Droits sur un dossier : petite incompréhension

legaub · Le 25/08/2010, à 21:09

Bonsoir,

j'ai un dossier de documents que j'aime bien protéger pour éviter les mauvaises manipulations grâce à un petit chmod -R 500.

Et effectivement le contenu du dossier (fichiers et sous-dossiers) est bien non-modifiable ce que je souhaite.
Par contre, le dossier lui-même qui contient l'ensemble est à la merci de n'importe quelle erreur puisque il est renommable, mettable à la poubelle.

Pourtant, un ls -l montre qu'il a bien les droits 500.

Bref, il y a un truc qui m'échappe ... merci de m'éclairer.

miniSeb · Le 25/08/2010, à 21:17

Tu pourrais nous donner les commandes exactes que tu as faites ? (copie du prompt)

legaub · Le 25/08/2010, à 21:40

Bonsoir,

sudo chmod -R 500 /chemin/dossier_sécurisé

ehmicky · Le 25/08/2010, à 22:06

Peuxt-tu envoyer le résultat d'un :

$ whoami
$ ls -ld /ledossier
$ mv /ledossier /nouveau_nom_pour_le_dossier

Par ailleurs, si tu veux simplement empêcher que les utilisateurs autres que le propriétaire du répertoire :
- créent des fichiers dans ce répertoire
- modifient des fichiers de ce répertoire (dont le répertoire lui-même)
- suppriment des fichiers de ce répertoire (dont le répertoire lui-même)
Mais que tu ne te soucies pas qu'ils le parcourent, voient son contenu et le contenu de ses fichiers, un chmod 755 suffit.

Dernière modification par ehmicky (Le 25/08/2010, à 22:07)

Postmortem · Le 26/08/2010, à 01:42

C'est à cause des droits du répertoire contenant le "dossier sécurisé".
Si on a les droits d'écriture sur le répertoire père du "dossier sécurisé", on peut renommer celui-ci, le déplacer...

legaub · Le 26/08/2010, à 10:08

Bon, merci de vos réponses.

Je me fiche de ce que peuvent faire les autres utilisateurs, puisqu'il n'y a que moi ! C'est de moi dont je me méfie (parano ultime !), et d'une mauvaise manipulation, car ce sont des données cruciales, enfin, pour moi. C'est vrai qu'un 555 suffirait.

Le dossier père est le Bureau qui est en 755. Je vais quand même pas verrouillé le Bureau pour ça, non ? Je suis un peu déçu là. Pas grave, ça va me passer.

Merci de m'avoir répondu.

survietamine · Le 26/08/2010, à 10:16

avec les ACL, c'est possible.
Par contre, à mon sens si tu as peur de perdre ces données, il faut prévoir une sauvegarde régulière.

legaub · Le 26/08/2010, à 10:19

Bonjour,

c'est quoi ACL ?

survietamine · Le 26/08/2010, à 10:23

Access Control Lists
C'est utilisé quand on a besoin de gérer des listes de permissions.
Si on veut dépasser le fonctionnement des droits unix (proprio, groupe, autre), ça peut être utile.
Par exemple, sur NTFS de Microsoft, on peut gérer les droits selon une liste.
Y a pas mal de littératures sur le sujet, ex. :
http://www.lea-linux.org/documentations … on_des_ACL

nesthib · Le 26/08/2010, à 11:52

il y a aussi la page de doc sur les ACL
sinon je ne suis pas sûr que ta façon de faire soit très logique legaub, tu ferais mieux de mettre en place une sauvegarde régulière de tes données (2nd disque, disque externe, serveur…)

en te contraignant à devoir faire régulièrement un chmod -R combiné par exemple à un usage de root non nécessaire c'est là que tu risques un jour de faire des bêtises en banalisant cette opération (si tu fais un chmod -R sur / ton système est bon pour être réinstallé, idem sur le home tu risque d'avoir des problèmes de connexion)

ehmicky · Le 26/08/2010, à 14:52

Personnellement, je pense que les ACL NTFS dans une situation où il y a déjà des mécompréhensions sur les droits Unix sur les dossiers ne risquent que de compliquer la situation plutôt que la résoudre. Si on part par là, il y a aussi SELinux.
On ne te parlait pas de différents utilisateurs en pensant que ton PC était utilisé par d'autres personnes, mais en utilisant le terme d'utilisateur au sens logiciel du terme, c'est-à-dire en distinguant le compte root des autres comptes (d'où le "whoami" que je te conseillais de faire pour vérifier).
En d'autres termes, si le problème est ta peur de modifier des données sensibles, l'idée était de :
- faire un chmod 755, et ne pas utiliser sudo à tort et à travers
- faire un chmod 555 (ce qui empêche toute modification), et refaire un sudo chmod 755 temporaire si l'on veut un jour finalement deux trois bricoles dans le dossier

