« Discussion:Gestion des ACL » : différence entre les versions

De Lea Linux
Aller à la navigation Aller à la recherche
(→ Mike-m)
m (Attention : la sécurité peut être mise à mal)
 
(2 versions intermédiaires par 2 utilisateurs non affichées)
Ligne 4 : Ligne 4 :
::petite remarque, on dit aussi bien "un gui" que "une gui" (google référence des milliers de page pour ces deux expressions), personnellement je suis un partisant du "une gui" car interface c'est un mot féminin --[[Utilisateur:Mike-m|Mike-m]] 28 oct 2005 à 05:24:46 (CEST)
::petite remarque, on dit aussi bien "un gui" que "une gui" (google référence des milliers de page pour ces deux expressions), personnellement je suis un partisant du "une gui" car interface c'est un mot féminin --[[Utilisateur:Mike-m|Mike-m]] 28 oct 2005 à 05:24:46 (CEST)
:::J'avais entre temps changé tous mes ''un ACL'' en ''une ACL''. [[Utilisateur:Vincent Ramos|Vincent Ramos]] 28 oct 2005 à 11:11 (CEST)
:::J'avais entre temps changé tous mes ''un ACL'' en ''une ACL''. [[Utilisateur:Vincent Ramos|Vincent Ramos]] 28 oct 2005 à 11:11 (CEST)
je n'est pas trouver l'option "recursive"
elle a existé juque au environ de 2001-2002 pas plus de doc a jour dessus
aurais t'il un autre moyen
merci
== Merci + problème ==
Bonjour
Merci pour cet article très intéressant et très clair.
J'ai essayé de mettre en oeuvre cette technique pour des dossiers partagés entre plusieurs utilisateurs. Je ne comprend cependant pas comment autoriser un utilisateur à rentrer dans des dossiers sans lui donner le droit d'exécuter les fichiers (comme des photos par exemple).
sudo setfacl  -Rm u:laurent:rwx /mnt/share_photos/2007 : permet d'entrer dans les sous-dossiers, mais affecte aussi les fichiers.
Peut-on juste apporter le x aux dossiers et pas aux fichiers ?
== Attention : la sécurité peut être mise à mal ==
La sécurité peut être mise à mal
Sur un serveur relié à un domaine Windows (via samba), les utilisateurs vont avoir, en général, comme groupe par défaut le groupe "Utilisa. du domaine".
Si un utilisateur crée un fichier, celui-ci va être de la forme suivante :
-rw-rwx---+ 1 eric.quinton Utilisa. du domaine 0 mai 20 16:42 essai
getfacl essai
"# file: essai
"# owner: eric.quinton
"# group: Utilisa.\040du\040domaine
user::rw-
group::rwx
group:MSI:rwx
mask::rwx
other::---
Tout utiilsateur appartenant au groupe ’Utilisa. du domaine’ va pouvoir le modifier, si on a laissé les droits par défaut ou si on a juste créé des acls complémentaires, même si l’utilisateur ne fait pas partie des droits attribués via les acls...
Pour éviter ce trou de sécurité, il faut supprimer les droits par défaut sur le groupe par défaut ! La solution est assez simple :
setfacl -R -m g::- /opt
setfacl -R -m d:g::- /opt
La lettre g permet d’indiquer qu’on travaille sur un groupe, le nom du groupe laissé à vide permet d’indiquer que l’on s’intéresse au groupe par défaut. Pour supprimer les droits, il faut utiliser le caractère -, sinon le système ne prend pas en compte la demande.

Dernière version du 1 octobre 2008 à 13:28

Petite question: ne devrait-on pas dire "une ACL" vue qu'il s'agit d'une liste de contrôle d'accès ? Fred

Je me suis posé la question : vu qu'il s'agit d'un(e) Acces Control List et qu'il n'y a pas de genre en anglais (dans ce cas de figure-là), il n'y a pas de réponse toute faite, à moins de se dire qu'on va l'utiliser au féminin parce qu'il y a un lien évident qu'on peut faire entre List et liste.
Dans ce cas, c'est un choix qui ne repose sur rien de grammatical mais sur une impression d'euphonie. Si le féminin te semble plus compréhensible, il n'y a qu'à changer. Vincent Ramos 26 oct 2005 à 11:24 (CEST)
petite remarque, on dit aussi bien "un gui" que "une gui" (google référence des milliers de page pour ces deux expressions), personnellement je suis un partisant du "une gui" car interface c'est un mot féminin --Mike-m 28 oct 2005 à 05:24:46 (CEST)
J'avais entre temps changé tous mes un ACL en une ACL. Vincent Ramos 28 oct 2005 à 11:11 (CEST)

je n'est pas trouver l'option "recursive"

elle a existé juque au environ de 2001-2002 pas plus de doc a jour dessus

aurais t'il un autre moyen

merci

Merci + problème

Bonjour

Merci pour cet article très intéressant et très clair.

J'ai essayé de mettre en oeuvre cette technique pour des dossiers partagés entre plusieurs utilisateurs. Je ne comprend cependant pas comment autoriser un utilisateur à rentrer dans des dossiers sans lui donner le droit d'exécuter les fichiers (comme des photos par exemple).

sudo setfacl -Rm u:laurent:rwx /mnt/share_photos/2007 : permet d'entrer dans les sous-dossiers, mais affecte aussi les fichiers.

Peut-on juste apporter le x aux dossiers et pas aux fichiers ?

Attention : la sécurité peut être mise à mal

La sécurité peut être mise à mal

Sur un serveur relié à un domaine Windows (via samba), les utilisateurs vont avoir, en général, comme groupe par défaut le groupe "Utilisa. du domaine".

Si un utilisateur crée un fichier, celui-ci va être de la forme suivante :

-rw-rwx---+ 1 eric.quinton Utilisa. du domaine 0 mai 20 16:42 essai

getfacl essai

"# file: essai

"# owner: eric.quinton

"# group: Utilisa.\040du\040domaine

user::rw-

group::rwx

group:MSI:rwx

mask::rwx

other::---


Tout utiilsateur appartenant au groupe ’Utilisa. du domaine’ va pouvoir le modifier, si on a laissé les droits par défaut ou si on a juste créé des acls complémentaires, même si l’utilisateur ne fait pas partie des droits attribués via les acls...

Pour éviter ce trou de sécurité, il faut supprimer les droits par défaut sur le groupe par défaut ! La solution est assez simple :

setfacl -R -m g::- /opt

setfacl -R -m d:g::- /opt

La lettre g permet d’indiquer qu’on travaille sur un groupe, le nom du groupe laissé à vide permet d’indiquer que l’on s’intéresse au groupe par défaut. Pour supprimer les droits, il faut utiliser le caractère -, sinon le système ne prend pas en compte la demande.