Forum Linux.général securisation de fichiers delivres par SCP/SFTP

Posté par  .
Étiquettes : aucune
0
9
juil.
2008
Salut,

une petite question, j'ai un serveur sur lequel differents utilisateurs deposent des fichiers en utilisant SCP/SFTP. Jusqu'a maintenant j'installai juste leur cle publique dans un compte unique "depot" et je leur faisais un petit repertoire de depot, pif paf.

Probleme, maintenant il commence a y avoir du monde, et j'ai un peu peur que les differents utilisateurs lisent/modifient les fichiers des autres. J'ai deja interdit le ssh, mais bon s'ils connaissent le path, ils peuvent toujours ecraser un autre fichier, ou lire un autre fichier, bref c pas top.

Changer tous les utilsateurs vers des utilisateurs uniques n'est pas franchement envisageable (en derniere mesure..).

toute idee ou suggestion est la bienvenue !

  • # Comptes uniques ou pas ?

    Posté par  . Évalué à 2.

    J'comprends pas trop ta situation. Tes utilisateurs utilisent tous le même compte avec la même clé, ou est-ce qu'ils ont quand même chacun une clé propre ? Dans le second cas, rien ne t'empêche de faire un répertoire de dépôt par clé. Un script shell devrait suffire à automatiser le tout.

    • [^] # Re: Comptes uniques ou pas ?

      Posté par  . Évalué à 1.

      ils ont tous des comptes différents sur leur machines. Quand ils veulent utiliser mon dépôts, ils m'envoient leur clé publique que j'installe dans le authorized_keys de l'utilisateur "depot" sur mon serveur, et je leur fait un répertoire. Puis ils utilisent tous un truc du genre pour envoyer leur fichiers :

      scp fichier_a_deposer depot@monserver:/le/path/que/je/leur/dit/

      le probleme c'est que là ils ont accès a tout ce que les autres déposent aussi (tout le monde utilise le compte "depot").

      • [^] # Re: Comptes uniques ou pas ?

        Posté par  . Évalué à 2.

        Il me semble qu'on peut restreindre les actions des utilisateurs en fonction de la clef qu'ils présentent avec SSH, mais je ne crois pas que ça puisse s'appliquer pour restreindre les droits d'accès à un répertoire.
        La seule solution efficace, c'est de créer un compte par utilisateur.

      • [^] # Re: Comptes uniques ou pas ?

        Posté par  . Évalué à 8.

        tout le monde utilise le compte "depot"

        Ben c'est quoi ton problème alors ? Tu as fait en sorte que tout le monde soit considéré comme ayant les mêmes droits, donc ils les ont. :-)

        Maintenant, si tu ne veux pas qu'ils aient les mêmes droits, il va falloir penser à créer un utilisateur pour chaque. Ce n'est pas un peu la base ? :-)

  • # sticky bit

    Posté par  . Évalué à 1.

    Mettre le sticky bit sur le répertoire pourrait limiter les dégâts.

    • [^] # Re: sticky bit

      Posté par  . Évalué à 3.

      la definition du sticky bit etant de bloquer les fichiers sur un utilisateur (seul cet utilisateur peut effacer ce fichier, par exemple dans /tmp/)

      et vu que chez lui tout le monde se connecte avec l'utilisateur "depot"

      => le sticky bit ne changera rien à son probleme

      • [^] # Re: sticky bit

        Posté par  . Évalué à 1.

        yep..

        oui je sais le pb de base c'est que tout le monde utilise le meme utilisateur (au debut c'etait necessaire, maintenant c'est dangereux..), la migration vers des users uniques s'annonce tendue, mais bon, s'il faut il faut.

        L'idee d'un demon qui scrutte les sous-reps de "depot" et change les permissions/deplacent les fichiers dans un endroit plus protege serait ptet possible aussi (une fois que les utilisateurs ont depose le fichier, ils n'en ont plus besoin).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.