Samba et sécurité des données

[FIGARD]

Bonjour,

J'ai un serveur sous Linux avec samba pour le partage des fichiers. Une appli commerciale installée sur chaque poste client fait appel à une base de données access (fichiers mdb) partagée par Samba. Est-il possible d'empecher la copie du repertoire et des fichiers de cette base access sans empecher le fonctionnement de l'appli ?

Merci de m'aider

[jdh]

Pour qu'Access accède à une autre base Access sur un partage (Windows ou Samba), il faut un accès en "lecture/ecriture".

Il me semble donc impossible d'empecher la copie ! De mémoire il n'existe pas de "droit à la copie". Quand bien même, un petit malin ecrirait un pbm de lecture en binaire (10 lignes de basic).

Le seul moyen d'empecher une copie serait que la base Access contenant les données n'existe pas !!

On peut penser à mettre les données dans une base de données de type SQL Server ou MySQL (ça fonctionne très bien avec Access). Mais cela ne sécurisera pas plus, car il est assez simple de créer une base Access qui utilise le driver vers la base SQL exactement comme le lien entre bases Access.

Le seul moyen (un peu plus) efficace de sécuriser est que le pgm ne soit accédé qu'à distance : une appli web dont le serveur web est seul autorisé à accéder au serveur SQL. Toutefois un petit malin peut aussi générer des "wget" automatique et réassembler les données !! (il m'est arrivé de le faire !)

[FIGARD]

Merci pour ta réponse JDH mais, je ne peux malheureusement pas penser à transformer l'application dont je parle, ce n'est pas une appli développé en interne mais un produit API. Je n'ai donc pas les sources me permettant de changer les appels à la bdd.
Je me doutais qu'il n'y avait pas de possibilité de mettre des droits à la copie. Mais n'y a t il pas un moyen pour empecher la copie de données sans forcement passer par samba. Je pense plutot a une solution avec quota de transfert de données ou quelque chose comme ça.

Ceci étant, j'imagine assez facilement qu'il n'y a pas vraiment de moyen tres fiable, mais les opérateurs suceptible de faire cela non pas de cométence informatique. Il serait simplement intéressant de complique un peu la tache du simple copier coller du fichier BDD vers une clefs USB, permettant de "voler" tres facilement le fichier client...

[jdh]

De mémoire, Novell disposait de ce "droit de copie" (en version 3.x). Cela était bien sur lié au client qui prenait en compte ce droit quand le PC client lancait la commande de copie.

Mais sous CIFS, ce droit n'existe pas ... (je peux me tromper)

Dans les entreprises, il s'agit d'un vrai problème : peut-on permettre les clés USB sur les PC et portables fournis aux salariés des entreprises ? (peut-on leur permettre de graver des données ?) Avec l'USB2, il suffit de quelques minutes pour copier des gigas de données de l'entreprise.

Seul des mesures à postériori peuvent être posées : l'audit. On peut stocker les utilisateurs qui accèdent à une ressource (nom, ip source, date, heure). C'est simple à mettre en oeuvre sur Windows. Ce ne doit pas être plus compliqué sous Samba. Mais il faut ensuite contrôler ce fichier d'audit ....

[FIGARD]

Merci pour ta réponse pertinente.

Qui sait, je pense que ce problème est récurrent, peut-être un développeur acharné nous pondera une solution sur ce sujet

En ce qui me concerne, je pense que je vais me pencher sur les solutions que tu viens de proposer...

[iraysyvalo]

Ce n'est pas possible. La possibilite de lecture est le debut de toute possibilite de copie. On peut rendre plus ou moins difficile cette derniere mais au detriment de l'utilisabilite de ce pourquoi on a donne la possibilite de lecture en premier lieu.