[samba] acces complet sur windows = trou de securité ?

acces complet sur windows = trou de securité ? [samba] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 15-11-2005 à 14:18:54    

J'ai un peu galéré pour mettre en place un serveur samba mais mantenant c'est bon ca marche.
 
Je veux pouvoir lire et ecrire sur mes partages linux a partir de windows et la seule solution que j'ai trouvé pour ne pas avoir de problemes d'acces et de mettre nobody en proprietaire du repertoire et nogroup en groupe .
C'est ok de faire ca ou c'est 'mal' ?

Reply

Marsh Posté le 15-11-2005 à 14:18:54   

Reply

Marsh Posté le 16-11-2005 à 11:56:13    

Il vaut mieux créer un utilisateur via smbpasswd et le rendre propriétaire du répertoire. Ensuite tu te connectes depuis le Windows avec cet utilisateur (c'est configuré comme ça chez moi, en tout cas).

Reply

Marsh Posté le 16-11-2005 à 12:08:37    

ce qui fait que sur un reseau de plusieurs pc , tout les utilisateurs windows doivent s'appeler pareil ...  :heink:

Reply

Marsh Posté le 16-11-2005 à 12:16:44    

non il faut regrouper tout tes users dans le meme group qui lui aura acces exclusif
a 1 repertoire defini :hello:

Reply

Marsh Posté le 16-11-2005 à 16:59:47    

bon apparament c'est mal ...
impossible de laisser un repertoire appartenant a l'utilisateur nobody il reviens toujours a root/adm
je vais essayer avec un utilisateur qui a le meme nom que ma session windows

Reply

Marsh Posté le 16-11-2005 à 17:26:16    

voila maintenant j'ai plus rien  :cry:  
 
je me suis mis un mot de passe a ma session windows , l'utilisateur s'appelle strider
j'ai fait smbpasswd strider sur linux j'ai tapé le meme mot de passe
j'ai mis strider en propriétaire du repertoire partagé
 
resultat : acces refusé
 
il y a des fois je prefere pas assez de securité que trop, au moins ca marche  :kaola:

Reply

Marsh Posté le 16-11-2005 à 17:56:23    

toujours dans la logique vaut mieux mettre moins de securité ... je viens de donner tout les droits aux repertoires partagés au proprietaire au groupe et a ... autres  
maintenant ca marche  
ca veux dire que mon pc windows fait parti de 'autres'  
 
j'aimerais qu'on m'explique  :cry:

Reply

Marsh Posté le 17-11-2005 à 12:12:36    

"autres" =  dangereux car meme un invité non identifié peut lire, ecrire, executer
dans ce repertoire.
 
imaginons que je suis un "invité" sur ta machine linux-samba, je suis libre de me construire
une arborescence cachée avec des tas de commandes que je veux (me servir
de ta machine comme serveur de spam...). bref, quel malveillance. :non:  
 
donc tu dois perseverer dans la logique de groupe+user identifié.

Reply

Marsh Posté le 17-11-2005 à 13:32:10    

bah ... de toute facon le probleme va plus loin que ca
 
mes problemes de propriétés de repertoire continuent.  
au debut mes repertoires partagés étaient sur /usr car je croyais qu'il s'agissait de 'user' (en fait c'est unix system ressource)
donc je les ai deplacé vers /home
mais même apres ce deplacement les changement de propriétaires reviennent a root avec les droits initiaux.
Je fais mes modifs sur konqueror est ce que c'est ca qui pose probleme ? Je doit passer en ligne de commande ? (si c'est le cas je serais décu)  
 
J'ai lu aussi qu'il fallait créer un utilisateur avec le nom NETBIOS de la machine windows et pas le nom de la session , je vais tester ca aussi.
(dans ce cas le mot de passe pour la session windows est important ? il doit etre le meme que celui de l'utilisateur samba?)
 
memaster62 je comprends ce que tu veux dire mais tu parle de réseau local ou d'acces a distance via le net ?  
parce que si le danger se limite au LAN ca va je fais confiance a ceux qui entrent chez moi et de toute facon, et puis il y a une chance proche de zero qu'une personne qui rentre chez moi sache se servir de linux.  :pt1cable:  
Par contre si le danger viens du net, c'est un danger plus réel (et je pense qu'il doit se situer la) , mais ca voudrais dire que je peux acceder a ma machine via le net avec une authentification correcte , ca je veux bien apprendre a savoir faire ;)

Reply

Marsh Posté le 17-11-2005 à 14:08:03    

oui si ta machine linux-samba est reliée au net avec un modem adsl, le "danger" va venir de la.
n'importe quel invité (le fameux "autres" ) "malin" pourrais alors avoir acces a tes repertoires partagés.
tu ne pourras pas toi te connecter à distance par un moyen simple genre station windows.
mais quelqu'un comme moi avec une machine linux peut entrer ceci en ligne de commande.
#smbmount : ton-ip-internet /home/ton-repertoire-partager /mnt/mon-repertoire (la je monte ton repertoire distant sur ma machine)
ou
#smbclient user guest (la j'accede en ligne de commande a tes partages)
 
enfin ce ne sont que des exemples gentils.
d'où ton obligation (enfin tu fais comme tu veux) de prévoir une authentification avec user/password des tes stations win
de ton réseau local. sauf si ta machine n'est pas reliée au net. alors dans ce cas inutile
de te casser la tete.

