J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users
peuvent voir ses fichiers (dans son HOME).
Pourtant dans son HOME il y a aussi son "public_html" qui doit être
lisible par l'user sous lequel tourne Apache.
Moi je peux lui mettre en place un chroot ssh. Par exemple, avec ceci:
http://www.tokkee.de/howtos/chrooted_ssh_howto.php ou autres du même
genre. Mais sera-ce bien efficace? (je n'ai pas de "WinSCP" sous la main).
J'imagine que c'est un frontend graphique à scp... Le but est de ne pas
laisser son user voisin télécharger ses fichiers readables, tout en
laissant apache traverser quand même puisque son public_html doit être
atteignable...
L'arme absolue serait ce que peuvent faire les serveur FTP:
- DefaultRoot ~ (Proftpd),
- ...
Mais je n'ai pas vu de pareille chose sous SSH, et puis de toutes façons,
ça ne doit êter possible que pour certain users, parceque moi et mes users
"utilitaires" (ceux qui me servent à faire des tests) on n'a pas besoin de
ça.
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Qu'il mette des ACL qui lui convienne.
R12y wrote in message
<pan.2005.10.23.12.48.07.927671@etu.univ-orleans.fr>:
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users
peuvent voir ses fichiers (dans son HOME).
Pourtant dans son HOME il y a aussi son "public_html" qui doit être
lisible par l'user sous lequel tourne Apache.
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Qu'il mette des ACL qui lui convienne.
Mehdi BENKIR
R12y wrote:
Bonjour,
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Moi je peux lui mettre en place un chroot ssh.
OpenSSH n'aime pas ça.
Même si ce n'est pas du tout ce que tu demandes, remplace plutôt ~gboulet/public_html par un lien symbolique vers /var/wwware/boulets/gboulet/ et les vaches seront bien gardées.
R12y wrote:
Bonjour,
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users
peuvent voir ses fichiers (dans son HOME).
Pourtant dans son HOME il y a aussi son "public_html" qui doit être
lisible par l'user sous lequel tourne Apache.
Moi je peux lui mettre en place un chroot ssh.
OpenSSH n'aime pas ça.
Même si ce n'est pas du tout ce que tu demandes, remplace plutôt
~gboulet/public_html par un lien symbolique vers
/var/wwware/boulets/gboulet/ et les vaches seront bien gardées.
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Moi je peux lui mettre en place un chroot ssh.
OpenSSH n'aime pas ça.
Même si ce n'est pas du tout ce que tu demandes, remplace plutôt ~gboulet/public_html par un lien symbolique vers /var/wwware/boulets/gboulet/ et les vaches seront bien gardées.
Nicolas Le Scouarnec
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Tu mets des acl du style sur /home/tonuser: u::rwx g::--- o::--- u:apache:--x
Comme ca, seul apache a le droit de traverser, et meme apache n'a pas le droit de lister ses fichier. Traverser (x sur un dossier) veut dire acceder aux fichiers et sous-dossier dont on connait le nom. Sans ca, on s'arrete la, quelque soit les droits sur les fichiers dans le sous-arbre.
-- Nicolas Le Scouarnec
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users
peuvent voir ses fichiers (dans son HOME).
Pourtant dans son HOME il y a aussi son "public_html" qui doit être
lisible par l'user sous lequel tourne Apache.
Tu mets des acl du style sur /home/tonuser:
u::rwx
g::---
o::---
u:apache:--x
Comme ca, seul apache a le droit de traverser, et meme apache n'a pas
le droit de lister ses fichier. Traverser (x sur un dossier) veut dire
acceder aux fichiers et sous-dossier dont on connait le nom. Sans ca,
on s'arrete la, quelque soit les droits sur les fichiers dans le
sous-arbre.
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Tu mets des acl du style sur /home/tonuser: u::rwx g::--- o::--- u:apache:--x
Comme ca, seul apache a le droit de traverser, et meme apache n'a pas le droit de lister ses fichier. Traverser (x sur un dossier) veut dire acceder aux fichiers et sous-dossier dont on connait le nom. Sans ca, on s'arrete la, quelque soit les droits sur les fichiers dans le sous-arbre.
-- Nicolas Le Scouarnec
R12y
On Sun, 23 Oct 2005 18:51:32 +0000, Nicolas Le Scouarnec wrote:
Tu mets des acl du style sur /home/tonuser:
Nicolas (George) as aussi proposé cela. Mais le noyau debian 2.6 que j'ai ne semble pas avoir unclu autre chose que les ACLs "traditionnels". Recompilation obligatoire en perspective?
On Sun, 23 Oct 2005 18:51:32 +0000, Nicolas Le Scouarnec wrote:
Tu mets des acl du style sur /home/tonuser:
Nicolas (George) as aussi proposé cela.
Mais le noyau debian 2.6 que j'ai ne semble pas avoir unclu autre chose
que les ACLs "traditionnels".
Recompilation obligatoire en perspective?
On Sun, 23 Oct 2005 18:51:32 +0000, Nicolas Le Scouarnec wrote:
Tu mets des acl du style sur /home/tonuser:
Nicolas (George) as aussi proposé cela. Mais le noyau debian 2.6 que j'ai ne semble pas avoir unclu autre chose que les ACLs "traditionnels". Recompilation obligatoire en perspective?
Nicolas (George) as aussi proposé cela. Mais le noyau debian 2.6 que j'ai ne semble pas avoir unclu autre chose que les ACLs "traditionnels". Recompilation obligatoire en perspective?
Ça m'étonnerait vraiment que le support des ACL n'ait pas été inclus. Peux-tu indiquer précisément la config (ou seulement le nom du package et la version, si c'est packagé par Debian), ainsi que le filesystem sur lequel tu veux l'utiliser ?
R12y wrote in message
<pan.2005.10.23.20.13.40.492582@etu.univ-orleans.fr>:
Nicolas (George) as aussi proposé cela.
Mais le noyau debian 2.6 que j'ai ne semble pas avoir unclu autre chose
que les ACLs "traditionnels".
Recompilation obligatoire en perspective?
Ça m'étonnerait vraiment que le support des ACL n'ait pas été inclus.
Peux-tu indiquer précisément la config (ou seulement le nom du package et la
version, si c'est packagé par Debian), ainsi que le filesystem sur lequel tu
veux l'utiliser ?
Nicolas (George) as aussi proposé cela. Mais le noyau debian 2.6 que j'ai ne semble pas avoir unclu autre chose que les ACLs "traditionnels". Recompilation obligatoire en perspective?
Ça m'étonnerait vraiment que le support des ACL n'ait pas été inclus. Peux-tu indiquer précisément la config (ou seulement le nom du package et la version, si c'est packagé par Debian), ainsi que le filesystem sur lequel tu veux l'utiliser ?
R12y
Recompilation obligatoire en perspective? Ça m'étonnerait vraiment que le support des ACL n'ait pas été inclus.
root-H9-16>>>>dpkg -l | grep kernel [...] ii linux-image-2.6.12-1-686 2.6.12-10 Linux kernel 2.6.12 [...] root-H9-16>>>>uname -r 2.6.12-1-686
root-H9-16>>>>dpkg -l | grep kernel [...] ii linux-image-2.6.12-1-686 2.6.12-10 Linux kernel 2.6.12 [...] root-H9-16>>>>uname -r 2.6.12-1-686
Tu n'as pas répondu à toutes les questions.
Vincent Ramos
R12y égrapsen en :
root-H9-16>>>>dpkg -l | grep kernel ii linux-image-2.6.12-1-686 2.6.12-10 Linux kernel 2.6.12 root-H9-16>>>>uname -r 2.6.12-1-686
Faites plutôt un grep -i acl /boot/config-[version de votre noyau]
Vous devez obtenir CONFIG_<nom de FS>_FS_POSIX_ACL=y
pour chaque système de fichier sur lequel vous voulez utiliser les ACL. Sinon, il faut recompiler.
Ensuite, la partition doit être dans un FS qui supporte les ACL et être montée comme tel : /dev/<partition> / <FS> defaults,acl 0 1 (ou mount -o remount,acl /dev/<partition> si elle est déjà montée).
Enfin, donner les droits à Apache : setfacl -m u:www-data:x /home/user/public_html
Noter que l'user d'Apache est www-data chez moi et, il me semble, par défaut chez Debian.
-- apt-get moo
R12y égrapsen en
<pan.2005.10.23.22.24.03.860461@etu.univ-orleans.fr> :
root-H9-16>>>>dpkg -l | grep kernel
ii linux-image-2.6.12-1-686 2.6.12-10 Linux kernel 2.6.12
root-H9-16>>>>uname -r
2.6.12-1-686
Faites plutôt un grep -i acl /boot/config-[version de votre noyau]
Vous devez obtenir
CONFIG_<nom de FS>_FS_POSIX_ACL=y
pour chaque système de fichier sur lequel vous voulez utiliser les
ACL. Sinon, il faut recompiler.
Ensuite, la partition doit être dans un FS qui supporte les ACL et
être montée comme tel :
/dev/<partition> / <FS> defaults,acl 0 1
(ou mount -o remount,acl /dev/<partition> si elle est déjà montée).
Enfin, donner les droits à Apache :
setfacl -m u:www-data:x /home/user/public_html
Noter que l'user d'Apache est www-data chez moi et, il me semble, par
défaut chez Debian.
root-H9-16>>>>dpkg -l | grep kernel ii linux-image-2.6.12-1-686 2.6.12-10 Linux kernel 2.6.12 root-H9-16>>>>uname -r 2.6.12-1-686
Faites plutôt un grep -i acl /boot/config-[version de votre noyau]
Vous devez obtenir CONFIG_<nom de FS>_FS_POSIX_ACL=y
pour chaque système de fichier sur lequel vous voulez utiliser les ACL. Sinon, il faut recompiler.
Ensuite, la partition doit être dans un FS qui supporte les ACL et être montée comme tel : /dev/<partition> / <FS> defaults,acl 0 1 (ou mount -o remount,acl /dev/<partition> si elle est déjà montée).
Enfin, donner les droits à Apache : setfacl -m u:www-data:x /home/user/public_html
Noter que l'user d'Apache est www-data chez moi et, il me semble, par défaut chez Debian.
-- apt-get moo
[SauronDeMordor]
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres us ers peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Tu mets des acl du style sur /home/tonuser: u::rwx g::--- o::--- u:apache:--x
Comme ca, seul apache a le droit de traverser, et meme apache n'a pas le droit de lister ses fichier. Traverser (x sur un dossier) veut dire acceder aux fichiers et sous-dossier dont on connait le nom. Sans ca, on s'arrete la, quelque soit les droits sur les fichiers dans le sous-arbre.
oui ou si tu a pas les acl, car c est aux user de les gerer, tu lui dit d e mettre $HOME a chmod 101 (si apache est dans
un autre goupe que lui) et le repertoit public_html a 705
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres us ers
peuvent voir ses fichiers (dans son HOME).
Pourtant dans son HOME il y a aussi son "public_html" qui doit être
lisible par l'user sous lequel tourne Apache.
Tu mets des acl du style sur /home/tonuser:
u::rwx
g::---
o::---
u:apache:--x
Comme ca, seul apache a le droit de traverser, et meme apache n'a pas
le droit de lister ses fichier. Traverser (x sur un dossier) veut dire
acceder aux fichiers et sous-dossier dont on connait le nom. Sans ca,
on s'arrete la, quelque soit les droits sur les fichiers dans le
sous-arbre.
oui ou si tu a pas les acl, car c est aux user de les gerer, tu lui dit d e mettre $HOME a chmod 101 (si apache est dans
un autre goupe que lui) et le repertoit public_html a 705
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres us ers peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Tu mets des acl du style sur /home/tonuser: u::rwx g::--- o::--- u:apache:--x
Comme ca, seul apache a le droit de traverser, et meme apache n'a pas le droit de lister ses fichier. Traverser (x sur un dossier) veut dire acceder aux fichiers et sous-dossier dont on connait le nom. Sans ca, on s'arrete la, quelque soit les droits sur les fichiers dans le sous-arbre.
oui ou si tu a pas les acl, car c est aux user de les gerer, tu lui dit d e mettre $HOME a chmod 101 (si apache est dans
un autre goupe que lui) et le repertoit public_html a 705
ts
"V" == Vincent Ramos writes:
V> setfacl -m u:www-data:x /home/user/public_html
ne pas oublier le bon package
moulon% apt-cache search setfacl acl - Access control list utilities moulon%
--
Guy Decoux
"V" == Vincent Ramos <siva_sans_spam@kailaasa.net.invalid> writes:
V> setfacl -m u:www-data:x /home/user/public_html
ne pas oublier le bon package
moulon% apt-cache search setfacl
acl - Access control list utilities
moulon%
