mount.cifs en tant que user c'est fini ...

Le
Guy Roussin
Bonjour,

J'ai bien l'impression qu'il n'est plus possible de faire
du montage smb avec la commande smbmount
en tant que user (mount.cifs) dans les toutes dernières
versions de sid. Voilà ce qu'il me met :
> This mount.cifs program has been built with the ability to run as a set=
uid root program disabled.
> mount.cifs has not been well audited for security holes. Therefore the =
Samba team does not recommend installing it as a setuid root program.
>

Evidemment dpkg-statoverride ne marche plus

Et comment je fais moi avec mes scripts de montage
automatique sur les postes des users ?

Merci.

--
Guy

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4BA21250.9060009@teledetection.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Guillaume Caron
Le #21396291
Le jeudi 18 mars 2010 à 12:45 +0100, Guy Roussin a écrit :
Bonjour,



Salut,

J'ai bien l'impression qu'il n'est plus possible de faire
du montage smb avec la commande smbmount
en tant que user (mount.cifs) dans les toutes dernières
versions de sid. Voilà ce qu'il me met :
> This mount.cifs program has been built with the ability to run as a setuid root program disabled.
> mount.cifs has not been well audited for security holes. Therefore the Samba team does not recommend installing it as a setuid root program.
>

Evidemment dpkg-statoverride ne marche plus ...

Et comment je fais moi avec mes scripts de montage
automatique sur les postes des users ?




Tu as pensé à NFS ? Ça me paraît plus adapté pour de l'Unix, surtout
avec automount (plus besoin de script).
Si ton serveur est sous Windows, tu peux installer les « Services For
Unix », il me semble qu'il intègre un serveur NFS.


Merci.

--
Guy




--
Guillaume



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sébastien NOBILI
Le #21396881
Le jeudi 18 mars 2010 à 12:52, Guillaume Caron a écrit :

Bonjour,

| Tu as pensé à NFS ? Ça me paraît plus adapté pour de l'Unix, surtout
| avec automount (plus besoin de script).
| Si ton serveur est sous Windows, tu peux installer les « Services For
| Unix », il me semble qu'il intègre un serveur NFS.

Attention à bien tester, je l'avais utilisé il y a quelques années et j'en
étais resté à la phase de tests car vraiment trop instable...

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Vera Mickael
Le #21397551
Tu as pensé à NFS ? Ça me paraît plus adapté pour de l'Unix, surtout
avec automount (plus besoin de script).
Si ton serveur est sous Windows, tu peux installer les « Services For
Unix », il me semble qu'il intègre un serveur NFS.



Attention à NFS. Il y a très peu de sécurité autour de NFS.
En particulier les droits d'accès sont vérifiés uniquement
par comparaison des UID, donc si il est possible de se
connecter au réseau avec un portable, en créant un
utilisateur avec le bon UID il est possible de se faire
passer pour n'importe qui auprès de NFS et potentiellement
d'accéder à des fichiers privés.

Mickaël

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Guillaume Caron
Le #21397701
Le jeudi 18 mars 2010 à 16:50 +0100, Vera Mickael a écrit :
> Tu as pensé à NFS ? Ça me paraît plus adapté pour de l'Unix, surtout
> avec automount (plus besoin de script).
> Si ton serveur est sous Windows, tu peux installer les « Services For
> Unix », il me semble qu'il intègre un serveur NFS.

Attention à NFS. Il y a très peu de sécurité autour de NFS.
En particulier les droits d'accès sont vérifiés uniquement
par comparaison des UID, donc si il est possible de se
connecter au réseau avec un portable, en créant un
utilisateur avec le bon UID il est possible de se faire
passer pour n'importe qui auprès de NFS et potentiellement
d'accéder à des fichiers privés.

Mickaël




D'après Wikipédia, NFSv4 comble justement les lacunes de NFSv3.

Après, on doit pouvoir coupler NFS avec un annuaire pour éviter ce genre
de désagrément : il me semble qu'on peut paramétrer les comptes pour que
les répertoires soient montés lors de l'authentification sur l'annuaire.

