Samba à travers Wan, secu inter-user & sécu tout court
3 réponses
Stéphane T.
Bonjour,
Imaginons que j'ouvre un service samba vers l'extérieur pour quelques users.
Bon sans parler du fait que les users distant vont uploader à 128 ou 256Kbps
(à peine mieux en freebox)..
Quand est il de l'aspect sécu ?
Comment on peut régidifier tout ça?
On va me dire IPSec ..ok ...
il y a un support SSL (supporté par windows?) pour samba, non?
Mais sur l'aspect inter-user (PAUL ne doit pas accéder aux données de JEAN),
c'est secure? (outre le mot de passe).
Il y aurait peut-etre la possibilité de crypter le volume distant (windows
sait faire?) pour éviter ce genre de problème, mais l'utilisateur qui aura
ré-installer son PC va pleurnicher.
Y a t il du monde ici qui a entendu parler de personnes/société qui font du
samba on wan ? ;-)
quant à la sécu du serveur en lui meme, ça compromet le systeme un tel
service ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
F. Senault
Y a t il du monde ici qui a entendu parler de personnes/société qui font du samba on wan ? ;-)
Je fais. En résumé : racoon + samba + openldap + un domaine + les ACL.
Racoon gère ipsec pour sécuriser les connexions (solidement) et les échanges de données, samba donne les fichiers, le LDAP centralise les logins et passwords (pratique dans mon cas), le domaine oblige l'utilisation des logins pour accéder aux fichiers, les ACLs permettent de garder les droits Windows sur le disque, si je ne me trompe.
Il y a moyen de faire beaucoup plus simple, mais dans mon contexte (entreprise, multi-utilisateurs, multi-sites, multi-architectures), c'est bien.
quant à la sécu du serveur en lui meme, ça compromet le systeme un tel service ?
Ca rajoute à l'évidence un risque. De là à savoir dans quelle mesure, tout dépend de la réalisation, bien sûr.
Fred -- We thrive in the milieu which demands that lusers and slacker-Monks both RTFM. We bring order to chaos and attempt to impart laws upon lusers who will never abide by them. Pedantry is our way of displaying an incredible applied knowledge of minutia. (D. Joseph Creighton, SDM)
Y a t il du monde ici qui a entendu parler de personnes/société qui font du
samba on wan ? ;-)
Je fais. En résumé : racoon + samba + openldap + un domaine + les ACL.
Racoon gère ipsec pour sécuriser les connexions (solidement) et les
échanges de données, samba donne les fichiers, le LDAP centralise les
logins et passwords (pratique dans mon cas), le domaine oblige
l'utilisation des logins pour accéder aux fichiers, les ACLs permettent
de garder les droits Windows sur le disque, si je ne me trompe.
Il y a moyen de faire beaucoup plus simple, mais dans mon contexte
(entreprise, multi-utilisateurs, multi-sites, multi-architectures),
c'est bien.
quant à la sécu du serveur en lui meme, ça compromet le systeme un tel
service ?
Ca rajoute à l'évidence un risque. De là à savoir dans quelle mesure,
tout dépend de la réalisation, bien sûr.
Fred
--
We thrive in the milieu which demands that lusers and slacker-Monks both
RTFM. We bring order to chaos and attempt to impart laws upon lusers
who will never abide by them. Pedantry is our way of displaying an
incredible applied knowledge of minutia. (D. Joseph Creighton, SDM)
Y a t il du monde ici qui a entendu parler de personnes/société qui font du samba on wan ? ;-)
Je fais. En résumé : racoon + samba + openldap + un domaine + les ACL.
Racoon gère ipsec pour sécuriser les connexions (solidement) et les échanges de données, samba donne les fichiers, le LDAP centralise les logins et passwords (pratique dans mon cas), le domaine oblige l'utilisation des logins pour accéder aux fichiers, les ACLs permettent de garder les droits Windows sur le disque, si je ne me trompe.
Il y a moyen de faire beaucoup plus simple, mais dans mon contexte (entreprise, multi-utilisateurs, multi-sites, multi-architectures), c'est bien.
quant à la sécu du serveur en lui meme, ça compromet le systeme un tel service ?
Ca rajoute à l'évidence un risque. De là à savoir dans quelle mesure, tout dépend de la réalisation, bien sûr.