Reply

Marsh Posté le 17-11-2005 à 14:08:03   

Reply

Marsh Posté le 17-11-2005 à 14:24:51    

pour le problème du net, ya plus simple, il suffit de paramétrer samba pour qu'il n'écoute pas sur l'interface  internet. Voir les options interfaces et bind-interfaces-only dans le fichier de conf.
 
pour les droits qui changent, si tu es sous Mandriva, c'est normal, c'ets msec qui remet les droits par défaut, ça se configure dans le centre de contrôle mandriva


Message édité par Mjules le 17-11-2005 à 14:25:36

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 17-11-2005 à 15:29:15    

je pense qu'il n'y a pas de probleme a avoir acces a ses partages au net du moment que c'est securisé
 
sinon c'est bien msec qui me modifiais les droits , j'ai modifié ses options via draksec on va voir si ca marche.
Sinon quelqu'un pour me confirmer l'utilisateur avec le nom netbios de la machine windows ?

Reply

Marsh Posté le 19-11-2005 à 20:33:13    

toujours aucun resultat  :fou:  
 
je doit taper un mot de passe pour rentrer dans des dossiers sur la machine windows mais aucun n'est accepté
 
EDIT : au temps pour moi , je viens de tester sur ma machine principale et tout fonctionne a merveille  :love:  
 
bon par contre sur le portable ca ne marche pas mais bon c'est accessoire pour l'instant


Message édité par strycore le 19-11-2005 à 21:01:41
Reply

Marsh Posté le 21-11-2005 à 14:02:56    

Il me semble qu'il faut mettre l'option security "share" a la place de "user" comme droit d'acces global dans samba.
Ca permet un peu plus de souplesse tout en gardant l'acces au partage des homes toujours avec mot de passe.
 
Sinon crééer des reprtoites de partages en plus dans /home/ est pas top a mon avis.
Dans OS X il y a un repertoire /home/share/ pour partager les données entre utilisateurs.
Tu devrais ptetre les regrouper la dedans.


Message édité par ilaglisser le 21-11-2005 à 14:11:51
Reply

Marsh Posté le 21-11-2005 à 14:58:11    

moui le bout n'est pas de partager des données entre utilisateurs mais de faire un serveur de fichiers  ;)  
ceci dit tout les repertoires partagés se trouvent effectivement dans /home/ (ils auraient pu etre dans /mnt vu que chaque dossier correspond a une partition mais je n'aime pas monter mes partitions dan /mnt)
 

Reply

Marsh Posté le 21-11-2005 à 15:33:07    

Pourquoi ?
Telle est la question :D

Reply

Marsh Posté le 21-11-2005 à 15:43:42    

pourquoi j'aime pas mettre mes mount dans /mnt ?
ben je trouve que ca brise une certaine logique du systeme de Linux.  
Sur windows on a les les lettres de lecteur pour chaque peripherique , c'est figé.  
Sur linux/ unix les peripheriques sont présents de manière transparente. Les disques durs ne sont plus des disques mais des repertoires, je trouve ca dommage de revenir a une logique 'materielle' en les limitant a un repertoire /mnt.  
Je prefere placer ces repertoire la ou j'en aurais la meilleure utilité dans mon système


Message édité par strycore le 21-11-2005 à 15:47:02
Reply

Marsh Posté le 21-11-2005 à 16:06:09    

Des liens symboliques peuvent faire l'affaire.
L'interet est que d'autres utilisateurs peuvent y avoir acces suivant leurs droits.
 
Mais sinon pour en revenir à l'interet de tout mettre dans /mnt c'est que c'est centralisé et regroupé. C'est un peu la philosophie sur linux.
 
Tu connais ça ? --> http://www.pathname.com/fhs/pub/fhs-2.3.html
Ca peut répondre à certaines questions qu'on se pose comme ou mettre quoi, c'est bien de savoir que ça existe :D
 
 
A l'heure actuelle j'aimerai bien un systeme de montage automatique des partages samba ainsi que des isos, comme le fait bien OS X avec automount.
J'avais essayé de jouer avec sous linux, mais sans trop de succès  :jap:


Message édité par ilaglisser le 21-11-2005 à 16:10:42
Reply

Marsh Posté le 22-11-2005 à 15:59:01    

Citation :

/mnt : Mount point for a temporarily mounted filesystem


 
c'est exactement ce que je voulais dire. Dans /mnt je met le graveur dvd et des peripheriques usb.  
Un disque dur n'a rien de temporaire   :whistle:

Reply

Marsh Posté le 22-11-2005 à 16:01:33    

C'est dans /media qu'il faut les mettre les peripheriques amovibles :whistle:
Enfin on fait ce qu'on veux niveau admin apres.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed