Discussion :

[fabienhespul]

Bonjour,

je me casse la tête sur un problème que me semble pourtant courant de gestion des droits.

Des users vont se connecter en FTP avec un couple identifiant/mdp perso

les homes de ces users sont dans

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/home/machin/depot_ftp/<categorie>/<id user>

ou <categorie> peut varier et id user est un identifiant technique correspondant a l'utilisateur.

FTP chroot les connexions.

Je souhaiterai que ces utilisateurs ne puissent par aucun moyen accéder aux données des autres utilisateurs.

Et je souhaiterais également que l'utilisateur "machin" (a qui appartient le home) puisse accéder en lecture/écriture a tout ces dossiers.

Je me perd dans l'affectation des droits users / groupes, comment procéder ?

Merci de votre aide

[frp31]

si tes users sont chroot avec leurs comptes FTP, ET <= c'est là le truc dans leur home directory c'est réglé.

[Marc3001]

Il suffit de créer un groupe unique pour chaque user. Disons que le nom de ce groupe est égal au nom du user. Ce groupe serait le groupe par défaut de chaque user.

Ensuite tu donnes les droits de lecture/écriture seulement au propriétaire et groupe propriétaire des répertoires (chmod 770).

Et enfin, tu ajoutes ton user machin dans le groupe de chacun des users FTP.

La contrainte c'est que le groupe primaire de chacun des tes users doit être celui du premier point (égal au nom du user) sinon ton admin risque de ne pas avoir le droit de visualiser les prochains fichiers et répertoires créés par les users FTP.

[Balbuzard]

Je ne suis pas d'accord avec toi Marc3001.

J'aurais plutôt créé un groupe unique pour tous les utilisateurs et ensuite comme le dit frp31 c'est le fait que chacun est dans son home qui empêche à un utilisateur d'aller chez un autre.

Il suffit de donner des droits corrects dans les home des utilisateurs (700) pour s'assurer que les autres membres du groupe commun (disons ftp) n'aille pas dans les autres homes.

PS en fait, tu as un home unique pour tous les utilisateurs. Ça change rien, pour

/home/machin/depot_ftp/<categorie>/<id user> tu donnes $id_user:ftp 700
(seul l'utilisateur en question peut faire ce qu'il veut des documents dans <id_user>)
et pour
/home/machin/depot_ftp/<categorie> root:ftp 710
(seul l'user dans le groupe ftp peut ouvrir (exécution pour le répertoire) le dossier)

[Marc3001]

L'idée d'un groupe par user permettait à un compte admin appartenant aux groupes des users ftp d'accéder en lecture aux home directory des users ftp.

Si tu mets 700 tu peux pas avoir d'admin.

[jouana]

Bonjour,
Tu peux te pencher sur les acl c'est beaucoup plus complet et plus manipulable que les droits UNIX de base.
En plus si tu gère bien t'es comptes utilisateurs et tes groupes tu peux mettre en place une solutions vraiment intéressante.

les ACL
cordialement.

[Sve@r]

L'idée d'un groupe par user permettait à un compte admin appartenant aux groupes des users ftp d'accéder en lecture aux home directory des users ftp.

Ben oui mais bon, le "groupe" est quand-même fait pour regrouper les users selon certains critères. Avoir autant de groupe que d'user fait perdre l'intérêt d'avoir des groupes non ???

Si tu mets 700 tu peux pas avoir d'admin.

T'as toujours root. Pourquoi mettre un niveau intermédiaire qui provoque plus d'embêtements qu'autre chose ???

[Marc3001]

Ben oui mais bon, le "groupe" est quand-même fait pour regrouper les users selon certains critères. Avoir autant de groupe que d'user fait perdre l'intérêt d'avoir des groupes non ???

J'admets que c'est un peu lourd mais j'ai trouvé que cette solution pour coller avec la demande....

T'as toujours root. Pourquoi mettre un niveau intermédiaire qui provoque plus d'embêtements qu'autre chose ???

Déjà ça permet de filer l'accès à ce user admin sans filer les droits root. J'ai tendance à ne jamais filer les droits root si il y a moyen de faire autrement.

[Sve@r]

Déjà ça permet de filer l'accès à ce user admin sans filer les droits root. J'ai tendance à ne jamais filer les droits root si il y a moyen de faire autrement.

Effectivement, je n'avais pas pensé qu'on pouvait émettre l'hypothèse que l'administration de cette partie spécifique serait faite par quelqu'un d'autre que l'admin de la machine.
Désolé, j'ai trop tendance à penser par rapport à mon propre environnement où c'est moi l'admin du serveur et où j'administre tout le serveur (le serveur web, le serveur ftp, le serveur postgres). Dans mon cas, utiliser ta solution serait alors trop lourde...

[Marc3001]

Dans mon cas, utiliser ta solution serait alors trop lourde...

Effectivement