Alex G. a écrit 651 commentaires

Juste pour donner des cas d'abus, car oui malheureusement ça existe, j'ai un ami qui était responsable dans un EPAD (maison de retraite). Il a eu une employée qui, devant le peu d'intérêt des autres, c'est mise délégué syndicale juste pour se couvrir. Ensuite elle a commencé à mal travailler et surtout à maltraiter des personnes agées (des choses pas toujours simple à prouver). Ça a été la croix et la bannière pour réussir à la virer.

Il a fallu du temps pour que la branche locale du syndicat reconnaisse que cette employée abusait du système (mécanisme compréhensible de protection de ses syndiqués, qui étant dans une petite structure sans autre personne de ce syndicat, n'est en fait connu de personne d'autre). De plus cette personne avait fait intervenir les médias etc… (à qui elle mentait, bien sur).

Bref ça a été bien plus long que nécessaire et il a fallut de sacré preuve de son incurie. Et bien sur ça a bouffé beaucoup d'énergie à cet ami.

Voilà je dis ça, en même temps je suis moi aussi plus pour des système qui s'appuient sur la confiance et la responsabilité. Le problème parfois dans le milieu professionnel c'est que les employés n'osent pas dénoncer un collègue, et ça se comprend. Mais un manipulateur réussi à très bien exploiter ces failles.

Oui perso je pense qu'il faut pas se syndiquer seulement sur une opinion politique mais aussi en fonction des gens qui constitue le syndicat localement.

Je viens d'essayer de réaliser le partage de fichiers avec samba moi-même, donc voici un petit retour d'expérience.

Je suis sur un raspberrypi qui fait tourner un raspbian. Je veux partager un disque vfat. Après quelques déboires je l'ai monté avec la ligne suivante dans mon fstab:

PARTUUID=1aa63cdc-01 /mnt/partage vfat rw,nosuid,nodev,relatime,uid=nobody,gid=nogroup,fmask=0002,dmask=0002,codepage=437,iocharset=iso8859-1,shortname=mixed,showexec,utf8,flush,errors=remount-ro 0 0


configuration

Je préviens, c'est un peu le culte du cargo !

global

Voici ce que j'ai ajouté à la section [global]

    workgroup = WORKGROUP
    netbios name = PARTAGE
    lanman auth = yes
    ntlm auth = yes
    client lanman auth = no
    wins support = yes
    local master = yes
    preferred master = yes

• workgroup peut être important (normalement windows doit savoir passer outre les frontières d'un workgroup, mais ce n'est pas clair quand et comment, donc mieux vaut que machines et serveurs soit dans le même groupe de travail)

• netbios name, aide vraiment à pouvoir trouver la machine dans le réseau windows (même depuis un ordinateur linux !)

• Je ne comprends pas vraiment les différents auth mis à yes / no mais j'espère que ça amène plus de compatibilité.

• wins support semble requis pour les versions de windows récentes (8+)

• local master et preferred master est indiqué si le serveur est le serveur principal de partage de fichiers (toujours allumé et sur le réseau).

partage

Ma section de configuration du partage maintenant.

    [partage]
    Comment = Partage du disque commun "partage"
    path = /mnt/partage
    browseable = yes
    read only = no
    writeable = yes
    only guest = no
    valid users = pi @users
    create mask = 0660
    force create mode = 0660
    directory mask = 0770
    force directory mode = 0770
    force user = nobody
    force group = nogroup
    Public = yes
    Guest ok = no

• browseable / read only / writeable ça se répète mais on comprend l'idée.

• valid users, j'ai dû ajouter mon utilisateur (pi) et je ne suis pas sur de pourquoi ! Dans mon cas c'est pas trop galère car tout le monde accédera avec le même utilisateur.

• create mask / force create mode / directory mask / force directory mode là on est en plein culte du cargo, mais j'ai l'impression que c'était nécessaire car j'écris sur une partition vfat et il ne faut pas que samba tente de changer propriétaires et droit d'accès.

