comment faire �a ?
--
La politique est l'art d'emp�cher les gens
de se m�ler de ce qui les regarde.
Paul Val�ry
> je ne sais pas configurer SSH, je voudrais une config o� les
> utilisateurs externes se connectent sur 3 dossiers (et contenu) de mon
> HOME.
>
> comment faire �a ?
Tu peux pas.
Il faut installer un logiciel d�di� pour �a, et je n'en connais pas qui
ferait ce que tu veux.
Peut �tre qu'en cumulant rssh
<http://www.pizzashack.org/rssh/index.shtml> et les ACL tu pourrais t'en
sortir... mais bon, faudrait d�j� que rssh te convienne et qu'il compile
sous Mac OS X.
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
>
> Tu peux pas.
> Il faut installer un logiciel d�di� pour �a, et je n'en connais pas qui
> ferait ce que tu veux.
> Peut �tre qu'en cumulant rssh
> <http://www.pizzashack.org/rssh/index.shtml> et les ACL tu pourrais t'en
> sortir... mais bon, faudrait d�j� que rssh te convienne et qu'il compile
> sous Mac OS X.
merci beaucoup, � la page :
<http://www.pizzashack.org/rssh/platforms.shtml>
il est �crit :
rssh platform support
[...]
Currently, it does not work on (at least most of) the *BSDs, nor on OS
X.
[...]
je vais devoir faire confiance � mes filstons, qui sont nettement +
call�s que moi en admin sys
>Il faut installer un logiciel d�di� pour �a, et je n'en connais pas qui
>ferait ce que tu veux.
Est-ce qu'on pourrait s'en sortir en lan�ant un autre d�mon ssh dans
un chroot ?
D'ailleurs, Google semble assez loquace � ce sujet :
http://www.google.com/search?hl=en&num=100&q=ssh+chroot&
moui, �a doit pouvoir se faire.
Y'a des instructions qui trainent pour les vieilles versions de Mac OS
X, � voir si �a peut s'adapter aux 10.5 et 10.6.
http://www.macosxhints.com/article.php?story=2004110314282345
th�oriquement on pourrait aussi utiliser le m�canisme de sandbox de Mac
OS X, mais autant que je puisse dire (je suis toujours en 10.5), c'est
encore � l'�tat de vaporware.
>th�oriquement on pourrait aussi utiliser le m�canisme de sandbox de Mac
>OS X,
MacOS n'a pas r�cup�r� le Jail de BSD ?
non, ils ont un syst�me de sandbox, mais qui ne marche pas vraiment :
<http://developer.apple.com/mac/library/DOCUMENTATION/Darwin/Reference/Ma
nPages/man1/sandbox-exec.1.html>
> Tu peux pas.
> Il faut installer un logiciel d�di� pour �a, et je n'en connais pas qui
> ferait ce que tu veux.
> Peut �tre qu'en cumulant rssh
> <http://www.pizzashack.org/rssh/index.shtml> et les ACL tu pourrais t'en
> sortir... mais bon, faudrait d�j� que rssh te convienne et qu'il compile
> sous Mac OS X.
bon, il y a sans doute une solution -co�teuse- avec un disque NAS non ?
>je vais devoir faire confiance � mes filstons, qui sont nettement +
>call�s que moi en admin sys
Et en utilisant les lien symbolique avec d'autre droits ?
Quelles sont ces repertoires ?
--
France-Irlande
J'ai pas honte d'�tre francaise, mais j'aimerai �tre fier en laissant notre place � l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'esp�re que l'equipe qui a vol� le match soit humili� et rentre la t�te baiss�.
http://www.youtube.com/watch?v=ekxsmPnHWSA
>
> Et en utilisant les lien symbolique avec d'autre droits ?
je n'ai pas essay�, mais bon c'est une solution qui m'a �t� conseill�e
sur fr.comp.os.mac-os.x et qui n�cessite une partition, sinon, je ne
peux plus utiliser facilement ces fichiers moi-m�me...
> Quelles sont ces repertoires ?
/Users/yt/Pictures
/Users/yt/Public
/Users/yt/Movies
/Users/yt/Music
/Users/yt �tant mon HOME.
je regarde, m'informe sur, une solution avec un disque NAS...
mais bon c'est dommage de remplacer du soft par du hard.
>je ne sais pas configurer SSH, je voudrais une config o� les
>utilisateurs externes se connectent sur 3 dossiers (et contenu) de mon
>HOME.
Que vont-ils faire avec ? Ont-ils besoin d'un shell, ou juste de
l'acc�s aux fichiers ?
Dans le deuxi�me cas, il suffit de remplacer ssh par autre chose : un
serveur FTP, par exemple.
J'ai aussi trouv� ceci :
http://mysecureshell.sourceforge.net/fr/index.html
>
> Que vont-ils faire avec ? Ont-ils besoin d'un shell, ou juste de
> l'acc�s aux fichiers ?
non, ils n'ont pas besoin d'un shell, ils up et down load, donc acc�s au
fichiers seuls.
> Dans le deuxi�me cas, il suffit de remplacer ssh par autre chose : un
> serveur FTP, par exemple.
oui, sans doute, le truc est que sur mac os x, c'est builtin, ssh, donc
en 5 mn, c'est r�gl�
> J'ai aussi trouv� ceci :
> http://mysecureshell.sourceforge.net/fr/index.html
ouais, �a a l'air tr�s int�ressant :
Vous recherchez un serveur ftp tr�s s�curis�, facile � installer, �
administrer et � configurer ?
Alors MySecureShell est fait pour vous ! De plus, il est enti�rement
GRATUIT !
MySecureShell est bas� sur OpenSSH !
Vous avez donc toute la s�curit� tr�s pouss�e de celui-ci PLUS des
fonctionnalit�s compl�mentaires et tr�s puissantes qu'offre notre
logiciel !
Voici un aper�u des possibilit�es de MySecureShell :
- Contr�le de la bande passante.
- S�curisation de l'affichage des droits.
- Administration du serveur en interface graphique.
- Gestion de l'activit� du serveur gr�ce aux logs.
- Contr�le des utilisateurs par ip, groupes...
ftp is evil.
>Fabien LE LEZ <gram...@gramster.com> wrote:
>
>>
>> Que vont-ils faire avec ? Ont-ils besoin d'un shell, ou juste de
>> l'acc�s aux fichiers ?
>
>non, ils n'ont pas besoin d'un shell, ils up et down load, donc acc�s au
>fichiers seuls.
Et un partage reseau en nomant explicitement ces seuls repertoires le
tout dans un ssh ?
Je proposerait de d�placer ces fichiers dans une autre home cr��e � cet
effet et de modifier les droits dessus pour que vous puissiez y �crire
puis verrouiller votre home pour que vous seul puissiez y lire/�crire
>ftp is evil.
Meuh non. Aucune technologie n'est mauvaise en soi.
Je suis loin d'�tre un fan de FTP, mais il faut reconna�tre que
parfois, c'est une solution acceptable.
>puis verrouiller votre home
Ainsi que tous les autres r�pertoires. Ce n'est pas forc�ment �vident
avec le syst�me de droits Unix ; c'est sans doute un peu plus faisable
(mais probablement prise de t�te) avec les ACL.
>
>>
>> Et en utilisant les lien symbolique avec d'autre droits ?
>
>je n'ai pas essay�, mais bon c'est une solution qui m'a �t� conseill�e
>sur fr.comp.os.mac-os.x et qui n�cessite une partition, sinon, je ne
>peux plus utiliser facilement ces fichiers moi-m�me...
Pas forcement besoin de partition.
/Users/yt �tant votre HOME.
Creer /User/partage/ pour y mettre Pictures, public, ...
Donner les droits qu'il faut pour partager /User/partage/ y compris
pour vous
et dans /Users/yt creer des lien symbolique pointant vers
/User/partage/
>
> Je proposerait de d�placer ces fichiers dans une autre home cr��e � cet
> effet et de modifier les droits dessus pour que vous puissiez y �crire
> puis verrouiller votre home pour que vous seul puissiez y lire/�crire
oui c'est une solution que je vois tr�s bien intuitivement mais
quelqu'un m'a dit que les clients sous Mac OS X (iTunes par ex)
n�cessitaient une partition diff�rente, pas seulement un autre
r�pertoire home avec un autre user, je n'ai pas compris pourquoi.