On peut aussi se baser sur le DNS en n'autorisant qu'une liste des
machines connues.

--
Guillaume



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Yannick Fouquet
Le #21405961
Bonjour,

Guy Roussin a écrit :
J'ai bien l'impression qu'il n'est plus possible de faire
du montage smb avec la commande smbmount
en tant que user (mount.cifs) dans les toutes dernières
versions de sid.


[...]
Et comment je fais moi avec mes scripts de montage
automatique sur les postes des users ?




Mettre le smbmount dans le fstab avec les parametres qui vont bien, ça
ne suffit pas ?

Sinon, solution peu propre et un peu lourde mais qui doit marcher :
tu peux mettre tes users dans le sudoers (eventuellement en NOPASSWD vu
que c'est pour des scripts de montage automatique) pour la commande
smbmount (ou mount.cifs)
et utiliser sudo smbmount (resp. sudo mount.cifs)
Il faudra normalement préciser les uid et gid de l'user en question pour
que les droits soient attribués à celui-ci.

En attendant mieux...

Bon courage.
@+
Yannick.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Julien Demange
Le #21408371
Salut,

Le 18 mars 2010 12:45, Guy Roussin
J'ai bien l'impression qu'il n'est plus possible de faire
du montage smb avec la commande smbmount
en tant que user (mount.cifs) dans les toutes dernières
versions de sid. Voilà ce qu'il me met :

This mount.cifs program has been built with the ability to run as a setu id
root program disabled.
mount.cifs has not been well audited for security holes. Therefore the
Samba team does not recommend installing it as a setuid root program.





Les versions précédente devaient avoir le SUID Bit , et la version sid
ne doit plus l'avoir.
Peut-être en le réactivant (chmod 4755).... mais à tes risques et
péril, j'ignore pourquoi il a été désactivé, mais sans doute qu'i l y a
une bonne raison !

--
Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Julien Demange
Le #21408511
Salut,

Le 18 mars 2010 17:14, Guillaume Caron

D'après Wikipédia, NFSv4 comble justement les lacunes de NFSv3.



Je ne connais pas NFSv4. Cela dit je suis intéressé par tout infos.
quand j'en avais cherché, des infos à ce sujet il y a quelque temps,
je n'avais pas croulé sur les retour d'expérience. en fait, je me
demande si beaucoup de monde l'utilise ?

Et accessoirement, je ne suis pas sur que ça puisse le problème de Guy


Après, on doit pouvoir coupler NFS avec un annuaire pour éviter ce ge nre
de désagrément : il me semble qu'on peut paramétrer les comptes pou r que
les répertoires soient montés lors de l'authentification sur l'annuai re.

On peut aussi se baser sur le DNS en n'autorisant qu'une liste des
machines connues.



NFS, jusqu'à la version 3 repose la sécurité sur les clients. Tu peux
couplé avec un annuaire ou DNS ou autre chose, si une personne
s'octroie les droits root sur une machine cliente du réseaux, il
pourra accéder au donné de toute utilisateur.

Si tu couples avec un annuaire, ça dispensera pas un utilisateur étant
root sur ça machine d'ajouter un utilisateur local avec le même uid
que l'utilisateur dont il veut accéder au donné.

Et en branchant un portable perso, il sera root.
DNS peut être contourné en utilisant l'IP de la machine de la personne visé.
etc.

Donc si on veut utiliser NFS jusqu'à la version 3, il faut que chaque
machine client soit "sécurisées". Soit parce que personne n'y a accès
physiquement, (comme des serveurs, par ex utilisé en (L)TSE) ;
soit soit bien sécurisé. C'est à dire : impossible de devenir root
(BIOS verrouillé, bout sur support externe impossible, et chargeur
(grub, etc.) sécurisé. Mais aussi le réseaux, par ex. avec du 802.1x
... Ce qui demande un peut de travail alors qu'avec samba (NFSv4 ?) ce
n'est pas requis.


