Re: [HS] montages NFS, droits et bidouilles
Hello, Le mercredi 16 juin 2010 à 18:05 +0200, Sylvain Sauvage a écrit : giggzounet, mercredi 16 juin 2010, 15:56:24 CEST […] Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non. ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits... Si n’importe quel PC peut monter ton partage NFS, les droits sur ce dernier ne servent à rien (au niveau sécurité). Le root sur le PC qui monte le NFS peut faire ce qu’il veut : il peut s’embêter en créant un utilisateur du bon uid/gid ou simplement tout lire/modifier puisqu’il est root. Non, non... Le root du client NFS peut faire ce qu'il veut sur le serveur si et seulement si dans le /etc/exports du serveur il est spécifié l'option no_root_squash. man 5 exports - User ID Mapping Mais c'est vrai que globalement, NFS pêche en ce qui concerne la sécurité. Bruno -- BRUIT P : T'en as pas marre Maurice ?! Tu peux pas parler d'autre chose que de caca, de crotte, d'excréments !? M : T'as écouté le dernier Lara Fabian ? P : Ouerk ! signature.asc Description: This is a digitally signed message part
Re: [HS] montages NFS, droits et bidouilles
Le 17/06/2010 11:57, Bruno Muller a écrit : Hello, Le mercredi 16 juin 2010 à 18:05 +0200, Sylvain Sauvage a écrit : giggzounet, mercredi 16 juin 2010, 15:56:24 CEST […] Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non. ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits... Si n’importe quel PC peut monter ton partage NFS, les droits sur ce dernier ne servent à rien (au niveau sécurité). Le root sur le PC qui monte le NFS peut faire ce qu’il veut : il peut s’embêter en créant un utilisateur du bon uid/gid ou simplement tout lire/modifier puisqu’il est root. Non, non... Le root du client NFS peut faire ce qu'il veut sur le serveur si et seulement si dans le /etc/exports du serveur il est spécifié l'option no_root_squash. man 5 exports - User ID Mapping Mais c'est vrai que globalement, NFS pêche en ce qui concerne la sécurité. ah ok intéressant. je vais regarder ça de plus pres. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/hvd0fh$be...@dough.gmane.org
Re: [HS] montages NFS, droits et bidouilles
Le 17/06/2010 13:21, giggzounet a écrit : Le 17/06/2010 11:57, Bruno Muller a écrit : Hello, Le mercredi 16 juin 2010 à 18:05 +0200, Sylvain Sauvage a écrit : giggzounet, mercredi 16 juin 2010, 15:56:24 CEST […] Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non. ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits... Si n’importe quel PC peut monter ton partage NFS, les droits sur ce dernier ne servent à rien (au niveau sécurité). Le root sur le PC qui monte le NFS peut faire ce qu’il veut : il peut s’embêter en créant un utilisateur du bon uid/gid ou simplement tout lire/modifier puisqu’il est root. Non, non... Le root du client NFS peut faire ce qu'il veut sur le serveur si et seulement si dans le /etc/exports du serveur il est spécifié l'option no_root_squash. man 5 exports - User ID Mapping Mais c'est vrai que globalement, NFS pêche en ce qui concerne la sécurité. ah ok intéressant. je vais regarder ça de plus pres. j'ai ça comme options dans le /etc/exports : insecure,insecure_locks,rw,sync rw et sync sont clairs. mais les autres j'ai pas tout compris en lisant le man exports... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/hvd0v6$dg...@dough.gmane.org
Re: [HS] montages NFS, droits et bidouilles
Bruno Muller, jeudi 17 juin 2010, 11:57:40 CEST Hello, ’lut, […] tout lire/modifier puisqu’il est root. Non, non... Le root du client NFS peut faire ce qu'il veut sur le serveur si et seulement si dans le /etc/exports du serveur il est spécifié l'option no_root_squash. man 5 exports - User ID Mapping Mauvaise-foi Oui, si tu utilises NFS 3 ou plus, dans NFS 2 (donc avant 1989 ;o), c’est le client qui vérifie l’accès. /Mauvaise-foi Mais c'est vrai que globalement, NFS pêche en ce qui concerne la sécurité. Oui, et la correspondance d’ID n’est pas très fine : – root_squash empêche de tripoter les fichiers de root mais pas ceux des autres ; – all_squash empêche de tripoter tous les fichiers (donc pire que du ro) ; – anon[ug]id supprime l’utilisation des uid/gid pour gérer les droits (vu que tous les clients sont vus sous le même uid/gid). ’fin bon, c’est toujours mieux que d’autres… -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100617133718.3ae2e...@ithil
[HS] montages NFS, droits et bidouilles
Rebonjour, bon encore un HS. mais bon c'est du presque 100% debian... J'ai un NAS netgear. ça tourne sous linux. on peut faire de l'export NFS, du CIFS et du http. et je veux faire les 3 en même temps sur le même répertoire... en local mes 3 pc sous debian se connectent en NFS; ma coloc est sous windows et n'aura qu'un accès en lecture. et de l'extérieur je me connecte sur l'interface http. j'essaye de configurer le NAS de manière à ce que ça marche mais aussi que j'ai un minimum de sécurité donc des droits restreints au max. sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde linux ??? avec les droits 777 je peux évidemment copier ce que je veux via l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user. normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je sens que je vais tout casser. et si je mets 770 je suis coincé par la suite. en gros je suis coincé et je me demandais s'il y avais un moyen de bidouiller l'export NFS au moment du mount : par exemple : sur le NAS mes fichier appartiennent à l'admin je monte l'export NFS il fait une super biouille et je me retrouve avec des fichiers dont le proprio est le user du pc qui fait le montage. Comme ça je peux mettre mes fichier en 640 et les répertoire en 750. Est ce utopique ? :D Merci d'avance Guillaume -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/hvagkk$5h...@dough.gmane.org
Re: [HS] montages NFS, droits et bidouilles
Le Wed, 16 Jun 2010 14:38:44 +0200, giggzounet giggzou...@gmail.com a écrit : ... j'essaye de configurer le NAS de manière à ce que ça marche mais aussi que j'ai un minimum de sécurité donc des droits restreints au max. sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde linux ??? Vi ce sont les usr/grp qui ont le moins de droits possibles sur le système, normalement leur UID GID est à 65534. avec les droits 777 je peux évidemment copier ce que je veux via l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user. normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je sens que je vais tout casser. et si je mets 770 je suis coincé par la suite. Jusqu'à stable, il existe un package (ugidd) chargé de mapper les noms de usr/grp aux UID/GID. Evidemment, ça veut dire qu'il faut que ton NAS soit capable: 1- de créer d'autres utilisateurs, 2- d'installer | activer ugidd, 3- de modifier /etc/hosts.allow|deny pour un minimum de sécurité. en gros je suis coincé et je me demandais s'il y avais un moyen de bidouiller l'export NFS au moment du mount : par exemple : sur le NAS mes fichier appartiennent à l'admin je monte l'export NFS il fait une super biouille et je me retrouve avec des fichiers dont le proprio est le user du pc qui fait le montage. Comme ça je peux mettre mes fichier en 640 et les répertoire en 750. Est ce utopique ? :D Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non. -- The British are coming! The British are coming! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100616150935.38aff...@anubis.defcon1
Re: [HS] montages NFS, droits et bidouilles
Le 16/06/2010 14:38, giggzounet a écrit : Rebonjour, bon encore un HS. mais bon c'est du presque 100% debian... J'ai un NAS netgear. ça tourne sous linux. on peut faire de l'export NFS, du CIFS et du http. et je veux faire les 3 en même temps sur le même répertoire... en local mes 3 pc sous debian se connectent en NFS; ma coloc est sous windows et n'aura qu'un accès en lecture. et de l'extérieur je me connecte sur l'interface http. j'essaye de configurer le NAS de manière à ce que ça marche mais aussi que j'ai un minimum de sécurité donc des droits restreints au max. sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde linux ??? avec les droits 777 je peux évidemment copier ce que je veux via