J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users
peuvent voir ses fichiers (dans son HOME).
Pourtant dans son HOME il y a aussi son "public_html" qui doit être
lisible par l'user sous lequel tourne Apache.
Moi je peux lui mettre en place un chroot ssh. Par exemple, avec ceci:
http://www.tokkee.de/howtos/chrooted_ssh_howto.php ou autres du même
genre. Mais sera-ce bien efficace? (je n'ai pas de "WinSCP" sous la main).
J'imagine que c'est un frontend graphique à scp... Le but est de ne pas
laisser son user voisin télécharger ses fichiers readables, tout en
laissant apache traverser quand même puisque son public_html doit être
atteignable...
L'arme absolue serait ce que peuvent faire les serveur FTP:
- DefaultRoot ~ (Proftpd),
- ...
Mais je n'ai pas vu de pareille chose sous SSH, et puis de toutes façons,
ça ne doit êter possible que pour certain users, parceque moi et mes users
"utilitaires" (ceux qui me servent à faire des tests) on n'a pas besoin de
ça.
Dans le message <news:djg2mi$1ja3$, *Nicolas George* tapota sur f.c.o.unix :
R12y wrote in message :
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Qu'il mette des ACL qui lui convienne.
Je me dis qu'un 'chmod 711' bien placé devrait amplement suffire.
-- TiChou
Dans le message <news:djg2mi$1ja3$1@biggoron.nerim.net>,
*Nicolas George* tapota sur f.c.o.unix :
R12y wrote in message
<pan.2005.10.23.12.48.07.927671@etu.univ-orleans.fr>:
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres
users peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME
il y a aussi son "public_html" qui doit être lisible par l'user sous
lequel tourne Apache.
Qu'il mette des ACL qui lui convienne.
Je me dis qu'un 'chmod 711' bien placé devrait amplement suffire.
Dans le message <news:djg2mi$1ja3$, *Nicolas George* tapota sur f.c.o.unix :
R12y wrote in message :
J'ai un user qui se plaint du fait qu'en utilisant winscp les autres users peuvent voir ses fichiers (dans son HOME). Pourtant dans son HOME il y a aussi son "public_html" qui doit être lisible par l'user sous lequel tourne Apache.
Qu'il mette des ACL qui lui convienne.
Je me dis qu'un 'chmod 711' bien placé devrait amplement suffire.
-- TiChou
Nicolas George
"TiChou" wrote in message :
Je me dis qu'un 'chmod 711' bien placé devrait amplement suffire.
Moi je dis que non. Il y a souvent moyen de glaner de l'information sur les noms de fichiers (dans la sortie de ps, ou parce que les fichiers ont des noms fixés pour certaines applications).
"TiChou" wrote in message <gniii.20051024155840@florizarre.tichou.org>:
Je me dis qu'un 'chmod 711' bien placé devrait amplement suffire.
Moi je dis que non. Il y a souvent moyen de glaner de l'information sur les
noms de fichiers (dans la sortie de ps, ou parce que les fichiers ont des
noms fixés pour certaines applications).
Je me dis qu'un 'chmod 711' bien placé devrait amplement suffire.
Moi je dis que non. Il y a souvent moyen de glaner de l'information sur les noms de fichiers (dans la sortie de ps, ou parce que les fichiers ont des noms fixés pour certaines applications).
Nicolas George
R12y wrote in message :
Parceque je ne les ai pas toutes comprises, désolé.
« ainsi que le filesystem sur lequel tu veux l'utiliser »
Parce que si tu espères faire marcher des ACL sur du FAT, il va falloir te lever de bonne heure.
R12y wrote in message
<pan.2005.10.24.18.27.37.510129@etu.univ-orleans.fr>:
Parceque je ne les ai pas toutes comprises, désolé.
« ainsi que le filesystem sur lequel tu veux l'utiliser »
Parce que si tu espères faire marcher des ACL sur du FAT, il va falloir te
lever de bonne heure.
Parceque je ne les ai pas toutes comprises, désolé.
« ainsi que le filesystem sur lequel tu veux l'utiliser »
Parce que si tu espères faire marcher des ACL sur du FAT, il va falloir te lever de bonne heure.