• force user / force group pareil je pense que c'était important dans mon cas, vu que c'est les user / group du volume vfat.

• public / guest ok / only guest encore une fois ces options semble répéter le même genre de chose, mais on comprend.

Des commandes importantes

J'ai ajouté un utilisateur

$ smbpasswd -a pi

Apparemment, au moins dans ma configuration, avoir un utilisateur système ne suffit pas, il faut qu'il existe dans la base des utilisateurs samba (et c'est aussi bien, comme ça il a un mot de passe spécifique).

Attention, sur debian le démon samba est nommé smbd, donc après modif de la configuration :

$ service smbd restart

Mais c'est pas tout, il faut aussi redémarrer nmbd, le service qiu gère les noms pour les partages windows, au moins quand on change le workgroup, nom de machine etc.

$ service nmbd restart

Pour tester depuis une autre machine, j'ai trouvé smbclient plus précis et bavard que Nautilus.

$ smbclient -W WORKGROUP '//partage/partage' --user pi

Bon finalement après plein de tergiversation (chkdsk, fsck.vfat, plein d'options testées) j'ai trouvé le coupable !!!

C'est usbmount qui montant le disque (et je ne l'avais pas vu, honte à moi) qui du coup était déjà monté en root.

Donc quand je montais le disque ensuite avec mon uid/gid ils étaient ignorés (apparemment on doit pas pouvoir monter le disque à deux endroits différents avec des uid/gid différents).

J'ai donc édité /etc/usbmount/usbmount.conf pour passer ENABLED à 0 (merci à cet échange pour m'avoir suggérer la piste)

😠😠😠 Mais pourquoi n'ai je eu aucun message d'avertissement ! Même avec les traces de debug 😠😠😠

Bref maintenant c'est bon… mount à retrouvé un comportement rationnel ou les options uid et gid sont bien prises en compte.

Perso ça me semble quand même mélanger des carottes et des choux les clauses type coopérative ! (Même si par ailleurs j'aime beaucoup les coopératives).

Je trouve que c'est dommage car ça discrimine sur qui tu es plutôt que sur ton comportement. Une licence devrait plus porter sur le mode d'utilisation du logiciel. Tu peux très bien avoir une coopérative qui se comporte en prédateur et une entreprise commerciale qui sache collaborer sur une activité spécifique.

Je suis plus pour une licence plus défensive type AGPL avec une possibilité de double licence (achat d'une licence commerciale).

C'est quand même un peu bête dans ce cas d'avoir opté pour une licence BSD/MIT au début (zéro défense) pour ensuite ajouter un clause de ce type ! (fallait réfléchir un minimum !)

Je pense que tes dossiers partagés doivent appartenir à nobody:nogroup (à moins que ce soit shareuser:shareuser sous fedora). En fait l'important c'est que le process samba ai bien accès aux fichiers de plein droit (lecture, écriture), ensuite il va gérer lui même les droits de partages de façon indépendantes aux droits unix.

Pour modifier le propriétaire : chown mon_user:mon_group -R mon_dossier
Pour modifier les droits (mieux vaut que propriétaire et groupe aient tous les droits): chmod ug+rwX -R mon_dossier

Le WORKGROUP c'est par défaut "WORKGROUP" et c'est un paramètre définit sur chaque machine windows (dans les propriété de "this computer"). Normalement les ordinateurs peuvent voir les machines des autres workgroup, mais dans mon expérience ça ne semble pas toujours le cas (surtout quand sur un réseau tu as des machines avec des versions de windows différentes). C'est un des trucs les plus obscures auquel je comprends pas grand chose !

Pour ce qui est du smb.conf, quand tu auras trouvé les paramètres qui vont bien pour un dossier, copie/colle pour les autres. Tu ne sembles pas loin en tout cas.