Sinon, je pense que nesthib a tout à fait raison dans le fait que la meilleure approche pour protéger tes données est de faire un backup régulier. Personnellement, mes données sont en quadruple. J'ai une documentation personnelle que j'édite (création et modification de fiches) via des scripts persos qui créent automatiquement des backups lors de toute modification de données. En plus, cela te mettra aussi à l'abri d'un problème de partition ou de disque dur.

Dernière modification par ehmicky (Le 26/08/2010, à 14:53)

survietamine · Le 26/08/2010, à 15:07

bah, la question initiale concerne les permissions.
Postmortem a bien répondu en disant que c'est parce qu'il a 'w' sur le répertoire parent (son home).
J'ai parlé des ACL pour aller plus loin car ça reste malgré tout dans le domaine des droits et permissions, donc je ne pensais pas être hors-sujet.
Sinon, pour la question de backup, j'en ai aussi parlé car pour moi aussi, c'est une recommandation contre la maladresse.

ehmicky · Le 26/08/2010, à 15:33

Je pense pas du tout que ce soit hors-sujet, je pense juste que c'est risqué d'aller trop loin, j'ai peur que cela complique l'affaire. Mais bon, après tout, legaub est libre d'aller de ce côté-là, au contraire, c'est toujours ça d'appris ^^. Je tiens quand même à sougliner l'usage de SELinux par rapport aux ACL M$, mais bon après c'est une autre question !

survietamine · Le 26/08/2010, à 15:41

mais non, c'est pas du M$, les ACL posix

ehmicky · Le 26/08/2010, à 16:03

Par exemple, sur NTFS de Microsoft, on peut gérer les droits selon une liste.
Y a pas mal de littératures sur le sujet, ex. :
http://www.lea-linux.org/documentations … on_des_ACL

Je ne parlais pas du lien http://www.lea-linux.org/documentations/index.php/Gestion_des_ACL qui parle effectivement des ACL Posix, mais des ACL NTFS, qui ne sont bien évidemment pas POSIX (bien qu'il soit possible lors de la compilation de ntfs-3g d'activer une option pour supporter les ACL POSIX, mais c'est limité, voir ici)

Dernière modification par ehmicky (Le 26/08/2010, à 16:04)

legaub · Le 27/08/2010, à 11:06

Bonjour,

merci de vos multiples réponses, je ne pensais pas déclencher autant de réactions : ma question était juste de comprendre cette histoire avec le dossier parent (Merci Postmortem).

Pour le reste, merci de vos conseils. J'aurais pu être plus explicite sur ma démarche. En fait les données sont sur mon serveur (RAID5 ) où les pannes matérielles sont donc minorées ; la sauvegarde est faite régulièrement, et c'est cette sauvegarde et ses copies que je veux figer d'où mon choix pour des permissions en 500. Ça vaut ce que ça vaut.

Concernant les ACL que je ne connaissais pas, c'est effectivement un moyen d'aller plus loin ... dans les complications, aussi ne m'y perdrais-je pas. Je trouve que la puissance de la gestion des permissions sous unix vient de sa simplicité. J'ai aperçu parfois la gestion des droit sous W$erveur, merci bien très peu pour moi.

En tout cas, merci encore de votre enthousiasme pour ma toute petite interrogation. On n'a pas intérêt à ne pas sauvegarder ses données ici .

Dernière modification par legaub (Le 27/08/2010, à 11:09)

nesthib · Le 27/08/2010, à 11:32

@legaub : je t'avoue que je ne comprends pas toute ta démarche. Si tu es sur un serveur de sauvegarde je suppose que tu ne vas pas travailler dans le dossier de sauvegarde toutes les 5 minutes. Mais bon si tu veux tu peux utiliser un utilisateur différent pour ta sauvegarde en enlever les accès à l'utilisateur que tu utilises pour te connecter par défaut. Sinon tu peux aussi faire une sauvegarde sur 2 niveaux (ou plus si tes données sont vraiment vitales). C'est à dire que régulièrement tu effectues une copie de ta sauvegarde pour pallier à tout risque d'écrasement de cette première sauvegarde.

