[contourné] interdire l'écriture sur toute la machine ?

globalsi · Le 22/07/2008, à 17:23

Bonjour,

Je me pose une question.
Je désire mettre à disposition d'un groupe de personnes une machine pour surfer sur le net et faire de la bureautique. Je pensais mettre une ubuntu.
Cette machine sera utilisée par pleins de personnes différentes qui vont utiliser le même profil.
Je souhaite mettre en place un mécanisme pour (idéalement) interdire l'écriture sur les disques dur de la machine (seule l'écriture sur des périphériques USB sera permise pour la sauvegarde des documents perso). De cette façon, personne ne stockera des éléments sur la machine et celle-ci restera propre plus longtemps.

Problème : si j'interdis en écriture toute ma partition, je suppose que tout un tas de logiciels ne pourront plus marcher (à cause des fichiers temporaires par exemple d'openoffice ou de firefox).

Du coup, je me suis dit qu'il y avait peut-être moyen de restreindre les droits en écriture que sur le répertoire personnel (/home/user) du profil et de régénérer ce profil à chaque reboot de machine par exemple.
Ma question est la suivante : si je bloque les accès en écriture à tout le disque sauf le répertoire personnel (et les USB), le système pourra-t-il fonctionner correctement ?

Merci d'avance.

Dernière modification par globalsi (Le 24/07/2008, à 10:01)

Wolf · Le 22/07/2008, à 17:33

Hm j'ai des gros doutes du fait de l'écriture de certains fichiers temporaires durant l'exécution des programmes!
Néanmoins, tu peux crée un utilisateur avec des droits restreints : interdiction d'ici et là ect.... via des chmod / chown ect.... (voir doc)

globalsi · Le 22/07/2008, à 17:39

Bonjour,

Merci de votre retour.
Avez-vous éventuellement une idée différente (une approche différente...) pour arriver au résultat que je souhaite ?

idée peut être stupide : scanner (à chaque boot de machine) et supprimer tous les fichiers dont le propriétaire est le profil utilisateur et régénérer le répertoire du profil.

Wolf · Le 22/07/2008, à 17:45

Regarde du coté des droits utilisateur. Avec GNU/Linux on peux faire cela de manière précise!

globalsi · Le 22/07/2008, à 18:02

oui, je me doute que c'est du côté des droits utilisateurs.
en fait, ce que je cherche, c'est plus une idée de la manière de les employer (pas forcement comment on gère les acl ou les chmod).
En gros, ce qui me manque c'est l'organisation de l'idée générale, pas sa réalisation...

pas très très clair ce que je dis....

tylhdar · Le 22/07/2008, à 18:21

globalsi a écrit :

Bonjour,
Merci de votre retour.
Avez-vous éventuellement une idée différente (une approche différente...) pour arriver au résultat que je souhaite ?
idée peut être stupide : scanner (à chaque boot de machine) et supprimer tous les fichiers dont le propriétaire est le profil utilisateur et régénérer le répertoire du profil.

il y a la indiquer dans ce lien qu'un script mis dans le dossier /etc/gdm/InitPostSession/ s'exécute a la fin de chaque session, donc quand on se déconnecte.
http://www.ibiblio.org/oswg/oswg-nightly/oswg/en_US.ISO_8859-1/articles/gdm-reference/gdm-reference/configuration.html#AEN108

toufku · Le 22/07/2008, à 21:33

idée encore plus stupide: utiliser un live cd

Wolf · Le 23/07/2008, à 08:57

Et bien tu créé un utilisateur pouvant écrire uniquement dans le /tmp et le /home/nomUser

globalsi · Le 23/07/2008, à 09:07

toufku a écrit :

idée encore plus stupide: utiliser un live cd

pas bête du tout comme idée pour garder un système sain sauf que (sauf erreur de ma part),
- l'exécution des programme est plus lente
- ça n'interdit pas de polluer les disques durs

globalsi · Le 23/07/2008, à 09:13

Wolf a écrit :

Et bien tu créé un utilisateur pouvant écrire uniquement dans le /tmp et le /home/nomUser

Je vais essayer ceci sur une machine virtuelle
- un utilisateur qui n'a les droits d'écriture que son /home/user et sur le /tmp
- un script qui réinitialise le /home/user à chaque boot de la machine
- un script qui supprime tous les fichiers dans le /tmp dont le propriétaire est user.

Si le système n'est pas bloqué par ces restrictions de droits d'écriture, je pense que j'aurai une machine qui sera protégé en permanence et dont les traces du user seront effacées à chaque reboot....

Wolf · Le 23/07/2008, à 09:14

Et si il se fait un LiveUSB avec une clé RAPIDE? Même pas besoin de disque dur

globalsi · Le 23/07/2008, à 09:14

tylhdar a écrit :

globalsi a écrit :
Bonjour,
Merci de votre retour.
Avez-vous éventuellement une idée différente (une approche différente...) pour arriver au résultat que je souhaite ?
idée peut être stupide : scanner (à chaque boot de machine) et supprimer tous les fichiers dont le propriétaire est le profil utilisateur et régénérer le répertoire du profil.
il y a la indiquer dans ce lien qu'un script mis dans le dossier /etc/gdm/InitPostSession/ s'exécute a la fin de chaque session, donc quand on se déconnecte.
http://www.ibiblio.org/oswg/oswg-nightly/oswg/en_US.ISO_8859-1/articles/gdm-reference/gdm-reference/configuration.html#AEN108

merci pour l'info, ça peut être sympa.:D

Wolf · Le 23/07/2008, à 09:15

globalsi a écrit :

Wolf a écrit :
Et bien tu créé un utilisateur pouvant écrire uniquement dans le /tmp et le /home/nomUser
Je vais essayer ceci sur une machine virtuelle
- un utilisateur qui n'a les droits d'écriture que son /home/user et sur le /tmp
- un script qui réinitialise le /home/user à chaque boot de la machine
- un script qui supprime tous les fichiers dans le /tmp dont le propriétaire est user.
Si le système n'est pas bloqué par ces restrictions de droits d'écriture, je pense que j'aurai une machine qui sera protégé en permanence et dont les traces du user seront effacées à chaque reboot....

Oui, tu es sur la bonne voie
Tiens nous au courant

bubu8941 · Le 23/07/2008, à 10:30

et en montant le /home/user en ram avec une ligne de ce goût dans le /etc/fstab :

tmpfs /home/<user> tmpfs defaults,noatime,mode=0777 0 0

toufku · Le 23/07/2008, à 13:56

globalsi a écrit :

toufku a écrit :
idée encore plus stupide: utiliser un live cd
pas bête du tout comme idée pour garder un système sain sauf que (sauf erreur de ma part),
- l'exécution des programme est plus lente
- ça n'interdit pas de polluer les disques durs

eh bien en fait j'etait parti sur l'idée du live usb mais sur disque dur, ce qui fait que c'est beaucoup plus rapide qu'un live cd (deja en usb j ai été assez bleuffé)
mais le probleme reste la modification du disque, bien que je ne suis pas sur que se soit tant que sa un probleme car on ne peut toucher a l'arboressence (sauf root) et le home est regenerer a chaque connection

pouchat · Le 23/07/2008, à 14:29

quel est le problème ?
par défault un utilisateur normal n'a les droits d'écriture que dans son dossier personnel. Alors pourquoi vouloir forcer puisque c'est déjà en place ??

Sachant qu'en plus un user "normal" à les droits d'écriture sur les périph USB qu'il monte. Tu te compliques vraiment la vie.

globalsi · Le 23/07/2008, à 15:10

pouchat a écrit :

quel est le problème ?
par défault un utilisateur normal n'a les droits d'écriture que dans son dossier personnel. Alors pourquoi vouloir forcer puisque c'est déjà en place ??
Sachant qu'en plus un user "normal" à les droits d'écriture sur les périph USB qu'il monte. Tu te compliques vraiment la vie.

Bonjour,

un user normal peut écrire dans le /tmp par exemple.

