J'ai une machine qui sert également de serveur de fichiers. J'aimerais
éviter que des utilisateurs n'y lance n'importe quoi.
J'ai bien vu qu'à traver /etc/security je pouvais limiter à travers un
certain nombre de paramètres. Mais par exemple existe-t-il un moyen
d'interdire toute commande lancée depuis le home d'un utilisateur ?
Merci
Guillaume
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jeremy JUST
On 29 Jan 2006 16:06:54 GMT Guillaume ALLEON wrote:
existe-t-il un moyen d'interdire toute commande lancée depuis le home d'un utilisateur ?
Si le but est que tes utilisateurs ne fassent vraiment *rien* sur cette machine (sauf accéder à des fichiers par NFS ou Samba ou autre), le mieux est peut-être de les empêcher de se connecter.
Pour ça, tu peux leur définir /bin/false comme shell par défaut dans /etc/passwd.
-- Jérémy JUST
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
On 29 Jan 2006 16:06:54 GMT
Guillaume ALLEON <guillaume.alleon@laposte.net> wrote:
existe-t-il un moyen d'interdire toute commande lancée depuis le home
d'un utilisateur ?
Si le but est que tes utilisateurs ne fassent vraiment *rien* sur
cette machine (sauf accéder à des fichiers par NFS ou Samba ou autre),
le mieux est peut-être de les empêcher de se connecter.
Pour ça, tu peux leur définir /bin/false comme shell par défaut
dans /etc/passwd.
--
Jérémy JUST <jeremy_just@netcourrier.com>
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
On 29 Jan 2006 16:06:54 GMT Guillaume ALLEON wrote:
existe-t-il un moyen d'interdire toute commande lancée depuis le home d'un utilisateur ?
Si le but est que tes utilisateurs ne fassent vraiment *rien* sur cette machine (sauf accéder à des fichiers par NFS ou Samba ou autre), le mieux est peut-être de les empêcher de se connecter.
Pour ça, tu peux leur définir /bin/false comme shell par défaut dans /etc/passwd.
-- Jérémy JUST
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Guillaume ALLEON
Jeremy JUST a écrit :
On 29 Jan 2006 16:06:54 GMT Guillaume ALLEON wrote:
existe-t-il un moyen d'interdire toute commande lancée depuis le home d'un utilisateur ?
Si le but est que tes utilisateurs ne fassent vraiment *rien* sur cette machine (sauf accéder à des fichiers par NFS ou Samba ou autre), le mieux est peut-être de les empêcher de se connecter.
Pour ça, tu peux leur définir /bin/false comme shell par défaut dans /etc/passwd.
*eh eh*, je me doutais de ce genre de réponse. En fait la machine en le frontal d'un serveur, je souhaiterais donc que les utiliateurs puissent laisser certaines commandes (qsub, qstat, ...) de batch mais je souhaiterais interdire toute commande - potentiellement consommatrices de ressources. J'avais pensé qu'un premier moyen de discrimination pouvait être l'emplacement de l'exécutable ... mais peut-être n'est ce pas le bon critère?
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Jeremy JUST a écrit :
On 29 Jan 2006 16:06:54 GMT
Guillaume ALLEON <guillaume.alleon@laposte.net> wrote:
existe-t-il un moyen d'interdire toute commande lancée depuis le home
d'un utilisateur ?
Si le but est que tes utilisateurs ne fassent vraiment *rien* sur
cette machine (sauf accéder à des fichiers par NFS ou Samba ou autre),
le mieux est peut-être de les empêcher de se connecter.
Pour ça, tu peux leur définir /bin/false comme shell par défaut
dans /etc/passwd.
*eh eh*, je me doutais de ce genre de réponse. En fait la machine en le
frontal d'un serveur, je souhaiterais donc que les utiliateurs puissent
laisser certaines commandes (qsub, qstat, ...) de batch mais je
souhaiterais interdire toute commande - potentiellement consommatrices
de ressources. J'avais pensé qu'un premier moyen de discrimination
pouvait être l'emplacement de l'exécutable ... mais peut-être n'est ce
pas le bon critère?
