[WinXP / Linux] : Est-ce bien sécurisé ?

On 13 May 2004, Vincent BENNER wrote:

Bonjour,

Bonjour,

Question bête et méchante. Sur un poste A, cohabitent
WinXP Pro et Linux.

Sous WinXP, il y a un utilisateur U1 et un autre U2. Ces
utilisateurs ne peuvent accéder aux fichiers qui sont dans
C:Documents and settingsU1 et C:D & SU2, ce qui
semble normal.

Maintenant, sous Linux, on retrouve U1 et U2 et on
peut très bien accéder au contenu de U1 et U2 en
passant par /mnt/.../....../Documents and settings/...

Donc, la question est la suivante, comment protéger
de linux ses fichiers Windows ?

En choisissant sous Ouin-Ouin de crypter les données des comptes
personnels ?

De mémoire : clic-droit / propriétés de «mes documents» ou des «documents
and settings/lecompte» / chercher une case à cocher qui parler d'encryption

Il me semble aussi que cette possibilité concerne exclusivement «documents
and settings» et qu'il n'est pas possible d'encrypter un dossier ailleurs
sur le disque.

Ceci étant dit, je n'ai jamais utilisé cette fonctionnalité, je ne connais
pas le principe de cryptage utilisé et donc je ne sais pas ce que ça vaut
du point de vue sécurité. Mais ça devrait être suffisant pour juste
empêcher de parcourir les documents personnels.

Merci,

De rien.

Sébastien Kirche

Bonjour

D'une maniere generale , un OS ne peut proteger ses fichiers que quand
il est allumé . en effet, c'est Linux (ou windows) qui decide si un tel
ou un autre peut acceder a ceci ou cela , apres avoir lu les attributs
de permissions dudit ceci ou cela ... si l'OS est eteint , ben il n'y
aura rien .

Si linux avait les moyens de gerer correctement le NTFFS peut etre que
l'admin linux peut imposer les restrictions adequates, mais on n'en est
pas encore la .

Par contre tu peux crypter le filesystem

mais si jamais tu perds les clefs ...
--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://stko.dyndns.info/site_principal/Members/mihamina

Dans le message <news:c7vbqs$vam$1@news-reader1.wanadoo.fr>,
*Vincent BENNER - PERSO* tapota sur f.c.o.l.configuration :

Bonjour,

Bonjour,

Question bête et méchante. Sur un poste A, cohabitent
WinXP Pro et Linux.

Sous WinXP, il y a un utilisateur U1 et un autre U2. Ces
utilisateurs ne peuvent accéder aux fichiers qui sont dans
C:Documents and settingsU1 et C:D & SU2, ce qui
semble normal.

Maintenant, sous Linux, on retrouve U1 et U2 et on
peut très bien accéder au contenu de U1 et U2 en
passant par /mnt/.../....../Documents and settings/...

Donc, la question est la suivante, comment protéger
de linux ses fichiers Windows ?

Une solution possible est de monter la partition Windows sur un point
d'accès que seul root peut accéder et de monter ensuite (avec l'option bind
de mount) les répertoires 'Docs & settings' de chaque utilisateur sur un
point d'accès que seul chaque utilisateur pourra accéder.

Concrètement, sous root on crée les points d'accès « sécurisés » :

# mkdir -p /mnt/ntfs/disk/hdb1
# mkdir -p /mnt/ntfs/user1/docs
# mkdir -p /mnt/ntfs/user2/docs
# chmod 700 /mnt/ntfs/*
# chown user1 /mnt/ntfs/user1
# chown user2 /mnt/ntfs/user2

on monte la partition Windows (supposée être sur le device /dev/hdb1) :

# mount -t ntfs -o iocharset=iso8859-15 /dev/hdb1 /mnt/ntfs/disk/hdb1

on monter les répertoires personnels de chaque utilisateur :

# mount --bind "/mnt/ntfs/disk/hdb1/Documents and Settings/U1"
/mnt/ntfs/user1/docs
# mount --bind "/mnt/ntfs/disk/hdb1/Documents and Settings/U2"
/mnt/ntfs/user2/docs

Sous l'utilisateur user1 :

# su - user1
user1 $ ls /mnt/ntfs/user1
docs
user1 $ ls /mnt/ntfs/disk
ls: /mnt/ntfs/disk: Permission denied
user1 $ ls /mnt/ntfs/user2
ls: /mnt/ntfs/user2: Permission denied
user2 $ exit
logout

et sous l'utilisateur user2 :

# su - user2
user2 $ ls /mnt/ntfs/user2
docs
user2 $ ls /mnt/ntfs/disk
ls: /mnt/ntfs/disk: Permission denied
user2 $ ls /mnt/ntfs/user1
ls: /mnt/ntfs/user1: Permission denied
user2 $

Pour automatiser les montages au démarrage, on les placera dans /etc/fstab
comme suit :

# cat /etc/fstab

[...]

# Montage Windows
/dev/hdb1 /mnt/ntfs/disk/hdb1 ntfs iocharset=iso8859-15 0 0

# Montage documents
/mnt/ntfs/disk/hdb1/Documents40and40Settings/U1 /mnt/ntfs/user1/docs
none bind 0 0
/mnt/ntfs/disk/hdb1/Documents40and40Settings/U2 /mnt/ntfs/user2/docs
none bind 0 0

(attention à placer les 4 dernières lignes sur deux lignes seulement)

C'est une solution qui fonctionne mais qui ressemble à du bricolage malgré
tout. A adapter selon vos besoins.

Merci,

De rien.

--
TiChou

Dans le message <news:c7vbqs$vam$1@news-reader1.wanadoo.fr>,
*Vincent BENNER - PERSO* tapota sur f.c.o.l.configuration :

Bonjour,

Bonjour,

Question bête et méchante. Sur un poste A, cohabitent
WinXP Pro et Linux.

Sous WinXP, il y a un utilisateur U1 et un autre U2. Ces
utilisateurs ne peuvent accéder aux fichiers qui sont dans
C:Documents and settingsU1 et C:D & SU2, ce qui
semble normal.

Maintenant, sous Linux, on retrouve U1 et U2 et on
peut très bien accéder au contenu de U1 et U2 en
passant par /mnt/.../....../Documents and settings/...

Donc, la question est la suivante, comment protéger
de linux ses fichiers Windows ?

Une solution possible est de monter la partition Windows sur un point
d'accès que seul root peut accéder et de monter ensuite (avec l'option bind
de mount) les répertoires 'Docs & settings' de chaque utilisateur sur un
point d'accès que seul chaque utilisateur pourra accéder.

Concrètement, sous root on crée les points d'accès « sécurisés » :

# mkdir -p /mnt/ntfs/disk/hdb1
# mkdir -p /mnt/ntfs/user1/docs
# mkdir -p /mnt/ntfs/user2/docs
# chmod 700 /mnt/ntfs/*
# chown user1 /mnt/ntfs/user1
# chown user2 /mnt/ntfs/user2

on monte la partition Windows (supposée être sur le device /dev/hdb1) :

# mount -t ntfs -o iocharset=iso8859-15 /dev/hdb1 /mnt/ntfs/disk/hdb1

on monter les répertoires personnels de chaque utilisateur :

# mount --bind "/mnt/ntfs/disk/hdb1/Documents and Settings/U1"
/mnt/ntfs/user1/docs
# mount --bind "/mnt/ntfs/disk/hdb1/Documents and Settings/U2"
/mnt/ntfs/user2/docs

Sous l'utilisateur user1 :

# su - user1
user1 $ ls /mnt/ntfs/user1
docs
user1 $ ls /mnt/ntfs/disk
ls: /mnt/ntfs/disk: Permission denied
user1 $ ls /mnt/ntfs/user2
ls: /mnt/ntfs/user2: Permission denied
user2 $ exit
logout

et sous l'utilisateur user2 :

# su - user2
user2 $ ls /mnt/ntfs/user2
docs
user2 $ ls /mnt/ntfs/disk
ls: /mnt/ntfs/disk: Permission denied
user2 $ ls /mnt/ntfs/user1
ls: /mnt/ntfs/user1: Permission denied
user2 $

Pour automatiser les montages au démarrage, on les placera dans /etc/fstab
comme suit :

# cat /etc/fstab

[...]