l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user. normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je sens que je vais tout casser. et si je mets 770 je suis coincé par la suite. en gros je suis coincé et je me demandais s'il y avais un moyen de bidouiller l'export NFS au moment du mount : par exemple : sur le NAS mes fichier appartiennent à l'admin je monte l'export NFS il fait une super biouille et je me retrouve avec des fichiers dont le proprio est le user du pc qui fait le montage. Comme ça je peux mettre mes fichier en 640 et les répertoire en 750. Est ce utopique ? :D Merci d'avance Guillaume est il possible de monter des exports cifs en user sans avoir à mettre le suid sur mount.cifs ? Merci -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/hval2m$mp...@dough.gmane.org
Re: [HS] montages NFS, droits et bidouilles
Le 16/06/2010 15:09, Jean-Yves F. Barbier a écrit : Le Wed, 16 Jun 2010 14:38:44 +0200, giggzounet giggzou...@gmail.com a écrit : ... j'essaye de configurer le NAS de manière à ce que ça marche mais aussi que j'ai un minimum de sécurité donc des droits restreints au max. sur le NAS les répertoires partagés sont en 777 avec nobody:nogroup. Est ce que ce nobody et ce nogroup ont des facultés spéciales dans le monde linux ??? Vi ce sont les usr/grp qui ont le moins de droits possibles sur le système, normalement leur UID GID est à 65534. oui dans le /etc/passwd de mon nas c'est bien ça. avec les droits 777 je peux évidemment copier ce que je veux via l'export NFS. J'aimerai mettre par exemple 770 mais les uid/gid me posent problème. en effet sur tous mes pc j'ai 1000:1000 pour mon user. normal quoi. mais malheureusement l'uid 1000 est déjà pris sur le NAS et j'ai pas trop envie de supprimer la conf par défaut du NAS...sinon je sens que je vais tout casser. et si je mets 770 je suis coincé par la suite. Jusqu'à stable, il existe un package (ugidd) chargé de mapper les noms de usr/grp aux UID/GID. Evidemment, ça veut dire qu'il faut que ton NAS soit capable: 1- de créer d'autres utilisateurs, 2- d'installer | activer ugidd, 3- de modifier /etc/hosts.allow|deny pour un minimum de sécurité. intéressant. je vais regarder ça! en gros je suis coincé et je me demandais s'il y avais un moyen de bidouiller l'export NFS au moment du mount : par exemple : sur le NAS mes fichier appartiennent à l'admin je monte l'export NFS il fait une super biouille et je me retrouve avec des fichiers dont le proprio est le user du pc qui fait le montage. Comme ça je peux mettre mes fichier en 640 et les répertoire en 750. Est ce utopique ? :D Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non. ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits... merci -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/hval68$mp...@dough.gmane.org
Re: [HS] montages NFS, droits et bidouilles
Le Wed, 16 Jun 2010 15:54:30 +0200, giggzounet giggzou...@gmail.com a écrit : Non, puisqu'il réside dans /sbin (sudo?) est il possible de monter des exports cifs en user sans avoir à mettre le suid sur mount.cifs ? Merci -- Bank error in your favor. Collect $200. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100616160441.147d5...@anubis.defcon1
Re: [HS] montages NFS, droits et bidouilles
Le Wed, 16 Jun 2010 15:56:24 +0200, giggzounet giggzou...@gmail.com a écrit : C'est un peu le PB de toutes ces appliances: réalisées à la va-vite pour ne pas se faire piquer des ventes par le voisin, mais souvent sans connaissances réelles des besoin utilisateurs, et surtout sans possibilités simples de modifications. ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits... -- Most men would never get laid if it weren't for the pity fuck. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100616160704.00b0e...@anubis.defcon1
Re: [HS] montages NFS, droits et bidouilles