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
On 29 Jan 2006 16:06:54 GMT Guillaume ALLEON wrote:
existe-t-il un moyen d'interdire toute commande lancée depuis le home d'un utilisateur ?
Si le but est que tes utilisateurs ne fassent vraiment *rien* sur cette machine (sauf accéder à des fichiers par NFS ou Samba ou autre), le mieux est peut-être de les empêcher de se connecter.
Pour ça, tu peux leur définir /bin/false comme shell par défaut dans /etc/passwd.
*eh eh*, je me doutais de ce genre de réponse. En fait la machine en le frontal d'un serveur, je souhaiterais donc que les utiliateurs puissent laisser certaines commandes (qsub, qstat, ...) de batch mais je souhaiterais interdire toute commande - potentiellement consommatrices de ressources. J'avais pensé qu'un premier moyen de discrimination pouvait être l'emplacement de l'exécutable ... mais peut-être n'est ce pas le bon critère?
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
JKB
Le 30-01-2006, à propos de Re: Controler les utilisateurs ..., Guillaume ALLEON écrivait dans fr.comp.os.linux.moderated :
*eh eh*, je me doutais de ce genre de réponse. En fait la machine en le frontal d'un serveur, je souhaiterais donc que les utiliateurs puissent laisser certaines commandes (qsub, qstat, ...) de batch mais je souhaiterais interdire toute commande - potentiellement consommatrices de ressources. J'avais pensé qu'un premier moyen de discrimination pouvait être l'emplacement de l'exécutable ... mais peut-être n'est ce pas le bon critère?
Pourquoi ne pas chrooter leurs comptes pour avoir le /bin et /usr/bin minimaux (compilés en statique pour simplifier les choses) ? C'est juste une idée comme ça à pas loin de 23h00 qui ne vaut que cela, mais j'aurais tendance à fouiller un peu par là...
Cordialement,
JKB
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Le 30-01-2006, à propos de
Re: Controler les utilisateurs ...,
Guillaume ALLEON écrivait dans fr.comp.os.linux.moderated :
*eh eh*, je me doutais de ce genre de réponse. En fait la machine en le
frontal d'un serveur, je souhaiterais donc que les utiliateurs puissent
laisser certaines commandes (qsub, qstat, ...) de batch mais je
souhaiterais interdire toute commande - potentiellement consommatrices
de ressources. J'avais pensé qu'un premier moyen de discrimination
pouvait être l'emplacement de l'exécutable ... mais peut-être n'est ce
pas le bon critère?
Pourquoi ne pas chrooter leurs comptes pour avoir le /bin et
/usr/bin minimaux (compilés en statique pour simplifier les choses) ?
C'est juste une idée comme ça à pas loin de 23h00 qui ne vaut que
cela, mais j'aurais tendance à fouiller un peu par là...
Cordialement,
JKB
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
Le 30-01-2006, à propos de Re: Controler les utilisateurs ..., Guillaume ALLEON écrivait dans fr.comp.os.linux.moderated :
*eh eh*, je me doutais de ce genre de réponse. En fait la machine en le frontal d'un serveur, je souhaiterais donc que les utiliateurs puissent laisser certaines commandes (qsub, qstat, ...) de batch mais je souhaiterais interdire toute commande - potentiellement consommatrices de ressources. J'avais pensé qu'un premier moyen de discrimination pouvait être l'emplacement de l'exécutable ... mais peut-être n'est ce pas le bon critère?
Pourquoi ne pas chrooter leurs comptes pour avoir le /bin et /usr/bin minimaux (compilés en statique pour simplifier les choses) ? C'est juste une idée comme ça à pas loin de 23h00 qui ne vaut que cela, mais j'aurais tendance à fouiller un peu par là...
Cordialement,
JKB
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Qing Liu
Guillaume ALLEON writes:
Bonsoir,
J'ai une machine qui sert également de serveur de fichiers. J'aimerais éviter que des utilisateurs n'y lance n'importe quoi. J'ai bien vu qu'à traver /etc/security je pouvais limiter à travers un certain nombre de paramètres. Mais par exemple existe-t-il un moyen d'interdire toute commande lancée depuis le home d'un utilisateur ?
Bonsoir,
Si /home est sur une partition montée avec l'option noexec (man mount), les binaires qui s'y trouvent ne peuvent pas être exécutés. Par contre, cela ne concerne pas les scripts. Si les commandes que tu veux bien laisser exécuter n'ont pas besoin de /home, tu ne montes pas /home tout simplement.
Si tu veux "éviter que des utilisateurs n'y lance n'importe quoi" dans le but de préserver les ressources de la machine, il y a ulimit.
Il reste toujours en ultime recours une explication en tête-à-tête avec les utilisateurs rebelles :)
-- Liu
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
J'ai une machine qui sert également de serveur de fichiers. J'aimerais
éviter que des utilisateurs n'y lance n'importe quoi.
J'ai bien vu qu'à traver /etc/security je pouvais limiter à travers un
certain nombre de paramètres. Mais par exemple existe-t-il un moyen
d'interdire toute commande lancée depuis le home d'un utilisateur ?
Bonsoir,
Si /home est sur une partition montée avec l'option noexec
(man mount), les binaires qui s'y trouvent ne peuvent pas
être exécutés. Par contre, cela ne concerne pas les scripts.
Si les commandes que tu veux bien laisser exécuter n'ont pas
besoin de /home, tu ne montes pas /home tout simplement.
Si tu veux "éviter que des utilisateurs n'y lance n'importe quoi"
dans le but de préserver les ressources de la machine, il y a
ulimit.
Il reste toujours en ultime recours une explication en
tête-à-tête avec les utilisateurs rebelles :)
--
Liu
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
J'ai une machine qui sert également de serveur de fichiers. J'aimerais éviter que des utilisateurs n'y lance n'importe quoi. J'ai bien vu qu'à traver /etc/security je pouvais limiter à travers un certain nombre de paramètres. Mais par exemple existe-t-il un moyen d'interdire toute commande lancée depuis le home d'un utilisateur ?
Bonsoir,
Si /home est sur une partition montée avec l'option noexec (man mount), les binaires qui s'y trouvent ne peuvent pas être exécutés. Par contre, cela ne concerne pas les scripts. Si les commandes que tu veux bien laisser exécuter n'ont pas besoin de /home, tu ne montes pas /home tout simplement.
Si tu veux "éviter que des utilisateurs n'y lance n'importe quoi" dans le but de préserver les ressources de la machine, il y a ulimit.
Il reste toujours en ultime recours une explication en tête-à-tête avec les utilisateurs rebelles :)
-- Liu
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Arnaud Launay
Le 30 Jan 2006 21:58:38 GMT, JKB écrivit:
Pourquoi ne pas chrooter leurs comptes pour avoir le /bin et /usr/bin minimaux (compilés en statique pour simplifier les choses) ?
Potentiellement, si le chroot est à faire avec du ssh, tu peux utiliser ça:
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Le 30 Jan 2006 21:58:38 GMT, JKB écrivit:
Pourquoi ne pas chrooter leurs comptes pour avoir le /bin et
/usr/bin minimaux (compilés en statique pour simplifier les choses) ?
Potentiellement, si le chroot est à faire avec du ssh, tu peux
utiliser ça:
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Sinon, si les utilisateurs n'ont que quelques commandes a lancer, qu'elles sont souvent les memes, pourquoi ne pas faire un outil de monitoring du genre apache + une page de stat?
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Sinon, si les utilisateurs n'ont que quelques commandes a
lancer, qu'elles sont souvent les memes, pourquoi ne pas
faire un outil de monitoring du genre apache + une page de stat?
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
Sinon, si les utilisateurs n'ont que quelques commandes a lancer, qu'elles sont souvent les memes, pourquoi ne pas faire un outil de monitoring du genre apache + une page de stat?
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
