'est les sources que tu veux, domage.

Par contre sauf erreur sandbox n'est qu'une interface graphique à chmod ,
"man chmod" t'en dira plus si tu veux savoir ce qu'il y a derrière.

Ceci dit, les ACL ne sont pas faites pour sceller ton noyaux ou
améliorer la sécurité, ça permet juste d'avoir plusieurs owners/g roups
pour un même dossier et surtout ça permet de placer des "inherit".




Donc, c'est pas un equivalent à SELinux ?
( Je ne comprend pas ces owners/group ! )
Sous Fedora je n'ai pas les même droit si je me connect via su ou via
tty, c'est çà ?

En tous cas merci pour vos lumières

Ptilou
Nicolas-Michel_REMOVE
Le #16344331
ptilou
Donc, c'est pas un equivalent à SELinux ?



En fait je ne sais pas exactement ce qu'est SELinux.
lire 3 lignes de wikipedia ne suffit pas à s'en faire une idée,
mais à ce que j'ai plus ou moins compris ça sert poser des policy pour
sécuriser ton système et à seller le noyaux de manière à ce que même
root n'ait pas tous les droits.
En ce sens SELinux offre plus de sécurité.
Il est possible que SELinux fasse aussi des ACL.

Les ACL ne sont pas spécifiques à mac. On en trouve notament sur windows
avec le NTFS. Si tu as déjà touché à windows, alors tu sais probablement
ce que c'est.

Les ACL ne sont pas un moyen de plus sécuriser un ordi, c'est juste un
moyen plus souple de définir les droits d'accès.

En général, quand tu liste un dossier sur linux ou mac, ça donne un truc
de ce genre :

drwxr-xr-x 9 root wheel 306 May 22 14:05 apache2

Donc on a un user, un groupe et les autres.
Ici le user est root et il a le droit rwx (read write execute)
le groupe est wheel et il a le droit r-x (read - execute)
Il n'y a qu'un seul user et un seul groupe.
Les permissions ne concernent que le fichier ou dossier listé.

On ne peux pas dire "je met ces permission à ce dossier et à tout ce
qu'on y mettra dedant à l'avenir"

Les ACL permettent ces "héritage" et ne limitent pas à un seul user et
un seul groupe.

Par exemple dans ce dossier ci :

ls -laed dossier
drwxr-xr-x + 8 administ admin 272 Jun 5 10:23 dossier
0: group:aphrodite_admin allow add_file,[snip],chown,directory_inherit
1: group:aphrodite_users allow list,search,[snip],directory_inherit

Donc en plus des droits unix standards qui disent que administ et le
user et que admin est le groupe,
il y a 2 listes de groupes. (ça aurait aussi pu être des users mais en
général on évite, c'est pas une bonne manière de faire)
La liste 0 permet au groupe aphrodite_admin à peu près tout.
La liste 1 permet au groupe aphrodite_users l'accès en lecture.

Ces 2 listes ont directory_inherit, c'est à dire que tout ce que tu
mettra dedant aura ces même droits. Comme on le fait sur win en fait.

Sous Fedora je n'ai pas les même droit si je me connect via su ou via
tty, c'est çà ?



Gh ?

--
Nicolas Michel
Publicité
Poster une réponse
Anonyme