R12y
On Sun, 23 Oct 2005 23:24:10 +0000, Nicolas George wrote:
Tu n'as pas répondu à toutes les questions.
Parceque je ne les ai pas toutes comprises, désolé. Par nom du package, je pensais celui du kernel. Je suppose que tu voulais me demander celui des ACLs?
root-H9-16>>>>dpkg -l | grep acl ii libacl1 2.2.29-1.0.1 Access control list shared library root-H9-16>>>>
On Sun, 23 Oct 2005 23:24:10 +0000, Nicolas George wrote:
Tu n'as pas répondu à toutes les questions.
Parceque je ne les ai pas toutes comprises, désolé.
Par nom du package, je pensais celui du kernel.
Je suppose que tu voulais me demander celui des ACLs?
root-H9-16>>>>dpkg -l | grep acl
ii libacl1 2.2.29-1.0.1 Access control list shared library
root-H9-16>>>>
On Sun, 23 Oct 2005 23:24:10 +0000, Nicolas George wrote:
Tu n'as pas répondu à toutes les questions.
Parceque je ne les ai pas toutes comprises, désolé. Par nom du package, je pensais celui du kernel. Je suppose que tu voulais me demander celui des ACLs?
root-H9-16>>>>dpkg -l | grep acl ii libacl1 2.2.29-1.0.1 Access control list shared library root-H9-16>>>>
Dans le message <news:djj8se$2ton$, *Nicolas George* tapota sur f.c.o.unix :
Je me dis qu'un 'chmod 711' bien placé devrait amplement suffire.
Moi je dis que non. Il y a souvent moyen de glaner de l'information sur les noms de fichiers (dans la sortie de ps, ou parce que les fichiers ont des noms fixés pour certaines applications).
Mais ce n'est pas non plus les ACL qui empêcheront ça.
-- TiChou
Dans le message <news:djj8se$2ton$1@biggoron.nerim.net>,
*Nicolas George* tapota sur f.c.o.unix :
Je me dis qu'un 'chmod 711' bien placé devrait amplement suffire.
Moi je dis que non. Il y a souvent moyen de glaner de l'information sur
les noms de fichiers (dans la sortie de ps, ou parce que les fichiers ont
des noms fixés pour certaines applications).
Mais ce n'est pas non plus les ACL qui empêcheront ça.
Dans le message <news:djj8se$2ton$, *Nicolas George* tapota sur f.c.o.unix :
Je me dis qu'un 'chmod 711' bien placé devrait amplement suffire.
Moi je dis que non. Il y a souvent moyen de glaner de l'information sur les noms de fichiers (dans la sortie de ps, ou parce que les fichiers ont des noms fixés pour certaines applications).
Mais ce n'est pas non plus les ACL qui empêcheront ça.
-- TiChou
Nicolas George
"TiChou" wrote in message :
Mais ce n'est pas non plus les ACL qui empêcheront ça.
Euh, si. Si le répertoire est en 700 + droit d'accès à l'utilisateur qui fait tourner Apache, même en connaissant les noms des fichiers, les autres utilisateurs auront du mal à y accéder.
"TiChou" wrote in message <pwet.20051025014148@florizarre.tichou.org>:
Mais ce n'est pas non plus les ACL qui empêcheront ça.
Euh, si. Si le répertoire est en 700 + droit d'accès à l'utilisateur qui
fait tourner Apache, même en connaissant les noms des fichiers, les autres
utilisateurs auront du mal à y accéder.
Mais ce n'est pas non plus les ACL qui empêcheront ça.
Euh, si. Si le répertoire est en 700 + droit d'accès à l'utilisateur qui fait tourner Apache, même en connaissant les noms des fichiers, les autres utilisateurs auront du mal à y accéder.
TiChou
Dans le message <news:djk1lk$8bu$, *Nicolas George* tapota sur f.c.o.unix :
Mais ce n'est pas non plus les ACL qui empêcheront ça.
Euh, si. Si le répertoire est en 700 + droit d'accès à l'utilisateur qui fait tourner Apache, même en connaissant les noms des fichiers, les autres utilisateurs auront du mal à y accéder.