Après très honnêtement il faut ne pas avoir de chance ou vraiment du mal avec ses doigts

legaub · Le 27/08/2010, à 12:28

Bonjour,

merci de ta réponse. En fait, mes données courantes sont sur le serveur (ssh) de manière à y accéder de partout grâce à DynDNS. Je refuse de les confier à qui que ce soit d'autre : GoogleDocs, etc. ... car j'essaie d'éviter le mouvement de recentralisation des données qui est l'antithèse du net (cf. Minitel 2.0, B. Bayart, tu connais bien sûr).

Je n'ai aucune donnée sur mon portable, sur lequel j'ai juste mis un petit disque de 32 Go, qui me sert, en quelque sorte, de borne d'accès à mes données de mon serveur de mon garage. Je suis venu à cette configuration car j'en avais marre d'avoir 2, 3 ou 4 versions différentes du même fichier, sans jamais savoir lequel privilégier, même en utilisant ce magnifique outil qu'est BeyondCompare (malheureusement propriétaire).

Je minimise le risque matériel grâce au RAID5. En outre, un autre disque récolte des sauvegardes régulières + une copie (on peut pas appeler ça une sauvegarde !) sur un petit disque externe (Je déteste cette mode, un collègue en a plus de 5, je ne comprends pas).

Ma démarche est toujours de ne pas avoir à trier entre différentes versions : si je dois me contenter d'un accès à la copie, je veux M'INTERDIRE de pouvoir en modifier les fichiers qu'elle contient car j'aurais alors 2 versions : une sur le serveur momentanément inaccessible ; l'autre étant une sauvegarde modifiée. J'ai donc choisi un accès en lecture seule. Bon.

Ton idée de créer un utilisateur spécifique propriétaire de cette sauvegarde me plait bien. Je la trouve drôlement élégante. Je n'y avais pas pensé, m'étonnerais pas que je l'adopte !

Par ailleurs, je vois que tu es à Bordeaux, cela fait plusieurs fois que ça me démange de venir à une ubuntu party organisée par les Giroll, mais je n'ai jamais osé. Les RMLL à Talence, j'aurais adoré venir, mais je n'ai pas eu le temps. Bref.

nesthib · Le 27/08/2010, à 12:44

Giroll est encore en vacances mais nous allons recommencer dans peu de temps. Tu es le bienvenu
et si d'ici là tu veux venir boire une bière (ou un jus de fruits ) on se fait des petites sorties le soir, fais moi signe on pourra discuter de tout ça avec des gens qui s'y connaissent un peu

legaub · Le 27/08/2010, à 12:49

Sympa, merci de ton accueil. Je n'hésiterai pas.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 25/08/2010, à 21:09

Droits sur un dossier : petite incompréhension

#2 Le 25/08/2010, à 21:17

Re : Droits sur un dossier : petite incompréhension

#3 Le 25/08/2010, à 21:40

Re : Droits sur un dossier : petite incompréhension

#4 Le 25/08/2010, à 22:06

Re : Droits sur un dossier : petite incompréhension

#5 Le 26/08/2010, à 01:42

Re : Droits sur un dossier : petite incompréhension

#6 Le 26/08/2010, à 10:08

Re : Droits sur un dossier : petite incompréhension

#7 Le 26/08/2010, à 10:16

Re : Droits sur un dossier : petite incompréhension

#8 Le 26/08/2010, à 10:19

Re : Droits sur un dossier : petite incompréhension

#9 Le 26/08/2010, à 10:23

Re : Droits sur un dossier : petite incompréhension

#10 Le 26/08/2010, à 11:52

Re : Droits sur un dossier : petite incompréhension

#11 Le 26/08/2010, à 14:52

Re : Droits sur un dossier : petite incompréhension

#12 Le 26/08/2010, à 15:07

Re : Droits sur un dossier : petite incompréhension

#13 Le 26/08/2010, à 15:33

Re : Droits sur un dossier : petite incompréhension

#14 Le 26/08/2010, à 15:41

Re : Droits sur un dossier : petite incompréhension

#15 Le 26/08/2010, à 16:03

Re : Droits sur un dossier : petite incompréhension

#16 Le 27/08/2010, à 11:06

Re : Droits sur un dossier : petite incompréhension

#17 Le 27/08/2010, à 11:32

Re : Droits sur un dossier : petite incompréhension

#18 Le 27/08/2010, à 12:28

Re : Droits sur un dossier : petite incompréhension

#19 Le 27/08/2010, à 12:44

Re : Droits sur un dossier : petite incompréhension

#20 Le 27/08/2010, à 12:49

Re : Droits sur un dossier : petite incompréhension

Pied de page des forums