--
a+,
Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Guy Roussin
Le #21417111

J'ai bien l'impression qu'il n'est plus possible de faire
du montage smb avec la commande smbmount
en tant que user (mount.cifs) dans les toutes dernières
versions de sid. Voilà ce qu'il me met :

This mount.cifs program has been built with the ability to run as a s etuid
root program disabled.
mount.cifs has not been well audited for security holes. Therefore th e
Samba team does not recommend installing it as a setuid root program.





Les versions précédente devaient avoir le SUID Bit , et la version sid
ne doit plus l'avoir.
Peut-être en le réactivant (chmod 4755).... mais à tes risques et
péril, j'ignore pourquoi il a été désactivé, mais sans doute qu'il y a
une bonne raison !



Le problème c'est que maintenant même le chmod 4755 ne suffit plus !
Le dpkg-statoverride servant seulement à automatiser le chmod 4755 lors
de la mise à jour du paquet ... Et moi j'étais prêt à prendre le risque.
Pour répondre un peu à toutes les questions :
- non le nfs ne me convient pas. Mes serveurs sont pour la plupart un peu
vieillots (sarge) et le nfs4 en était à ses débuts.
- ajout dans le /etc/fstab n'est pas satisfaisant non plus : Les
utilisateurs
peuvent se connecter à n'importe quel PC de la boutique ...
- Yannick propose sans doute la bonne solution avec le "sudo smbmount"...
et on se retrouve avec une solution qui génère sans doute plus de pro blème
de sécurité qu'avec le seul chmod ou dpkg-statoverride. Est-ce que le s
empaqueteurs debian on bien vu ce problème ?

GUy

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Julien Demange
Le #21418811
Bonjour,

Guy Roussin a écrit :

- Yannick propose sans doute la bonne solution avec le "sudo smbmount"...
et on se retrouve avec une solution qui génère sans doute plus de problème
de sécurité qu'avec le seul chmod ou dpkg-statoverride.



Si tu t'orientes vers l'utilisation de sudo, alors je pense que les
problème de sécurité seront limités si tu restreints aux strict minimum
de commandes dans le fichier sudoer :
---%<------
# Cmnd alias specification
Cmnd_Alias SMB = /sbin/mount.cifs

# User privilege specification
%user_smb ALL= NOPASSWD: SMB
---%<------

Où "user_smb" est le groupe d'utilisateurs autorisé a utiliser
mount.cifs. Une liste d'utilisateurs est également possible.

Tu peux remplacer /sbin/mount.cifs par /usr/bin/smbmount si tu veux,mais
je crois que smbmount est une commande déprécié.

D'ailleurs je suis en train de penser smbmount est un script bash,
peut-être que c'est sur /sbin/mount.cifs que tu devrais mettre le
chmod 4755...


--
a+,
Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Vincent Danjean
Le #21443231
On 20/03/2010 13:16, Julien Demange wrote:
Salut,

Le 18 mars 2010 17:14, Guillaume Caron

D'après Wikipédia, NFSv4 comble justement les lacunes de NFSv3.



Je ne connais pas NFSv4. Cela dit je suis intéressé par tout infos.
quand j'en avais cherché, des infos à ce sujet il y a quelque temps,
je n'avais pas croulé sur les retour d'expérience. en fait, je me
demande si beaucoup de monde l'utilise ?

Et accessoirement, je ne suis pas sur que ça puisse le problème de Guy



C'est censé répondre au problème de sécurité en tout cas.
Il y a bien un annuaire, mais il y a surtout Kerberos dans NFSv4. Cela dit,
je n'ai jamais essayé moi-même.

A+
Vincent

--
Vincent Danjean GPG key ID 0x9D025E87
GPG key fingerprint: FC95 08A6 854D DB48 4B9A 8A94 0BF7 7867 9D02 5E87
Unofficial packages: http://moais.imag.fr/membres/vincent.danjean/deb.html
APT repo: deb http://perso.debian.org/~vdanjean/debian unstable main

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme