PhenIXUS

[jibe]

Salut,

Il est vrai que j'ai répondu un peu vite dans mon dernier post : je me suis assuré que la modif proposée fasse bien ce qu'elle est censée faire en respectant l'esprit SME, mais j'ai complètement zappé la réponse au besoin

Vrai aussi qu'en restant strictement dans les droits Linux, le besoin ne peut pas être satisfait !

La solution de sibsib me semble intéressante. Et comme l'ibay n'est probablement partagée que sur le LAN et que via Samba, je pense que la sécurité n'est pas très importante et donc la solution acceptable.

[sibsib]

Merci Jibé, je me sens moins seul !!!!!

Bref, vous avez sans doute compris que ce truc m'agace un peu prodigieusement - c'est comme çà qu'on fait avancer le Schmilblick !

Il y avait un truc qui me gênait dans la conf précédente, c'est que tout nouvel ajouté dans le groupe de l'I-bay avait par défaut le droit lecture et écriture, il fallait une action spécifique pour le passer en lecture seule.

J'ai donc commis une templatisation qui va dans l'autre sens :

Sans paramètre spécifique ajouté à l'Ibay (ou avec ce paramètre vide), le comportement est classique.

En ajoutant un paramètre WriteList à l'ibay, seuls les users ou les groupes précisés pourront écrire, les autre ne pourront que lire.

Voici le template à créer, en le nommant forcément 20writable dans le dossier /etc/e-smith/templates-custom/etc/smb.conf/ibays/

On fait cela ainsi :

Code : Tout sélectionner

mkdir -p /etc/e-smith/templates-custom/etc/smb.conf/ibays/
vi (remplacer vi par votre éditeur favori) /etc/e-smith/templates-custom/etc/smb.conf/ibays/20writable

Et là, copier coller de ceci :

Code : Tout sélectionner

{
    # heavily modified by PS to include the avaliability
    # to modulate RO and RW access on a single ibay
    # the key is to set the ibay as SAMBA writable = no,
    # then to use the samba 'write list' funct to
    # set the users and groups allowed to write
    # Ver 0.1 PS 2012-04-29
    if ( ($ibay->prop('WriteList') || '') ne '') {
        my @accs = split (/,/, $ibay->prop('WriteList'));
        # admin ever has the write access
        my $write = "admin";

        use esmith::AccountsDB;
        my $accounts = esmith::AccountsDB->open_ro;
        my $comment = '';
        foreach my $acc (@accs) {
            my $account = $accounts->get($acc);
            if ( $account ) {
                my $tpe = $account->prop('type');
                if ( $tpe eq 'user'  ) { $write .= ", $acc" }
                elsif ( $tpe eq 'group' ) { $write .= ", \@$acc" }
                else { $comment .= "# $acc type $tpe not allowed "; }
            }
            else {
                $comment .= "# $acc not in accounts DB ";
            }
        }
        $OUT .= "writable = no\n";
        $OUT .= "$comment\n";
        $OUT .= "write list = $write\n";
    }
    else {
        $OUT .= "writable = yes\n";
    }
}

Ce changement n'est évidemment à réaliser qu'une seule fois !

Après, pour paramétrer une i-bay spécifique, il faut :
* D'abord la créer via le manager, en mode lecture groupe - écriture groupe
* bien penser à désactiver ftp et cgi (parce que sinon, je pense qu'on rentre dans un problème de droits)
en ligne de commande, en étant root
Si on souhaite sur l'ibay 'dossierspeciaux' autoriser uniquement le compte boss et le groupe flic a écrire, alors

Code : Tout sélectionner

db accounts setprop dossierspeciaux WriteList boss,flic

Pour la prise en compte des changements :

Code : Tout sélectionner

expand-template /etc/smb.conf
service smb restart

A prendre comme un bricolage de dimanche après-midi pluvieux, il doit rester quelques tests à faire !

A+,
Pascal

[jibe]

Salut,

Intéressant !

Sans faire de tests pour bien comprendre le fonctionnement, j'ai un peu de mal à imaginer ce qui pourrait se passer (ou plutôt comment on pourrait faire) si on a par exemple un site web hébergé ou d'autres ibays utilisées de manière plus "classique".