# Montage Windows
/dev/hdb1 /mnt/ntfs/disk/hdb1 ntfs iocharset=iso8859-15 0 0

# Montage documents
/mnt/ntfs/disk/hdb1/Documents40and40Settings/U1 /mnt/ntfs/user1/docs
none bind 0 0
/mnt/ntfs/disk/hdb1/Documents40and40Settings/U2 /mnt/ntfs/user2/docs
none bind 0 0

(attention à placer les 4 dernières lignes sur deux lignes seulement)

C'est une solution qui fonctionne mais qui ressemble à du bricolage malgré
tout. A adapter selon vos besoins.

Merci,

De rien.

Bonjour,

ça ne résoud pas son problème...
si un mec passe avec un live-cd linux il peut quand même voir ses
fichiers win.

"Meilleure" solution = codage
Mais si ça plante... quid des données ?

@+

Dans le message <news:c7vqq0$lcb$1@news-reader5.wanadoo.fr>,
*noone@nowhere.com* tapota sur f.c.o.l.configuration :

ça ne résoud pas son problème...

Ça répondait très bien à son problème. Je vous renvois à sa question.
Le problème évoqué était la gestion des permissions d'un système de fichier
que gère mal Linux.

si un mec passe avec un live-cd linux il peut quand même voir ses
fichiers win.

La personne n'a pas évoqué cette éventualité. Il parlait sur une même
machine la cohabitation de deux systèmes d'exploitation (peu importe
lesquels d'ailleurs) et de deux utilisateurs.
Le problème n'était pas comment protéger des données sur un disque.
Au passage, l'accès physique aux données d'un disque n'a rien de spécifique
à Linux. Depuis Windows il rencontrera le même problème si la personne se
logge sous un compte administrateur, chose aussi simple à faire que de se
logger en root sous Linux.

"Meilleure" solution = codage

Ah non, ça n'est plus une solution justement. C'est rendre impossible
l'accès aux données sous Linux, alors que le but était de pouvoir donner aux
utilisateurs sous Linux accès à leur répertoire personnel de Windows.

Mais si ça plante... quid des données ?

De toute manière il y a backup des données en suivant votre logique ?

PS : merci de ne citer que les parties utiles du message à la réponse d'un
post, afin de faciliter la lecture de votre réponse à vos lecteurs.

--
TiChou

Bonjour à vous 2,

Effectivement, le but de mes manipulation est que
chaque utilisateur ne voie que ses fichiers, quel que
soit le système d'exploitation.

Je vais tenter les manips ce week end.

Merci,

Vincent

On 13 May 2004, TiChou wrote:

"Meilleure" solution = codage

Ah non, ça n'est plus une solution justement. C'est rendre impossible
l'accès aux données sous Linux, alors que le but était de pouvoir donner
aux utilisateurs sous Linux accès à leur répertoire personnel de Windows.

Mmmh, je crois que tu as loupé un point : l'op terminait son message par
ceci :

«Donc, la question est la suivante, comment protéger de linux ses fichiers
Windows ?»

Que je comprends moi dans le sens «comment empêcher la lectue des données
[des comptes personnels windows] depuis le linux installé sur le même
poste»...

Ce qui laisse comme seule option le cryptage dans windows ama.

Sébastien Kirche

Le Thu, 13 May 2004 10:32:24 +0200, Vincent BENNER - PERSO a ecrit:
| WinXP Pro et Linux.
|
| Sous WinXP, il y a un utilisateur U1 et un autre U2. Ces
| utilisateurs ne peuvent accéder aux fichiers qui sont dans
| C:Documents and settingsU1 et C:D & SU2, ce qui
| semble normal.
|
| Maintenant, sous Linux, on retrouve U1 et U2 et on
| peut très bien accéder au contenu de U1 et U2 en
| passant par /mnt/.../....../Documents and settings/...
|
| Donc, la question est la suivante, comment protéger
| de linux ses fichiers Windows ?
|
| Merci,
|
De la meme maniere, un explore2fs.exe depuis windows te montrera tous
les fichiers linux.