Le 16/06/2010 16:04, Jean-Yves F. Barbier a écrit : Le Wed, 16 Jun 2010 15:54:30 +0200, giggzounet giggzou...@gmail.com a écrit : Non, puisqu'il réside dans /sbin (sudo?) est il possible de monter des exports cifs en user sans avoir à mettre le suid sur mount.cifs ? Merci bon j'ai trouvé un moyen!!! et en plus ça marche! :D dans /etc/fstab : //nom_du_serveur/share /mount_point cifs users,noauto,username=user_cifs,uid=mon_user,gid=mon_group 0 0 ce qui important c'est userS avec un s. si le /mount_point a les droits du user, on peut monter le share sans les droit root et ça c'est bon :D bon reste à voir si c'est aussi rapide que NFS. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/hvanb8$vk...@dough.gmane.org
Re: [HS] montages NFS, droits et bidouilles
Le Wed, 16 Jun 2010 16:33:12 +0200, giggzounet giggzou...@gmail.com a écrit : bon j'ai trouvé un moyen!!! et en plus ça marche! :D dans /etc/fstab : //nom_du_serveur/share /mount_point cifs users,noauto,username=user_cifs,uid=mon_user,gid=mon_group 0 0 ce qui important c'est userS avec un s. Le PB, c'est que cette constante permet à *tous* les users le démontage du share. si le /mount_point a les droits du user, on peut monter le share sans les droit root et ça c'est bon :D bon reste à voir si c'est aussi rapide que NFS. Non, le protocol CIFS induit une chute non-négligeable de la vitesse. -- You will be dead within a year. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100616164032.4d8c6...@anubis.defcon1
Re: [HS] montages NFS, droits et bidouilles
Le 16/06/2010 16:40, Jean-Yves F. Barbier a écrit : Le Wed, 16 Jun 2010 16:33:12 +0200, giggzounet giggzou...@gmail.com a écrit : bon j'ai trouvé un moyen!!! et en plus ça marche! :D dans /etc/fstab : //nom_du_serveur/share /mount_point cifs users,noauto,username=user_cifs,uid=mon_user,gid=mon_group 0 0 ce qui important c'est userS avec un s. Le PB, c'est que cette constante permet à *tous* les users le démontage du share. oui et puis je n'avais pas vu...j'ai le suid sur le mount en lenny... :'( si le /mount_point a les droits du user, on peut monter le share sans les droit root et ça c'est bon :D bon reste à voir si c'est aussi rapide que NFS. Non, le protocol CIFS induit une chute non-négligeable de la vitesse. bon ben je continue de chercher alors. merci -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/hvare2$gs...@dough.gmane.org
Re: [HS] montages NFS, droits et bidouilles
giggzounet, mercredi 16 juin 2010, 15:56:24 CEST […] Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non. ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits... Si n’importe quel PC peut monter ton partage NFS, les droits sur ce dernier ne servent à rien (au niveau sécurité). Le root sur le PC qui monte le NFS peut faire ce qu’il veut : il peut s’embêter en créant un utilisateur du bon uid/gid ou simplement tout lire/modifier puisqu’il est root. C’est un problème de sécurité de NFS : le monteur peut tout faire et il n’y a pas énormément de sécurité sur qui peut être monteur. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100616180510.536fb...@ithil
Re: [HS] montages NFS, droits et bidouilles
Le 16/06/2010 18:05, Sylvain Sauvage a écrit : giggzounet, mercredi 16 juin 2010, 15:56:24 CEST […] Je ne suis pas un spécialiste de NFS, mais il n'est qd même pas aussi insecure que cela (sinon, n'imorte quel user pourrait piquer les fichiers de n'importe qui); c'est le SVR qui impose les UID/GID, donc à priori, c'est non. ben...si pour écrire sur mes export je suis obligé d'être en 777...il suffit qu'un pc viennent et monte le partage nfs...ensutie il a tous les droits... Si n’importe quel PC peut monter ton partage NFS, les droits sur ce dernier ne servent à rien (au niveau sécurité). Le root sur le PC qui monte le NFS peut faire ce qu’il veut : il peut s’embêter en créant un utilisateur du bon uid/gid ou simplement tout lire/modifier puisqu’il est root. C’est un problème de sécurité de NFS : le monteur peut tout faire et il n’y a pas énormément de sécurité sur qui peut être monteur. ah oui tiens...c'est vrai...j'avais jamais vu les choses comme ça :D donc en fait on s'en fout qu'il y ait de droit 700 ou 777 puisque de toute façon le monteur peut le modifier... bon ben je me coucherai moins bete ce soir...un peu plus emmerdé mais moins bete. bye -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/hvaue2$si...@dough.gmane.org