Peut-être que c'est impossible ou déconseillé : après tout, on ne peut pas avoir le beurre et l'argent du beurre ! Mais je n'en suis pas si sûr...

[sibsib]

Hello,

Je ne pense pas que mon petit template puisse avoir un effet ailleurs qu'au sein de l'ibay spécifiquement modifiée !

Le truc, c'est qu'on crée une ibay en mode RW au sens Linux, et que, via Samba, on réduit ces droit à RO pour certains utilisateurs. Si on donne un accès par exemple FTP à ces mêmes utilisateurs sur cette même i-bay, alors ces utilisateurs pourront modifier des fichiers par FTP, et samba n'y pourra rien.
En mode CGI, si un script autorise l'upload, ce sera je pense la même punition.
Mais toujours au sein de l'i-bay pour laquelle on a activé l'option WriteList.

Aucun impact hors de ce périmètre.

Je dirais que techniquement, le jeu me parait valable. Selon le contexte (dans ce cas, modifications possibles de données personnelles), chaque admin modulera en fonction de ses contraintes et convictions.

A+,
Pascal

[jibe]

Salut,

Bon, j'ai souvent du mal à comprendre sans expérimenter, et c'est peut-être le cas ici. Si mes questions sont idiotes, laisse tomber : je ferai des essais quand j'aurai le temps. Mais au cas où ça te semblerait intéressant de plus détailler, j'expose plus en détails ce qui me chagrine.

Si j'ai bien compris ton template, il fait en sorte que toute nouvelle ibay (est-ce là que je n'ai rien compris ?) soit créée en mode RW et limitée en RO par samba. Ensuite, à coup de db accounts setprop, on donne les droits d'écriture à qui on veut.

Et c'est là que je me pose des questions : Si je veux une ibay pour héberger un site web, je vais naturellement vouloir que le public ne puisse pas y écrire, mais en fait elle va se retrouver en RW au niveau Linux...

J'ai tout faux ?

[unnilennium]

beau montage Sibsib.

L'Alternative reste l'usage des ACL comme le fait la contribs shared folder, je n'ai toujours spas compris pourquoi elle n'a pas été utilisée.

attention toutefois a faire un script pour configurer les ACL, car il existe pas de système de sauvegarde a ma connaissance qui soit capable de restaurer les droits ACL

[sibsib]

Hello,

Salut,
Si j'ai bien compris ton template, il fait en sorte que toute nouvelle ibay (est-ce là que je n'ai rien compris ?) soit créée en mode RW et limitée en RO par samba. Ensuite, à coup de db accounts setprop, on donne les droits d'écriture à qui on veut.

non, non, non

Tu peux mettre mon template sans risque sur une SME, par défaut, il ne fait rien !

C'est uniquement si on a jouté la propriété WriteList pour une ibay spécifique qu'il change de comportement, pour cette ibay là uniquement.

A+,
Pascal

[sibsib]

Hello,

beau montage Sibsib.

Merci

L'Alternative reste l'usage des ACL comme le fait la contribs shared folder, je n'ai toujours spas compris pourquoi elle n'a pas été utilisée.

attention toutefois a faire un script pour configurer les ACL, car il existe pas de système de sauvegarde a ma connaissance qui soit capable de restaurer les droits ACL

Je ne connais pas cette contrib, et je n'étais pas à l'origine de la requête Il faudrait que j'aille voir la bête.

Merci pour l'info, que tu avais sans doute déjà donné, mais que j'ai laissé passer.

A+,
Pascal

[unnilennium]

oui en effet je l'avait soulignée , mais l'auteur du fil disait qu'il n'Arrivait pas a la faire fonctionner.
surement du fait qu'il faut s'Assurer que les ACL sont actifs sur les disques montés

[jibe]

Salut,

Tu peux mettre mon template sans risque sur une SME, par défaut, il ne fait rien !

C'est uniquement si on a jouté la propriété WriteList pour une ibay spécifique qu'il change de comportement, pour cette ibay là uniquement.

Ah, Ok... Mauvaise interprétation du code de ma part, apparemment ! Désolé pour le bruit