Mais, si j'ai bien interprété ce que disait R12y, ici il ne s'agit pas de pouvoir accéder ou non aux fichiers mais de pouvoir les lister («voir») ou non.
Mais si «voir» veut ici dire accéder, alors je pense qu'on fausse le problème en utilisant les ACL. D'une manière générale, les fichiers ne devant pas être accessibles aux autres dans les répertoires du home doivent alors avoir les permissions à o-rwx et ceux dans le répertoire public_html sont par définition accessibles à tous et s'ils ne le sont pas depuis le système de fichier par le truchement des ACL ils le seront de toute manière depuis le serveur web.
-- TiChou
Dans le message <news:djk1lk$8bu$1@biggoron.nerim.net>,
*Nicolas George* tapota sur f.c.o.unix :
Mais ce n'est pas non plus les ACL qui empêcheront ça.
Euh, si. Si le répertoire est en 700 + droit d'accès à l'utilisateur qui
fait tourner Apache, même en connaissant les noms des fichiers, les
autres utilisateurs auront du mal à y accéder.
Mais, si j'ai bien interprété ce que disait R12y, ici il ne s'agit pas de
pouvoir accéder ou non aux fichiers mais de pouvoir les lister («voir») ou
non.
Mais si «voir» veut ici dire accéder, alors je pense qu'on fausse le
problème en utilisant les ACL.
D'une manière générale, les fichiers ne devant pas être accessibles aux
autres dans les répertoires du home doivent alors avoir les permissions à
o-rwx et ceux dans le répertoire public_html sont par définition accessibles
à tous et s'ils ne le sont pas depuis le système de fichier par le
truchement des ACL ils le seront de toute manière depuis le serveur web.
Dans le message <news:djk1lk$8bu$, *Nicolas George* tapota sur f.c.o.unix :
Mais ce n'est pas non plus les ACL qui empêcheront ça.
Euh, si. Si le répertoire est en 700 + droit d'accès à l'utilisateur qui fait tourner Apache, même en connaissant les noms des fichiers, les autres utilisateurs auront du mal à y accéder.
Mais, si j'ai bien interprété ce que disait R12y, ici il ne s'agit pas de pouvoir accéder ou non aux fichiers mais de pouvoir les lister («voir») ou non.
Mais si «voir» veut ici dire accéder, alors je pense qu'on fausse le problème en utilisant les ACL. D'une manière générale, les fichiers ne devant pas être accessibles aux autres dans les répertoires du home doivent alors avoir les permissions à o-rwx et ceux dans le répertoire public_html sont par définition accessibles à tous et s'ils ne le sont pas depuis le système de fichier par le truchement des ACL ils le seront de toute manière depuis le serveur web.
-- TiChou
Nicolas George
"TiChou" wrote in message :
et ceux dans le répertoire public_html sont par définition accessibles à tous et s'ils ne le sont pas depuis le système de fichier par le truchement des ACL ils le seront de toute manière depuis le serveur web.
Pas forcément, non : il peut s'agir de scripts, dont le serveur sert le résultat mais pas le code source, il peut y avoir des .htaccess qui restreignent l'accès au niveau HTTP. Le filesystem est nettement plus permissif.
"TiChou" wrote in message <pwet.20051025123244@florizarre.tichou.org>:
et ceux dans le répertoire public_html sont par définition accessibles
à tous et s'ils ne le sont pas depuis le système de fichier par le
truchement des ACL ils le seront de toute manière depuis le serveur web.
Pas forcément, non : il peut s'agir de scripts, dont le serveur sert le
résultat mais pas le code source, il peut y avoir des .htaccess qui
restreignent l'accès au niveau HTTP. Le filesystem est nettement plus
permissif.
et ceux dans le répertoire public_html sont par définition accessibles à tous et s'ils ne le sont pas depuis le système de fichier par le truchement des ACL ils le seront de toute manière depuis le serveur web.
Pas forcément, non : il peut s'agir de scripts, dont le serveur sert le résultat mais pas le code source, il peut y avoir des .htaccess qui restreignent l'accès au niveau HTTP. Le filesystem est nettement plus permissif.