Piste 2 vérifiée également, si je fais /media/pi/partage avec les dossiers pi et partage appartenant à l'utilisateur pi (avant montage), j'ai partage qui, suite au montage, appartient à root, ainsi que les contenus du disque.

J'ai regardé sur ma distribution ubuntu, et /media/alex appartient à root, par contre il y a un acl étendue.

$ getfacl /media/alex/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: media/alex/
# owner: root
# group: root
user::rwx
user:alex:r-x
group::---
mask::r-x
other::---

J'ai mimé ça sur le raspberrypi, mais j'obtiens le même problème :-(

Ce qui m'énerve le plus c'est de n'avoir aucun log qui me dit pourquoi mount n'obéit pas !

j'ai testé mais sans succès :-/

testé sans résultat :-(

1. qui fait le montage ? l'utilisateur ou le systeme (root)

j'ai testé les deux

1. a quel endroit ? /mnt/undossier ou /media/leuser/ledisque

hum c'est dans /mnt dans mon cas, tu penses que ça a une influence ? (et dans ce cas, qui empêche d'avoir un montage utilisateur dans /mnt ? udev ? apparmor ?)

1. quels sont les droits du dossier de montage du (2) avant le montage, apres le montage

ben pi avant et root après :-(

Merci de la piste 2, je vais vérifier si mettre dans /media/pi change quelque chose !

et goutté de mon humour incroyable !

Ce ne sont effectivement pas les droits des fichiers sur la partition fat, mais les options de mount permettent normalement au kernel de te montrer les fichiers avec un certain utilisateur / groupe et avec un certain masque de permissions (mais ça s'applique à tous les fichiers et tu ne peux effectivement pas modifier les permissions / propriétaires localement).

Hello,

Merci de t'intéresser.

Oui, la ça commence a faire beaucoup comme options …

Oui bien sur, avant j'avais commencé par les trucs les plus simple, juste uid=pi,gid=pi

Déjà si tu pouvais nous donner la version de la distro qui tourne sur ton pi ?

Regarde le post, il y a un lsb_release -a et uname -a + la version de mount qui te dirons que je suis en Raspbian 0.4 (stretch), noyaux 4.14.52+ (armv6l).

ensuite nous donner tes id et gid

yep, c'est 1000 et 1000 (et oui j'ai déjà essayé avec uid=1000,gid=1000)

donc tout de même, je testerais les options préconisées mais pour le moment je soumet le disque à un chkdsk sur une machine windows (mode désespoir !)

Pour info, hier j'ai testé le branchement de mon disque sur mon ordinateur sous ubuntu 18.04, et tout c'est très bien passé !

J'ai recopié les options de la ligne du /etc/mtab:

rw,nosuid,nodev,relatime,uid=nobody,gid=nogroup,fmask=0022,dmask=0022,codepage=437,iocharset=iso8859-1,shortname=mixed,showexec,utf8,flus
Mais voilà, quand je teste sur le raspberrypi, c'est toujours le même problème :-/

Ce qui me chagrine c'est de n'avoir aucun log de ce non respect des droits !

J'ai lancé le mount avec LIBMOUNT_DEBUG=all et LIBBLKID_DEBUG=all mais sans rien repérer de spécial, au contraire les options sont bien citées dans les logs.

Comme dit plus haut, non ça ne fonctionne pas, malheureusement (et je pense que c'est indépendant)

En détail :

$ cat /etc/fstab
...
PARTUUID=1aa63cdc-01 /mnt/partage     vfat    nofail,uid=pi,gid=pi,user,users,owner=pi,group=pi,umask=0777,dmask=0777,fmask=0777,utf8       0      0
...

(ouais j'y suis allé bourrin sur les options :-) )

mais (en tant que pi) :

$ umount /mnt/partage 
$ mount /mnt/partage/
$ ls -ld /mnt/partage/PHOTOS/ 
drwxr-xr-x 69 root root 32768 avril 10  2014 /mnt/partage/PHOTOS/

Ben j'ai essayé en mettant l'option users (qui permet de monter avec les users) dans le fstab, mais quand je le monte avec mon utilisateur, il ne lui appartient toujours pas.

