Droits d'accès qui saute

[Nobattosai]

Bonjour à tous.
J'ai le problème suivant sur mon serveur Samba: les droits d'accès que j'attribus aux partages n'arrrêtent pas de s'enlever, et ce environs toutes les demi heures.
Sur chaque dossier je voudrais que seul ce qui crée un dossier ou un fichier et ceux appartenant à son groupe puisse accéder aux dossiers.

Je tape donc chmod 770 nom_du_dossier, qui si je ne me trompe pas est l'équivalent de chmod ug+rwx nom_du_fichier

Dites moi si ma commande est érroné... quoique je ne pense pas puisque sur certains autres les droits sont bien appliqués.
J'utilise une Mandrake 9.1

Merci d'avance pour vos renseignement.

[braouazou]

Salut

De mémoire, Mandrake inclut certains patchs de sécurité, dont les options sont déterminées par le niveau de sécurité golbal fixé dans le centre de contrôle.
Je ne me souviens plus du nom du patch qui est vu comme un potentiel remplaçant de grsecurity et qui contient des scripts cron rétablissant les permissions des fichiers et dossiers qu'il considère trop "permissives".

Je ne sais pas comment cela se configure, ni quelles sont les options exactes, mais en fouillant dans les divers scripts cron, tu devrais trouver facilement.
Il me semble par ailleurs que des questions avaient déjà été posées ici même, les réponses se trouvent peut être dans ces messages...
@++

[Jacques-]

Le script en question s'appelle msec (mandrake security).
Il remet effectivement les autorisations d'accès aux valeurs permises dans le niveau de sécurité choisi.

Il y a une page quelque part sur le site de doc de mandriva qui explique les actions en fonction des différents niveaux.
De toute façon, quand msec modifie quelque chose, la trace est dans le fichier de log /var/log/messages (visibles dans le mcc).

Jacques

[Nobattosai]

Merci à tous les deux. Si je peux abuser de votre temps j'aimerai savoir si vous savez dans quel crontab ce situe msec. Car il n'apparaît pas dans celle de l'utilisateur root.

[Jacques-]

Le fichier script est situé dans /etc/cron.daily (c'est un lien vers /usr/share/msec/security.sh).
Toutes les taches listés dans les répertoires /etc/cron* sont traités selon la nature du répertoire (daily, weekly, monthly).

Jacques

[Nobattosai]

Merci Jacques. J'ai pu m'en arranger. En fait en lançant le panneau de config de mandrake, il est possible de configurer le comportement de msec.

Merci.

[Nobattosai]

J'ai une derniere question qui concerne l'attribution de droit, (j'ai préféré ne pas ouvrir un nouveau poste étant donné, que c'est dans la continuité...).

Lorsque mes utilisateurs créent des fichiers, ceux-ci prennent pour groupe le nom d'utilisateur de la personne qui l'a crée, au lieu de prendre le groupe d'appartenance de l'utilisateur...

Idest: si l'utilisateur toto, qui appartient au groupe: footeux, crée un fichier ou un repertoire, celui-ci prend pour attributs créateur: toto
groupe toto.

Résultats les membres du groupe fouteux n'y ont pas accès.

Comment faire pour que le fichier créer ait pour attributs: créateur: toto groupe: fouteux?

[tomtom]

c'est le groupe primaire qui est utilisé....

Si la création se fait avec toto:toto, c'est que le groupe primaire de toto est... toto !
(tu peux le verifier avec la commande id).

Apres, toto peut appartenir à plusieurs groupes...

t.

[Nobattosai]

C'est justement là le hic... les groupes primaires sont les bons.
J'y avais songé en premier lieu et avait reconfiguré chaque compte utilisateur à l'aide de usermod.
usermod toto -g le_groupe_primaire -G les_groupes_secondaire nom_utilisateur
Le comportement est toujours le même...

[tomtom]

C'est très bizarre..

Tu t'es bien délogué/relogué apres modification des users ?

Verifie le groupe principal avec la commande id.

Je viens de faire le test et je peux te confirmer que suir mandrake 10.0 et debian ultra64 le groupe du créateur est bien le groupe principal de l'utilisateur !

t.

[cf]

Si cela ne résout pas ton problème, peut-être il y a-t-il moyen de s'en tirer avec umask?

cf

[tomtom]

Bah, umask indique quels droit positionner sur les fichiers créés, mais justement les droits du groupe s'appliquent au groupe primaire de l'utilisateur....

Du reste, je ne vois pas quel autre groupe ce pourrait être ! Comment choisir entre tous les groupes auquel appartient l'utilisateur ?

t.

[Nobattosai]

hmmm , je vais regarder dans les options de samba, peut etre que le soucis viens de là....
Mais bon c'est bizarre, j'en saurais plus ce soir, en lisant les options de Samba.

[cf]

Bah, umask indique quels droit positionner sur les fichiers créés, mais justement les droits du groupe s'appliquent au groupe primaire de l'utilisateur....

Du reste, je ne vois pas quel autre groupe ce pourrait être ! Comment choisir entre tous les groupes auquel appartient l'utilisateur ?

t.

Salut tomtom

Dans le cas d'une parition (fstab), on peut par exemple spécifier:
umask=xxx,uid=xxx,gid=xxx

gid peut être n'importe quel groupe, non?
Après, je ne sais pas si on peut appliquer un truc équivalent sous Samba.


cf

[edit]
J'ai une idée:
si tu mets un dossier en bit gid, les fichiers qui seront crées à l'intérieur hériteront du groupe auquel appartient le dossier, non pas celui de l'user qui les créer, non?
[/edit]

[tomtom]

Dans le cas d'une parition (fstab), on peut par exemple spécifier:
umask=xxx,uid=xxx,gid=xxx

gid peut être n'importe quel groupe, non?
Après, je ne sais pas si on peut appliquer un truc équivalent sous Samba.

Ca depend du type de la partition

Mais en général, cela force le propriétaire et le groupe de tous les fichiers de la partition (ouch )
Cela permet par exemple de donner des accès en ecriture à un user sur un montage alors que l'on fait le montage en root.
Après, on peut aussi specifier un umask mais encore une fois ce ne sont que des permissions par defaut pour les nouveaux fichiers créés, et elles dépendent du user qui crée le fichier....

Pour le problème de nobattosai, je n'avais pas fait attention au fait que l'on est sous samba, il doit y avoir un paramètre qui fixe le umask effectivement dans le smb.conf, il fixe peut-etre egalement les users et groupe utilisés pour l'ecriture... Un tour dans la manpage devrait renseigner sur ce point !



t.