Forum Linux.général limitations sudo

Posté par  .
Étiquettes : aucune
0
13
déc.
2006
Bonjour à tous,

Savez s'il est possible de limiter un compte utilisateur à ne faire que la commande ftp put ? Si oui, quelle est la meilleure solution pour le faire ? (comprenez par là, la plus simple, ou bien la plus sûre, ce qui ne va pas forcément de paire, certes, mais les deux visions seraient intéressantes)

Merci

  • # page de manuel

    Posté par  . Évalué à 2.

    man sudoers ?

  • # Pour ne pas modifier la configuration du serveur FTP ?

    Posté par  . Évalué à 1.

    Bonjour,

    Je te suggère plutôt de limiter les fonctions côté serveur FTP.
    Il doit exister des ACL sur les commandes pour des utilisateurs (il y a au moins le serveur proftpd qui le fait, et j'ai bien dit au moins ^__^).
    Par exemple (juste pour avoir un ordre d'idée, sans réelle application telle-que :P):
    ===
    # On bloque tout
    <Limit ALL>
    DenyALL


    # La commande PUT est autorisée pour xxxx
    <Limit PUT>
    Allow xxxx

    ===

    La commande sudo est, à mon humble avis, un moyen d'obtenir les privillèges que l'on a pas dans le cas normal (user devient super-user). Eventuellement, il peut être intéressant de limiter les commandes disponibles pour l'utilisateur qui bénéficie de cette "dérogation" de privillèges.
    Par contre, dès que ça touche au service lui-même (ici c'est le serveur FTP), il vaut mieux agir, si c'est possible, de son côté (FTP).

    Bon courage !

    Cdlt,

    • [^] # Re: Pour ne pas modifier la configuration du serveur FTP ?

      Posté par  . Évalué à 1.

      Le problème est en fait réglé puisque je ne peux plus faire ce que je pensais faire ; ceci dit, la problématique reste intéressante.

      Steve, par rapport à ton aide, mon problème serait venu du fait que je ne peux modifier le côté serveur, qui se trouve sur des équipements distants (des routeurs pour être exact) ...

      J'ai sinon déjà parcouru le man de sudoers, mais de là aller limiter les commandes internes à un service en tant que tel (ie dans notre cas, limiter le côté client ftp à uniquement ftp put ...), je n'ai pas trouvé ! (néanmoins je ne suis qu'humain, et j'ai pu passer à côté !)

      • [^] # Re: Pour ne pas modifier la configuration du serveur FTP ?

        Posté par  . Évalué à 1.

        re :-)

        Ooops ! Désolé, je croyais que le serveur était sous controle et de préférence sous Linux (ou équivalent).
        Je donnais un exemple basé sur proftpd car j'avais une syntaxe sous la main pour faire des ACLs (tiens, j'avais pas fait attention, mais la balise fermant a disparue :!).

        Pour sudo, il est alors possible d'écrire un petit wrapper en shell ou équivalent:
        ===
        ftpput.sh fichier1, ..., fichierN ftp://serveur/path
        ===

        et là, sudo limite l'utilisateur à prendre du pouvoir (par exemple, lire le .netrc qui contient login/password, ou autre) que pour lancer le wrapper.

        Bon courage !

        Cdlt,

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.