[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: NFS setuid / setgid

Selon Davy Gigan <davy@info.unicaen.fr>:

> On Sat, 24 Aug 2002 12:28:28 +0200
> "Antoine Jacoutot" <ajacoutot@linuxfr.dyndns.org> wrote:
> 
> > Bonjour à tous !
> > 
> > Est-il possible avec un partage NFS de forcer le uid/gid des
> > fichiers/dossiers créés (comme avec samba et les options force user et
> > force group) ? En gros, j'aimerais que sur un partage NFS public sur
> > un réseau, lorsqu'un utilisateur crée/modifie un fichier, celui-ci
> > soit setuid root, setgid netusers et chmod 775.
> 
> Avec un truc pareil tu cours à la catastrophe. Tu devrais réfléchir
> aux implications en terme de sécurité de ce que tu souhaites faire
> et je te grantis que tu change d'avis en moins de 3 secondes. Bon,
> évidemment ça ne répond pas à ta question ;)
> 
> > J'ai regardé l'option "squash" (pour le fichier /etc/exports) mais
> > visiblement, ça ne fait pas ce que je veux.
> 
> Ce qui fait ce que tu veux, c'est le all_squash : toute personne
> écrivant un fichier dans ton répertoire nfs le fera avec le même uid/gid
> (anonyme par défaut) Tu peux changer l'uid/gid anonyme utilisé et
> peut-être mettre un truc de ce genre :
> 
> /export_de_fou       (rw,all_squash,anonuid=0,anongid=X)
> 
> avec X l'uid de ton group netusers, mais je suis pas sûr que le serveur
> nfs te laisse faire la connerie en question.
> 
> Mais franchement c'est exposer le serveur nfs et les machines clientes
> à des tas de problèmes potentiels, surtout s'il y a des petits blagueurs
> sur ton réseau, tu devrais peut-être exposer les raisons de ce choix,
> il y a peut-être d'autres solution à ton problème ...
> 

--> merci, je vais essayer avec all_squash.
Pour info, ce partage est un partage public de chez public pour que les
utilisateurs échangent rapidement des fichiers via ce partage... en gros, tout
ce qui transite dessus n'est pas important et tout peut être supprimé à
n'importe quel moment sans aucune conséquence; ce n'est pas un partage pour
stocker les fichiers, mais bien pour se faire des échanges et autres...
Merci pour l'info.

@+

Antoine
Reply to: