[gull] Restreindre les droits des utilisateurs

Félix Hauri felix at f-hauri.ch
Sat Oct 3 11:16:37 CEST 2009


On Fri, Oct 02, 2009 at 11:07:12AM +0200, Philippe Ney wrote:
> Bonjour,
> 
> Sur le système, l'accès en lecture est autorisé pour tout le monde.
> Ce qui est obligé si l'on veut qu'un utilisateur puisse se connecter
> et travailler.
Oui

> La protection par obscurcissement n'est pas la solution, mais il peut
> arriver qu'un client soit gêné par le fait que les utilisateurs puissent
> voir quelle est la structure de la machine.
Bof...

> Dans ce cas je pensais restreindre les droits en empêchant simplement
> les utilisateurs de lister le contenu de / et de /home. Ce qui devrait
> suffir pour des utilisateurs non-avertis.
Oui, cela se fait (pour / je ne suis pas sûr, mais pour /home, c'est
une pratique courrante)

# chmod 711 /home

Et pour ce qui est de
# chmod 711 /
...

> Les commandes ou les fichiers utilisés par le système sous l'identité
> d'un utilisateur seraient ainsi toujours accessibles.
Oui

> Je ne vois pas de commande utilisateur nécessitant le droit de lecture
> sur / et /home qui pourrait empêcher le bon fonctionnement du système
Moi non plus

En principe, la composition de / est ``standard'' et les ``path''
nécessaires sont inscrits dans l'``environnement''.

Donc à priori, la lecture de / n'est nécessaire à personne.

> mais peut-être que j'oublie quelque chose.
Moi aussi ;-)

> Quelqu'un voit-il une contre-indication à ce paramétrage ?
Le plus simple est de tenter la chose et surveiller /var/log
(sur au moins plus d'un mois, je pense aux tâches de cron,
 particulièrement les weekly et monthly! )

http://www.google.com/linux?q="chmod+711+%2F"

Maintenant, tu peux égallement t'intéresser à chroot ou OpenVZ
pour créer des ``jails''.

--
 Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch


More information about the gull mailing list