Fred -- We thrive in the milieu which demands that lusers and slacker-Monks both RTFM. We bring order to chaos and attempt to impart laws upon lusers who will never abide by them. Pedantry is our way of displaying an incredible applied knowledge of minutia. (D. Joseph Creighton, SDM)
Stéphane T.
Y a t il du monde ici qui a entendu parler de personnes/société qui font du samba on wan ? ;-)
Je fais. En résumé : racoon + samba + openldap + un domaine + les ACL.
Racoon gère ipsec pour sécuriser les connexions (solidement) et les échanges de données, samba donne les fichiers, le LDAP centralise les logins et passwords (pratique dans mon cas), le domaine oblige l'utilisation des logins pour accéder aux fichiers, les ACLs permettent de garder les droits Windows sur le disque, si je ne me trompe.
Il y a moyen de faire beaucoup plus simple, mais dans mon contexte (entreprise, multi-utilisateurs, multi-sites, multi-architectures), c'est bien.
Intéressant. Excepté la notion de "domaine". Qui dit "domaine" dit "administrateur de domaine" Mettons nous dans le contexte d'une société qui propose des services de déportation sécurisée de "mes documents" pour particulier et pme. Ces gens là vont mal apprécierle fait qu'un "administrateur dedomaine" puisse se balader librement sur TOUT leurs PCs.
Quoique ça se discute,à partir du moment où les données sont déportées et donc qu'une personne "étrangère" au titre d'"admin" (lié par une clause de confidentialité) a la possibilité de "voir" ces fichiers persos, on est plus à ça prêt.. on peut lui accorder la confiance qu'il aille pas dans les PCs à desfins autres que de maintenance/administration. A méditer.
Qu'en est-il de la sécurité inter-user? les ACLs sont suffisant? pas besoin de crypter les $home par les PCs à distance ?
Stéphane
Y a t il du monde ici qui a entendu parler de personnes/société qui font
du
samba on wan ? ;-)
Je fais. En résumé : racoon + samba + openldap + un domaine + les ACL.
Racoon gère ipsec pour sécuriser les connexions (solidement) et les
échanges de données, samba donne les fichiers, le LDAP centralise les
logins et passwords (pratique dans mon cas), le domaine oblige
l'utilisation des logins pour accéder aux fichiers, les ACLs permettent
de garder les droits Windows sur le disque, si je ne me trompe.
Il y a moyen de faire beaucoup plus simple, mais dans mon contexte
(entreprise, multi-utilisateurs, multi-sites, multi-architectures),
c'est bien.
Intéressant.
Excepté la notion de "domaine".
Qui dit "domaine" dit "administrateur de domaine"
Mettons nous dans le contexte d'une société qui propose des services de
déportation sécurisée de "mes documents" pour particulier et pme.
Ces gens là vont mal apprécierle fait qu'un "administrateur dedomaine"
puisse se balader librement sur TOUT leurs PCs.
Quoique ça se discute,à partir du moment où les données sont déportées et
donc qu'une personne "étrangère" au titre d'"admin" (lié par une clause de
confidentialité) a la possibilité de "voir" ces fichiers persos, on est plus
à ça prêt.. on peut lui accorder la confiance qu'il aille pas dans les PCs
à desfins autres que de maintenance/administration. A méditer.
Qu'en est-il de la sécurité inter-user? les ACLs sont suffisant? pas besoin
de crypter les $home par les PCs à distance ?
Y a t il du monde ici qui a entendu parler de personnes/société qui font du samba on wan ? ;-)
Je fais. En résumé : racoon + samba + openldap + un domaine + les ACL.
Racoon gère ipsec pour sécuriser les connexions (solidement) et les échanges de données, samba donne les fichiers, le LDAP centralise les logins et passwords (pratique dans mon cas), le domaine oblige l'utilisation des logins pour accéder aux fichiers, les ACLs permettent de garder les droits Windows sur le disque, si je ne me trompe.
Il y a moyen de faire beaucoup plus simple, mais dans mon contexte (entreprise, multi-utilisateurs, multi-sites, multi-architectures), c'est bien.
Intéressant. Excepté la notion de "domaine". Qui dit "domaine" dit "administrateur de domaine" Mettons nous dans le contexte d'une société qui propose des services de déportation sécurisée de "mes documents" pour particulier et pme. Ces gens là vont mal apprécierle fait qu'un "administrateur dedomaine" puisse se balader librement sur TOUT leurs PCs.
Quoique ça se discute,à partir du moment où les données sont déportées et donc qu'une personne "étrangère" au titre d'"admin" (lié par une clause de confidentialité) a la possibilité de "voir" ces fichiers persos, on est plus à ça prêt.. on peut lui accorder la confiance qu'il aille pas dans les PCs à desfins autres que de maintenance/administration. A méditer.
Qu'en est-il de la sécurité inter-user? les ACLs sont suffisant? pas besoin de crypter les $home par les PCs à distance ?
Stéphane
F. Senault
Intéressant. Excepté la notion de "domaine". Qui dit "domaine" dit "administrateur de domaine" Mettons nous dans le contexte d'une société qui propose des services de déportation sécurisée de "mes documents" pour particulier et pme. Ces gens là vont mal apprécierle fait qu'un "administrateur dedomaine" puisse se balader librement sur TOUT leurs PCs.
A partir du moment où quelqu'un à le root sur le serveur, il est excessivement difficile de lui dissimuler quelque chose qui se passe sur la machine, à moins que le décryptage ne se fasse sur le poste client, ce qui implique un driver spécifique sous windows - et, là, non seulement je m'y connais pas assez, mais en plus, nous ne sommes pas sur le bon groupe pour en parler.
/.../
Qu'en est-il de la sécurité inter-user? les ACLs sont suffisant? pas besoin de crypter les $home par les PCs à distance ?
Si les utilisateurs se connectent avec des logins différents, à mon sens, pas besoin. Déjà, samba peut exporter un répertoire différent selon l'utilisateur, et ne permet pas à chacun de browser les répertoires des autres. Les ACLS (voire les droits unix, hein) sont conçus pour un partage basé sur un répertoire commun.
Stéphane
Fred -- We're sysadmins. To us, data is a protocol-overhead. (Tanuki in the SDM)
Intéressant.
Excepté la notion de "domaine".
Qui dit "domaine" dit "administrateur de domaine"
Mettons nous dans le contexte d'une société qui propose des services de
déportation sécurisée de "mes documents" pour particulier et pme.
Ces gens là vont mal apprécierle fait qu'un "administrateur dedomaine"
puisse se balader librement sur TOUT leurs PCs.
A partir du moment où quelqu'un à le root sur le serveur, il est
excessivement difficile de lui dissimuler quelque chose qui se passe sur
la machine, à moins que le décryptage ne se fasse sur le poste client,
ce qui implique un driver spécifique sous windows - et, là, non
seulement je m'y connais pas assez, mais en plus, nous ne sommes pas sur
le bon groupe pour en parler.
/.../
Qu'en est-il de la sécurité inter-user? les ACLs sont suffisant? pas besoin
de crypter les $home par les PCs à distance ?
Si les utilisateurs se connectent avec des logins différents, à mon
sens, pas besoin. Déjà, samba peut exporter un répertoire différent
selon l'utilisateur, et ne permet pas à chacun de browser les
répertoires des autres. Les ACLS (voire les droits unix, hein) sont
conçus pour un partage basé sur un répertoire commun.
Stéphane
Fred
--
We're sysadmins. To us, data is a protocol-overhead.
(Tanuki in the SDM)
Intéressant. Excepté la notion de "domaine". Qui dit "domaine" dit "administrateur de domaine" Mettons nous dans le contexte d'une société qui propose des services de déportation sécurisée de "mes documents" pour particulier et pme. Ces gens là vont mal apprécierle fait qu'un "administrateur dedomaine" puisse se balader librement sur TOUT leurs PCs.
A partir du moment où quelqu'un à le root sur le serveur, il est excessivement difficile de lui dissimuler quelque chose qui se passe sur la machine, à moins que le décryptage ne se fasse sur le poste client, ce qui implique un driver spécifique sous windows - et, là, non seulement je m'y connais pas assez, mais en plus, nous ne sommes pas sur le bon groupe pour en parler.
/.../
Qu'en est-il de la sécurité inter-user? les ACLs sont suffisant? pas besoin de crypter les $home par les PCs à distance ?
Si les utilisateurs se connectent avec des logins différents, à mon sens, pas besoin. Déjà, samba peut exporter un répertoire différent selon l'utilisateur, et ne permet pas à chacun de browser les répertoires des autres. Les ACLS (voire les droits unix, hein) sont conçus pour un partage basé sur un répertoire commun.
Stéphane
Fred -- We're sysadmins. To us, data is a protocol-overhead. (Tanuki in the SDM)