Wolf · Le 23/07/2008, à 15:13

Et alors? le dossier /tmp est fait pour! Mais si tu veux le protéger, tu lui met un coup de chmod

globalsi · Le 23/07/2008, à 15:16

Wolf a écrit :

globalsi a écrit :
Wolf a écrit :
Et bien tu créé un utilisateur pouvant écrire uniquement dans le /tmp et le /home/nomUser
Je vais essayer ceci sur une machine virtuelle
- un utilisateur qui n'a les droits d'écriture que son /home/user et sur le /tmp
- un script qui réinitialise le /home/user à chaque boot de la machine
- un script qui supprime tous les fichiers dans le /tmp dont le propriétaire est user.
Si le système n'est pas bloqué par ces restrictions de droits d'écriture, je pense que j'aurai une machine qui sera protégé en permanence et dont les traces du user seront effacées à chaque reboot....
Oui, tu es sur la bonne voie
Tiens nous au courant

concrètement, ça va supprimer le répertoire /home/nomuser à chaque redémarrage ?
(moi je pensais faire un petit script à la "rsync" pour pas avoir besoin de recréer le profil à chaque fois, juste le remettre comme il l'était (par exemple si j'ai placé des icônes ici ou là ou bien le fond d'écran....)

globalsi · Le 23/07/2008, à 15:18

Wolf a écrit :

Et alors? le dossier /tmp est fait pour! Mais si tu veux le protéger, tu lui met un coup de chmod

oui, c'est bien ce que je compte faire.

En fin de compte, on peut restreindre les droits l'écriture qu'au dossier personnel et le réinitialiser régulièrement par un script pour faire le ménage.
J'ai juste besoin d'interdire les accès au /tmp.

Dernière modification par globalsi (Le 23/07/2008, à 15:23)

Wolf · Le 23/07/2008, à 15:25

alors, si j'ai bien compris, tu veux (démonstration par l'exemple) :
- Toto se connecte. Il met un fichier dans ses documents
- Il mets son icône Firefox du bureau à droite.
- 1 1heure après : il se déconnecte de sa session.

- 2 jours après, il revient :
- son fichier qui se trouver dans ses documents à été supprimer
- son icône Firefox est toujours placé à droite.

Si c'est cela, je pense qu'il faudra supprimer tous les fichiers / dossiers du /home/User SAUF les dossiers commençant par un point qui sont des dossiers de profils (dont le bureau ect...).
Si tu veux y jeter un oeil, tu peux les afficher/cacher via un ctrl+H.

Si c'est bien cela que tu désires, reste plus qu'a trouvé/réaliser le script adéquate

globalsi · Le 23/07/2008, à 15:57

Wolf a écrit :

alors, si j'ai bien compris, tu veux (démonstration par l'exemple) :
- Toto se connecte. Il met un fichier dans ses documents
- Il mets son icône Firefox du bureau à droite.
- 1 1heure après : il se déconnecte de sa session.
- 2 jours après, il revient :
- son fichier qui se trouver dans ses documents à été supprimer
- son icône Firefox est toujours placé à droite.
Si c'est cela, je pense qu'il faudra supprimer tous les fichiers / dossiers du /home/User SAUF les dossiers commençant par un point qui sont des dossiers de profils (dont le bureau ect...).
Si tu veux y jeter un oeil, tu peux les afficher/cacher via un ctrl+H.
Si c'est bien cela que tu désires, reste plus qu'a trouvé/réaliser le script adéquate

c'est presque ça mais pas tout à fait.
- toto se connecte : il trouve son bureau configuré (par moi même )
- il déplace son icône firefox
- il pose ses fichiers partout où il peut car toto est pas un utilisateur sympa
- toto s'en va en éteignant l'ordinateur

le lendemain qd il rallume l'ordi
-la configuration du bureau est revenu telle que je l'avais faite.
- tous les fichiers qu'il a posé sont supprimés (pas content le toto mais c'est comme ça ! Il doit stocker sur clé USB)

donc l'idée pour faire ça était de :
1/ Restreindre au maximum les endroits où toto peut écrire. Je ne crois pas qu'on puisse mieux faire que son /home/user et le /tmp (j'ai essayé de le mettre en lecture seule avec les acl mais du coup gnome ne veut plus se lancer car il ne peut plus créer ses fichiers temporaires)
2/ Faire un script qui, au démarrage de la machine (ou à la fermeture de la session), supprime les fichiers dont toto est propriétaire dans le /tmp
3/ faire un script qui, au démarrage de la machine (ou à la fermeture de la session), reconstruit le /home/user tel qu'il était avant toto y foute le bazar ...sacré toto va !

maintenant que j'ai un cahier des charges clair, me reste plus qu'à faire mes petits scripts....

