Re: NFS setuid / setgid
On Sat, 24 Aug 2002 12:28:28 +0200 Antoine Jacoutot [EMAIL PROTECTED] wrote: Bonjour à tous ! Est-il possible avec un partage NFS de forcer le uid/gid des fichiers/dossiers créés (comme avec samba et les options force user et force group) ? En gros, j'aimerais que sur un partage NFS public sur un réseau, lorsqu'un utilisateur crée/modifie un fichier, celui-ci soit setuid root, setgid netusers et chmod 775. Avec un truc pareil tu cours à la catastrophe. Tu devrais réfléchir aux implications en terme de sécurité de ce que tu souhaites faire et je te grantis que tu change d'avis en moins de 3 secondes. Bon, évidemment ça ne répond pas à ta question ;) J'ai regardé l'option squash (pour le fichier /etc/exports) mais visiblement, ça ne fait pas ce que je veux. Ce qui fait ce que tu veux, c'est le all_squash : toute personne écrivant un fichier dans ton répertoire nfs le fera avec le même uid/gid (anonyme par défaut) Tu peux changer l'uid/gid anonyme utilisé et peut-être mettre un truc de ce genre : /export_de_fou (rw,all_squash,anonuid=0,anongid=X) avec X l'uid de ton group netusers, mais je suis pas sûr que le serveur nfs te laisse faire la connerie en question. Mais franchement c'est exposer le serveur nfs et les machines clientes à des tas de problèmes potentiels, surtout s'il y a des petits blagueurs sur ton réseau, tu devrais peut-être exposer les raisons de ce choix, il y a peut-être d'autres solution à ton problème ... -- Davy Gigan System Network Administration [Please no HTML, I'm not a browser] University Of Caen (France) [Pas d'HTML, je ne suis pas un navigateur]
Re: NFS setuid / setgid
Selon Davy Gigan [EMAIL PROTECTED]: On Sat, 24 Aug 2002 12:28:28 +0200 Antoine Jacoutot [EMAIL PROTECTED] wrote: Bonjour à tous ! Est-il possible avec un partage NFS de forcer le uid/gid des fichiers/dossiers créés (comme avec samba et les options force user et force group) ? En gros, j'aimerais que sur un partage NFS public sur un réseau, lorsqu'un utilisateur crée/modifie un fichier, celui-ci soit setuid root, setgid netusers et chmod 775. Avec un truc pareil tu cours à la catastrophe. Tu devrais réfléchir aux implications en terme de sécurité de ce que tu souhaites faire et je te grantis que tu change d'avis en moins de 3 secondes. Bon, évidemment ça ne répond pas à ta question ;) J'ai regardé l'option squash (pour le fichier /etc/exports) mais visiblement, ça ne fait pas ce que je veux. Ce qui fait ce que tu veux, c'est le all_squash : toute personne écrivant un fichier dans ton répertoire nfs le fera avec le même uid/gid (anonyme par défaut) Tu peux changer l'uid/gid anonyme utilisé et peut-être mettre un truc de ce genre : /export_de_fou (rw,all_squash,anonuid=0,anongid=X) avec X l'uid de ton group netusers, mais je suis pas sûr que le serveur nfs te laisse faire la connerie en question. Mais franchement c'est exposer le serveur nfs et les machines clientes à des tas de problèmes potentiels, surtout s'il y a des petits blagueurs sur ton réseau, tu devrais peut-être exposer les raisons de ce choix, il y a peut-être d'autres solution à ton problème ... -- merci, je vais essayer avec all_squash. Pour info, ce partage est un partage public de chez public pour que les utilisateurs échangent rapidement des fichiers via ce partage... en gros, tout ce qui transite dessus n'est pas important et tout peut être supprimé à n'importe quel moment sans aucune conséquence; ce n'est pas un partage pour stocker les fichiers, mais bien pour se faire des échanges et autres... Merci pour l'info. @+ Antoine
Re: NFS setuid / setgid
On Sat, 24 Aug 2002 13:15:27 +0200 Antoine Jacoutot [EMAIL PROTECTED] wrote: /export_de_fou (rw,all_squash,anonuid=0,anongid=X) avec X l'uid de ton group netusers, mais je suis pas sûr que le serveur nfs te laisse faire la connerie en question. Mais franchement c'est exposer le serveur nfs et les machines clientes à des tas de problèmes potentiels, surtout s'il y a des petits blagueurs sur ton réseau, tu devrais peut-être exposer les raisons de ce choix, il y a peut-être d'autres solution à ton problème ... -- merci, je vais essayer avec all_squash. Oui, et vu ce que tu dis ci-dessous, il ne sert à rien de mettre l'uid de root à tous tes fichiers (et encore moins le setuid bit), en mettant toutes les requêtes pour anonymous, cela devrait aller, et même si un utilisateur a un umask différent des autres, c'est pas grave, vu que les ordres de lecture/ecriture sont interprétés comme venant du propriétaire du fichier, tout le monde pourra lire/ecrire des données. Au fait, je pense t'avoir mal compris quand tu disais vouloir mettre les fichiers setuid root, j'ai compris le bit 's', je suppose (vu ce que tu ecris ci dessous) que c'était juste l'uid. Le danger de faire des fichiers possédés par root et avec le bit 's', c'est qu'un client aurait pu exécuter des programmes malfaisant copiés par un autre client. Pour info, ce partage est un partage public de chez public pour que les utilisateurs échangent rapidement des fichiers via ce partage... en gros, tout ce qui transite dessus n'est pas important et tout peut être supprimé à n'importe quel moment sans aucune conséquence; ce n'est pas un partage pour stocker les fichiers, mais bien pour se faire des échanges et autres... Merci pour l'info. De rien. -- Davy Gigan System Network Administration [Please no HTML, I'm not a browser] University Of Caen (France) [Pas d'HTML, je ne suis pas un navigateur]
Re: NFS setuid / setgid
Oui, et vu ce que tu dis ci-dessous, il ne sert à rien de mettre l'uid de root à tous tes fichiers (et encore moins le setuid bit), en mettant toutes les requêtes pour anonymous, cela devrait aller, et même si un utilisateur a un umask différent des autres, c'est pas grave, vu que les ordres de lecture/ecriture sont interprétés comme venant du propriétaire du fichier, tout le monde pourra lire/ecrire des données. Au fait, je pense t'avoir mal compris quand tu disais vouloir mettre les fichiers setuid root, j'ai compris le bit 's', je suppose (vu ce que tu ecris ci dessous) que c'était juste l'uid. Le danger de faire des fichiers possédés par root et avec le bit 's', c'est qu'un client aurait pu exécuter des programmes malfaisant copiés par un autre client. -- oulala ! non, pas de bit 's', juste le propriétaire du fichier est root... En tout cas, ça marche niquel, je te remercie beaucoup pour cette réponse rapide et claire (j'avais pas bien compris tout ce que je pouvais faire avec cette option squash). @+ Antoine