Sous Ubuntu, je pense que c'est une règle udev qui va faire le montage, et s'il y a un seul utilisateur connecté, lui attribuer le disque.

Par contre tu viens de me donner l'idée de vérifier avec mon portable Ubuntu comment se comporte le disque !

Par contre je suis également dans ce cas d'une partition qui commence à 1049kB selon parted:

(parted) print                                                            
Model: ST2000DM 001-1CH164 (scsi)
Disk /dev/sda: 2000GB
Sector size (logical/physical): 512B/512B
Partition Table: msdos
Disk Flags: 

Number  Start   End     Size    Type     File system  Flags
 1      1049kB  2000GB  2000GB  primary  fat32        lba

yep, mon problème c'est que le disque est plein et que j'aurais préféré ne pas le toucher !

Bonne idée le chown, mais ça ne change rien malheureusement :'(.

J'ai bien:

$ ls test/ -ld
drwxr-xr-x 2 pi pi 4096 août 13 11:09 test/
Mais:

$ sudo mount /dev/sda1 /mnt/test -o uid=pi,gid=pi
$ ls test/ -ld
drwxr-xr-x 18 root root 32768 août 12 21:26 test/
$ ls test/{,PHOTOS} -ld
drwxr-xr-x 18 root root 32768 août 12 21:26 test/
drwxr-xr-x 69 root root 32768 avril 10 2014 test/PHOTO


yop, comme dit plus haut, j'ai testé et c'est pareil :-/

Oui mais en pratique, soit tu es en mode parano (j'ai ma clé privé sur un clé USB que je porte à mon cou), soit en cas d'intrusion chez toi, on peut peut être accéder à ta clé (bon ok tu peux chiffrer ton disque dur, ce qui est mon cas). Mais c'était censé être un protection suffisante le mot de passe, et en effet il dit bien dans l'article qu'il y a un algorithme de chiffrement plus adapté et déjà implémenté.

Donc oui le titre est légèrement racoleur, mais l'information me semble utile.

Wow merci pour le lien.

Il y a un contournement proposé:

sudo sh -c 'dumpkeys |grep -v cr_Console | grep -v -E '^\s+alt\s+keycode.*Console_' |loadkeys'
et ça fonctionne pour moi \o/

C'est en bas du post : gnome 3.22 - ubuntu 18.04

si ca se trouve, puisque ce n'est pas systematique, c'est que tu frole Ctrl, puis fais ton ALT + fleche

Non non, c'est systématique, mais c'est apparu seulement hier !

Pour info Dassault a travaillé avec Rennes : https://3dexperiencelab.3ds.com/en/projects/city/rennes-metropolis/ à mon avis on est sur un niveau qui n’est pas celui que tu peux proposer (où je me trompe ?). On est dans des choses qui sont surtout des outils de communication pour la ville. Voir aussi http://aau.archi.fr/contrat-de-recherche/ticity-production-de-maquettes-urbaines-3d-de-communication/ (je sais pas si c’est vraiment lié).

Mon sentiment il me semble que pour rentabiliser ce genre de service actuellement, on est sur du B2B.

Effectivement visualiser les canalisations et autres réseaux semble une bonne idée. Peut-être un offre un peu packagée pour les petites agglomérations etc qui n’ont pas déjà un gros système pour ça ? Peut-être avec un import à partir de plans 2D. J’imagine par exemple qu’ils pourraient ajouter un visu rapide de l’âge des canalisations, diamètre, derniers travaux (ça vaut après pour d’autres réseaux, ou la voirie).

Ça intéresse peut-être aussi dans le domaine de l’immobilier, peut être pour calculer le degré d’ensoleillement ou la vue depuis un étage donné ?