Dernière modification par globalsi (Le 23/07/2008, à 15:59)

Wolf · Le 23/07/2008, à 16:01

Il serait bien que tu posts tes scripts ici car sa peux servir à beaucoup de monde
Concernant le 1/; un utilisateur de base ne peux que écrire dans les /tmp et /home/user donc pas la peine de faire du lecture seule qui va te pourrir les accès pour gnome et compagnie

Bon courage.

toufku · Le 23/07/2008, à 16:26

pour avoir une session parametré comme tu le souhaite a chaque fois, tu parametre toute une session, puis quand cela te plait tu copie tout le /home/user dans le /etc/skel
ainsi tout nouvel utilisateur crée aura les parametre que tu as mis auparavant.
tu n'a plus qu'a bidouiller un script qui efface le home/user a chaque deconnection.
edit: et qui regenere le home apres l'avoir supprimer.

Dernière modification par toufku (Le 23/07/2008, à 16:29)

globalsi · Le 23/07/2008, à 19:00

c'est bon, j'ai pu faire ce que je voulais

je poste un message récapitulatif demain.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 22/07/2008, à 17:23

[contourné] interdire l'écriture sur toute la machine ?

#2 Le 22/07/2008, à 17:33

Re : [contourné] interdire l'écriture sur toute la machine ?

#3 Le 22/07/2008, à 17:39

Re : [contourné] interdire l'écriture sur toute la machine ?

#4 Le 22/07/2008, à 17:45

Re : [contourné] interdire l'écriture sur toute la machine ?

#5 Le 22/07/2008, à 18:02

Re : [contourné] interdire l'écriture sur toute la machine ?

#6 Le 22/07/2008, à 18:21

Re : [contourné] interdire l'écriture sur toute la machine ?

#7 Le 22/07/2008, à 21:33

Re : [contourné] interdire l'écriture sur toute la machine ?

#8 Le 23/07/2008, à 08:57

Re : [contourné] interdire l'écriture sur toute la machine ?

#9 Le 23/07/2008, à 09:07

Re : [contourné] interdire l'écriture sur toute la machine ?

#10 Le 23/07/2008, à 09:13

Re : [contourné] interdire l'écriture sur toute la machine ?

#11 Le 23/07/2008, à 09:14

Re : [contourné] interdire l'écriture sur toute la machine ?

#12 Le 23/07/2008, à 09:14

Re : [contourné] interdire l'écriture sur toute la machine ?

#13 Le 23/07/2008, à 09:15

Re : [contourné] interdire l'écriture sur toute la machine ?

#14 Le 23/07/2008, à 10:30

Re : [contourné] interdire l'écriture sur toute la machine ?

#15 Le 23/07/2008, à 13:56

Re : [contourné] interdire l'écriture sur toute la machine ?

#16 Le 23/07/2008, à 14:29

Re : [contourné] interdire l'écriture sur toute la machine ?

#17 Le 23/07/2008, à 15:10

Re : [contourné] interdire l'écriture sur toute la machine ?

#18 Le 23/07/2008, à 15:13

Re : [contourné] interdire l'écriture sur toute la machine ?

#19 Le 23/07/2008, à 15:16

Re : [contourné] interdire l'écriture sur toute la machine ?

#20 Le 23/07/2008, à 15:18

Re : [contourné] interdire l'écriture sur toute la machine ?

#21 Le 23/07/2008, à 15:25

Re : [contourné] interdire l'écriture sur toute la machine ?

#22 Le 23/07/2008, à 15:57

Re : [contourné] interdire l'écriture sur toute la machine ?

#23 Le 23/07/2008, à 16:01

Re : [contourné] interdire l'écriture sur toute la machine ?

#24 Le 23/07/2008, à 16:26

Re : [contourné] interdire l'écriture sur toute la machine ?

#25 Le 23/07/2008, à 19:00

Re : [contourné] interdire l'écriture sur toute la machine ?

Pied de page des forums