--
Kevin
J'ai lu ca sur fmbl. Voyons si ca fonctionne.
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-

Dans le message <news:m2n04csa2l.fsf@free.fr>,
*Sebastien Kirche* tapota sur f.c.o.l.configuration :

"Meilleure" solution = codage

Ah non, ça n'est plus une solution justement. C'est rendre
impossible l'accès aux données sous Linux, alors que le but était de
pouvoir donner aux utilisateurs sous Linux accès à leur répertoire
personnel de Windows.

Mmmh, je crois que tu as loupé un point : l'op terminait son message
par ceci :

«Donc, la question est la suivante, comment protéger de linux ses
fichiers Windows ?»

Que je comprends moi dans le sens «comment empêcher la lectue des
données [des comptes personnels windows] depuis le linux installé
sur le même poste»...

Je ne le comprends pas du tout comme ça. Il sous entend bien qu'il veut que
l'utilisateur 1 n'ait accès sous Linux qu'à son répertoire Windows et
l'utilisateur 2 qu'au sien. D'ailleurs c'est ce qu'il sous entend de nouveau
dans son dernier message. Et il parlait bien de gestion de permissions des
répertoires NTFS que Windows sait bien évidement gérer mais que Linux ne
sait pas gérer.

Ce qui laisse comme seule option le cryptage dans windows ama.

Non, ça n'a pas de sens. Comme je l'ai dit, ce n'est pas un problème
d'utilisateur. Si le but était de ne pas donner aux utilisateurs 1 et 2
accès aux données de Windows, il suffit de ne pas monter la partition
Windows ou de la monter avec le umask à 077.
Je le répète, crypter les données sous Windows ne permettra plus aux
utilisateurs d'accéder à leurs données sous Linux (ce qui n'est pas voulu)
et en plus ce n'est pas ça qui empêchera à l'utilisateur 1 d'accéder aux
données de l'utilisateur 2 si c'est sa volonté.

--
TiChou

On 13 mai 2004, gro.uohcit@uohcit wrote:

Je ne le comprends pas du tout comme ça. Il sous entend bien qu'il veut
que l'utilisateur 1 n'ait accès sous Linux qu'à son répertoire Windows et
l'utilisateur 2 qu'au sien. D'ailleurs c'est ce qu'il sous entend de
nouveau dans son dernier message. Et il parlait bien de gestion de
permissions des répertoires NTFS que Windows sait bien évidement gérer
mais que Linux ne sait pas gérer.

Ok, j'avais loupé le message de 15:41 où il confirme qu'il veut que chaque
utilisateur n'accède qu'à ses données windows depuis linux.

Ce qui laisse comme seule option le cryptage dans windows ama.

Non, ça n'a pas de sens. Comme je l'ai dit, ce n'est pas un problème
d'utilisateur. Si le but était de ne pas donner aux utilisateurs 1 et 2
accès aux données de Windows, il suffit de ne pas monter la partition
Windows ou de la monter avec le umask à 077.

Effectivement, le cryptage permettait de ne pas y accéder depuis linux, ce
qui correspondait à ce que j'avais compris.

Au temps pour moi :)

Je le répète, crypter les données sous Windows ne permettra plus aux
utilisateurs d'accéder à leurs données sous Linux (ce qui n'est pas voulu)
et en plus ce n'est pas ça qui empêchera à l'utilisateur 1 d'accéder aux
données de l'utilisateur 2 si c'est sa volonté.

M'enfin ? à moins d'avoir le login/mdp de l'utilisateur et d'aller sous
windows à la place de l'autre (à ce moment le point faible est comme souvent
l'homme) je ne vois pas comment relire les données autrement.
Enfin je n'ai pas étudié le cryptage M$, c'est peut-être du xor ?

Sébastien Kirche