Samba et sécurité des données

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Samba et sécurité des données

Messagepar FIGARD » 01 Fév 2006 10:08

Bonjour,

J'ai un serveur sous Linux avec samba pour le partage des fichiers. Une appli commerciale installée sur chaque poste client fait appel à une base de données access (fichiers mdb) partagée par Samba. Est-il possible d'empecher la copie du repertoire et des fichiers de cette base access sans empecher le fonctionnement de l'appli ?

Merci de m'aider
FIGARD
Matelot
Matelot
 
Messages: 8
Inscrit le: 12 Jan 2006 11:16

Messagepar jdh » 01 Fév 2006 11:10

Pour qu'Access accède à une autre base Access sur un partage (Windows ou Samba), il faut un accès en "lecture/ecriture".

Il me semble donc impossible d'empecher la copie ! De mémoire il n'existe pas de "droit à la copie". Quand bien même, un petit malin ecrirait un pbm de lecture en binaire (10 lignes de basic).

Le seul moyen d'empecher une copie serait que la base Access contenant les données n'existe pas !!

On peut penser à mettre les données dans une base de données de type SQL Server ou MySQL (ça fonctionne très bien avec Access). Mais cela ne sécurisera pas plus, car il est assez simple de créer une base Access qui utilise le driver vers la base SQL exactement comme le lien entre bases Access.

Le seul moyen (un peu plus) efficace de sécuriser est que le pgm ne soit accédé qu'à distance : une appli web dont le serveur web est seul autorisé à accéder au serveur SQL. Toutefois un petit malin peut aussi générer des "wget" automatique et réassembler les données !! (il m'est arrivé de le faire !)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar FIGARD » 01 Fév 2006 12:32

Merci pour ta réponse JDH mais, je ne peux malheureusement pas penser à transformer l'application dont je parle, ce n'est pas une appli développé en interne mais un produit API. Je n'ai donc pas les sources me permettant de changer les appels à la bdd.
Je me doutais qu'il n'y avait pas de possibilité de mettre des droits à la copie. Mais n'y a t il pas un moyen pour empecher la copie de données sans forcement passer par samba. Je pense plutot a une solution avec quota de transfert de données ou quelque chose comme ça.

Ceci étant, j'imagine assez facilement qu'il n'y a pas vraiment de moyen tres fiable, mais les opérateurs suceptible de faire cela non pas de cométence informatique. Il serait simplement intéressant de complique un peu la tache du simple copier coller du fichier BDD vers une clefs USB, permettant de "voler" tres facilement le fichier client...
FIGARD
Matelot
Matelot
 
Messages: 8
Inscrit le: 12 Jan 2006 11:16

Messagepar jdh » 01 Fév 2006 13:02

De mémoire, Novell disposait de ce "droit de copie" (en version 3.x). Cela était bien sur lié au client qui prenait en compte ce droit quand le PC client lancait la commande de copie.

Mais sous CIFS, ce droit n'existe pas ... (je peux me tromper)

Dans les entreprises, il s'agit d'un vrai problème : peut-on permettre les clés USB sur les PC et portables fournis aux salariés des entreprises ? (peut-on leur permettre de graver des données ?) Avec l'USB2, il suffit de quelques minutes pour copier des gigas de données de l'entreprise.

Seul des mesures à postériori peuvent être posées : l'audit. On peut stocker les utilisateurs qui accèdent à une ressource (nom, ip source, date, heure). C'est simple à mettre en oeuvre sur Windows. Ce ne doit pas être plus compliqué sous Samba. Mais il faut ensuite contrôler ce fichier d'audit ....
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar FIGARD » 01 Fév 2006 13:34

Merci pour ta réponse pertinente.

Qui sait, je pense que ce problème est récurrent, peut-être un développeur acharné nous pondera une solution sur ce sujet ;)

En ce qui me concerne, je pense que je vais me pencher sur les solutions que tu viens de proposer...
FIGARD
Matelot
Matelot
 
Messages: 8
Inscrit le: 12 Jan 2006 11:16

Messagepar iraysyvalo » 01 Fév 2006 15:45

Ce n'est pas possible. La possibilite de lecture est le debut de toute possibilite de copie. On peut rendre plus ou moins difficile cette derniere mais au detriment de l'utilisabilite de ce pourquoi on a donne la possibilite de lecture en premier lieu.
Bottom line
Avatar de l’utilisateur
iraysyvalo
Major
Major
 
Messages: 81
Inscrit le: 21 Déc 2003 01:00


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron