Bonjour,
J'administre à titre personnel 3 postes de travail dans une PME. Petit à petit, et afin de limiter les incompatibilités, on bascule les applications qui nécessitent encore un windows virtualisé vers des solutions SAAS (gestion commerciale, comptabilité).
Pour la sauvegarde, on a choisi une solution payante Dropbox.
Jusque là, tout ronronne correctement, et seul un dernier poste a encore besoin d'un virtualbox, mais c'est le temps du transfert de l'exercice comptable vers la solution SAAS.
Dernièrement, on me signale un dysfonctionnement de la synchronisation Dropbox. La lecture des journaux m'apprend que la limite du nombre de dossiers sous surveillance inotify est dépassée. Je double cette limite mais examine tout de même le dossier dropbox.
J'y trouve donc un dossier teamviewer, et une suite de lien vers .wine . Pas content (wine n'est pas censé être installé), je me rends compte que teamviewer utilise un wine bundled pour s'installer dans le dossier home du user. (le paquet a été téléchargé depuis le site de maintenance de la solution SAAS, en vue de formation en ligne).
Je ne désire pas que ce comportement soit le comportement normal de la session utilisateur. Chaque fonctionnalité doit être approuvée par l'administrateur.
J'ai donc ajouté l'option noexec au fstab pour le montage du home.
Connaitriez-vous une autre méthode afin d'interdire l'exécution d'un fichier téléchargé dans le dossier /home/user ?
# Utilisateur admin ?
Posté par ptit_poulet . Évalué à 2.
Bonjour,
Ce que je ne comprends pas c'est comment tes utilisateurs ont installé ce logiciel, ils ont des droits d'administration sur les PC ?
[^] # Re: Utilisateur admin ?
Posté par tmp . Évalué à 2. Dernière modification le 24 mai 2015 à 11:23.
Non, justement. Sur le site du prestataire, il y un lien qui permet de télécharger un package zipper. Ensuite décompression et lancement d'un script.
Un wine fourni permet l’exécution de l'application windows teamviewer.
Tout se passe dans le dossier /home/user .
[^] # Re: Utilisateur admin ?
Posté par NeoX . Évalué à 4.
l'utlisateur a utilisé le paquet "teamviewer quicksupport"
qui n'installe rien, et reste utilisable localement.
ton reflexe noexec est le bon,
cela evite que l'utilisateur installes des binaires dans son home.
une autre solution serait de ne pas sauvegarder TOUT le home,
mais juste les documents de l'utilisateur ou certains dossiers ciblés (config de certains logiciels)
[^] # Re: Utilisateur admin ?
Posté par tmp . Évalué à 2.
Voilà, c'est exactement le paquet téléchargé.
Le dropbox est un dossier séparé, mais il faut que je fasse un rappel aux utilisateurs de ce qui doit ou ne doit pas être déposé dans ce dossier.
Dropbox est devenu petit à petit l'endroit pour partager entre utilisateurs tout et n'importe quoi (alors que ce devrait être que les sauvegardes pour la société).
Bon, j'espère que le noexec ne me créera pas de mauvais effets de bord.
[^] # Re: Utilisateur admin ?
Posté par NeoX . Évalué à 3.
si tu ne l'as mis que sur le /home, y a pas de raison,
les autres binaires, fournis par la distribution, etant dans /usr/bin et /usr/sbin
[^] # Re: Utilisateur admin ?
Posté par ptit_poulet . Évalué à 2.
Pour de vraies sauvegardes je te conseille plutôt un service vraiment dédié à ça : Crashplan. Stockage illimité pour environ 50€ l'année. Je précise que je n'ai pas d'action chez eux, juste un utilisateur satisfait de leur service :D
[^] # Re: Utilisateur admin ?
Posté par fearan . Évalué à 2.
j'ajouterai qu'il faut aussi regarder du coté de /tmp, il est généralement accessible en écriture, et est souvent sur la partition /, et cette dernière n'est probablement pas montée en noexec ;)
de même pour /var/tmp, et sur ma machine /var/samba. Tu peux tenter de monter /var/ en no exec mais ça m'avait joué des tour par le passé :(
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.