bon encore un HS. mais bon c'est du presque 100% debian...
J'ai un NAS netgear. ça tourne sous linux. on peut faire de l'export
NFS, du CIFS et du http. et je veux faire les 3 en même temps sur le
même répertoire...
en local mes 3 pc sous debian se connectent en NFS;
ma coloc est sous windows et n'aura qu'un accès en lecture.
et de l'extérieur je me connecte sur l'interface http.
j'essaye de configurer le NAS de manière à ce que ça marche mais aussi
que j'ai un minimum de sécurité donc des droits restreints au max.
sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est
ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde
linux ???
avec les droits 777 je peux évidemment copier ce que je veux via
l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me
posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user.
normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et
j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je
sens que je vais tout casser. et si je mets 770 je suis coincé par la suite.
en gros je suis coincé et je me demandais s'il y avais un moyen de
bidouiller l'export NFS au moment du mount :
par exemple :
sur le NAS mes fichier appartiennent à l'admin
je monte l'export NFS il fait une super biouille et je me retrouve avec
des fichiers dont le proprio est le user du pc qui fait le montage.
Comme ça je peux mettre mes fichier en 640 et les répertoire en 750.
Est ce utopique ? :D
Merci d'avance
Guillaume
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/hvagkk$5h5$1@dough.gmane.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1276768660.10843.18.camel@vanille.inertiacreeps.net
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
giggzounet
Le 17/06/2010 11:57, Bruno Muller a écrit :
Hello,
Le mercredi 16 juin 2010 à 18:05 +0200, Sylvain Sauvage a écrit :
giggzounet, mercredi 16 juin 2010, 15:56:24 CEST
[…]
Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non.
ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits...
Si n’importe quel PC peut monter ton partage NFS, les droits sur ce dernier ne servent à rien (au niveau sécurité). Le root sur le PC qui monte le NFS peut faire ce qu’il veut : il peut s’embêter en créant un utilisateur du bon uid/gid ou simplement tout lire/modifier puisqu’il est root.
Non, non... Le root du client NFS peut faire ce qu'il veut sur le serveur si et seulement si dans le /etc/exports du serveur il est spécifié l'option no_root_squash.
man 5 exports -> User ID Mapping
Mais c'est vrai que globalement, NFS pêche en ce qui concerne la sécurité.
ah ok intéressant.
je vais regarder ça de plus pres.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/hvd0fh$bef$
Le 17/06/2010 11:57, Bruno Muller a écrit :
Hello,
Le mercredi 16 juin 2010 à 18:05 +0200, Sylvain Sauvage a écrit :
giggzounet, mercredi 16 juin 2010, 15:56:24 CEST
[…]
Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi
insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers
de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est
non.
ben...si pour écrire sur mes export je suis obligé d'être en 777...il
suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les
droits...
Si n’importe quel PC peut monter ton partage NFS, les droits
sur ce dernier ne servent à rien (au niveau sécurité). Le root
sur le PC qui monte le NFS peut faire ce qu’il veut : il peut
s’embêter en créant un utilisateur du bon uid/gid ou simplement
tout lire/modifier puisqu’il est root.
Non, non...
Le root du client NFS peut faire ce qu'il veut sur le serveur si et
seulement si dans le /etc/exports du serveur il est spécifié l'option
no_root_squash.
man 5 exports -> User ID Mapping
Mais c'est vrai que globalement, NFS pêche en ce qui concerne la
sécurité.
ah ok intéressant.
je vais regarder ça de plus pres.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/hvd0fh$bef$1@dough.gmane.org
Le mercredi 16 juin 2010 à 18:05 +0200, Sylvain Sauvage a écrit :
giggzounet, mercredi 16 juin 2010, 15:56:24 CEST
[…]
Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non.
ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits...
Si n’importe quel PC peut monter ton partage NFS, les droits sur ce dernier ne servent à rien (au niveau sécurité). Le root sur le PC qui monte le NFS peut faire ce qu’il veut : il peut s’embêter en créant un utilisateur du bon uid/gid ou simplement tout lire/modifier puisqu’il est root.
Non, non... Le root du client NFS peut faire ce qu'il veut sur le serveur si et seulement si dans le /etc/exports du serveur il est spécifié l'option no_root_squash.
man 5 exports -> User ID Mapping
Mais c'est vrai que globalement, NFS pêche en ce qui concerne la sécurité.
ah ok intéressant.
je vais regarder ça de plus pres.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/hvd0fh$bef$
giggzounet
Le 17/06/2010 13:21, giggzounet a écrit :
Le 17/06/2010 11:57, Bruno Muller a écrit :
Hello,
Le mercredi 16 juin 2010 à 18:05 +0200, Sylvain Sauvage a écrit :
giggzounet, mercredi 16 juin 2010, 15:56:24 CEST
[…]
Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non.
ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits...
Si n’importe quel PC peut monter ton partage NFS, les droits sur ce dernier ne servent à rien (au niveau sécurité). Le root sur le PC qui monte le NFS peut faire ce qu’il veut : il peut s’embêter en créant un utilisateur du bon uid/gid ou simplement tout lire/modifier puisqu’il est root.
Non, non... Le root du client NFS peut faire ce qu'il veut sur le serveur si et seulement si dans le /etc/exports du serveur il est spécifié l'option no_root_squash.
man 5 exports -> User ID Mapping
Mais c'est vrai que globalement, NFS pêche en ce qui concerne la sécurité.
ah ok intéressant.
je vais regarder ça de plus pres.
j'ai ça comme options dans le /etc/exports : insecure,insecure_locks,rw,sync
rw et sync sont clairs. mais les autres j'ai pas tout compris en lisant le man exports...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/hvd0v6$dgu$
Le 17/06/2010 13:21, giggzounet a écrit :
Le 17/06/2010 11:57, Bruno Muller a écrit :
Hello,
Le mercredi 16 juin 2010 à 18:05 +0200, Sylvain Sauvage a écrit :
giggzounet, mercredi 16 juin 2010, 15:56:24 CEST
[…]
Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi
insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers
de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est
non.
ben...si pour écrire sur mes export je suis obligé d'être en 777...il
suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les
droits...
Si n’importe quel PC peut monter ton partage NFS, les droits
sur ce dernier ne servent à rien (au niveau sécurité). Le root
sur le PC qui monte le NFS peut faire ce qu’il veut : il peut
s’embêter en créant un utilisateur du bon uid/gid ou simplement
tout lire/modifier puisqu’il est root.
Non, non...
Le root du client NFS peut faire ce qu'il veut sur le serveur si et
seulement si dans le /etc/exports du serveur il est spécifié l'option
no_root_squash.
man 5 exports -> User ID Mapping
Mais c'est vrai que globalement, NFS pêche en ce qui concerne la
sécurité.
ah ok intéressant.
je vais regarder ça de plus pres.
j'ai ça comme options dans le /etc/exports :
insecure,insecure_locks,rw,sync
rw et sync sont clairs. mais les autres j'ai pas tout compris en lisant
le man exports...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/hvd0v6$dgu$1@dough.gmane.org
Le mercredi 16 juin 2010 à 18:05 +0200, Sylvain Sauvage a écrit :
giggzounet, mercredi 16 juin 2010, 15:56:24 CEST
[…]
Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non.
ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits...
Si n’importe quel PC peut monter ton partage NFS, les droits sur ce dernier ne servent à rien (au niveau sécurité). Le root sur le PC qui monte le NFS peut faire ce qu’il veut : il peut s’embêter en créant un utilisateur du bon uid/gid ou simplement tout lire/modifier puisqu’il est root.
Non, non... Le root du client NFS peut faire ce qu'il veut sur le serveur si et seulement si dans le /etc/exports du serveur il est spécifié l'option no_root_squash.
man 5 exports -> User ID Mapping
Mais c'est vrai que globalement, NFS pêche en ce qui concerne la sécurité.
ah ok intéressant.
je vais regarder ça de plus pres.
j'ai ça comme options dans le /etc/exports : insecure,insecure_locks,rw,sync
rw et sync sont clairs. mais les autres j'ai pas tout compris en lisant le man exports...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/hvd0v6$dgu$
âfin bon, câest toujours mieux que dâautresâ ¦
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100617133718.3ae2e9ae@ithil