en tk en �crivant sur disons le home_ssh, je modifie les perms ce qui
�tait :
drwxrwxr-x 3 yt_ssh staff (dossier)
deviendra :
drwxr-xr-x 3 yt staff (dossier)
et je n'aurait plus le droit d'�crire dans ce dossier
par contre, pour un fichier :
-rw-rw-r-- 1 yt_ssh staff (fichier)
qui deviendra :
-rw-r--r-- 1 yt staff (fichier)
c'est pas g�nant pour moi, seuls les personnes externes ne pourront plus
modifier le fichier
par contre si quelqu'un d'ext�rieur balance un fichier :
-rw-r--r-- 1 yt_ssh staff (fichier venu de l'ext�rieur)
je ne pourrai plus le modifier, sous entendu sans un script avec les
droits idoines qui metterait les bonnes perms
en plus les clients comme iTunes g�n�rent des dossiers, ou les
renomment.
quelqu'un m'a dit que cette astuce ne marchait qu'� condition d'avoir un
"home pour ssh" sur ube partition diff�rente, je ne vois pas ce que �a
change
> >non, ils n'ont pas besoin d'un shell, ils up et down load, donc acc�s au
> >fichiers seuls.
>
> Et un partage reseau en nomant explicitement ces seuls repertoires le
> tout dans un ssh ?
sur Mac OS X Snow Leopard standard (c'est � dire un OS non serveur) il
n'y a pas la possibilit� de le faire.
par contre, d'apr�s la doc, avec MySecureShell comme sugg�r� par Fabien
plus haut dans le fil �a devrait �tre OK.
ou alors opter pour une solution harware avec un disque NAS d�volu � ces
fichiers partag�s, comme le disque a une IP, je g�re comme je veux.
> Pas forcement besoin de partition.
>
> /Users/yt �tant votre HOME.
>
> Creer /User/partage/ pour y mettre Pictures, public, ...
>
> Donner les droits qu'il faut pour partager /User/partage/ y compris
> pour vous
>
> et dans /Users/yt creer des lien symbolique pointant vers
> /User/partage/
oui, oui, d'ailleurs �a existe "builtin sur Mac OS X, c'est :
iMac-yt:~ yt$ ls -al /Users
-rw-r--r-- 1 root wheel 0 1 jul 2009 .localized
drwxrwxrwt 15 root wheel 510 20 nov 11:19 Shared
drwxr-xr-x+ 15 mj staff 510 3 jan 11:46 mj
drwxr-xr-x+ 44 yt staff 1496 1 jan 19:42 yt
mais d'apr�s ce qu'il m'a �t� dit ailleurs, le probl�me viendrait des
clients , je ne pige pas pourquoi
le 08/01/2010 à 19:16, Une Bévue a écrit dans le message
<1jc0lax.1ehj3aumr75x8N%unbewus...@google.com.invalid> :
> drwxr-xr-x+ 44 yt staff 1496 1 jan 19:42 yt
^
Le « + » semble indiquer qu'il y a une autre méthode de contrôle d'accès
que les droits Unix. Il n'y aurait pas des ACL sous Mac OS X ?
--
Benoit Izac
> Le � + � semble indiquer qu'il y a une autre m�thode de contr�le d'acc�s
> que les droits Unix. Il n'y aurait pas des ACL sous Mac OS X ?
je ne sais pas, d'autant que je ne sais pas ce que sont les "ACL" ...
ni m�me ce +, c'est nouveau depuis leopard je pense d'ailleurs "man ls"
n'explique pas ce qu'il en est du plus, j'ai souvent not� que sur mac os
x le man et les cmds, c'est pas pareil...
bon, je cherche sur le net (merci google) il y a bien des ACL sur mac os
� partir de 10.4...
reste � savoir ce que je peux en faire
> bon, je cherche sur le net (merci google) il y a bien des ACL sur mac os
> � partir de 10.4...
>
> reste � savoir ce que je peux en faire
des tonnes de choses, mais si tu mets le doigts dedans tu peux te faire
mordre.
Par contre le man ls en parle bien, tu n'as pas du tout lire.
Tu peux lister les ACL en faisant un ls -le.
Dans le man chmod, tu as aussi un chapitre "ACL MANIPULATION OPTIONS".
>
> des tonnes de choses, mais si tu mets le doigts dedans tu peux te faire
> mordre.
>
> Par contre le man ls en parle bien, tu n'as pas du tout lire.
> Tu peux lister les ACL en faisant un ls -le.
> Dans le man chmod, tu as aussi un chapitre "ACL MANIPULATION OPTIONS".
oui, merci, j'ai vu �a apr�s coup...
Mots de passe en clair � travers le r�seau. Si c'est dans un LAN ou un
VPN, est-ce que le probl�me se pose vraiment et y en a-t-il d'autres ?
> Meuh non. Aucune technologie n'est mauvaise en soi.
>
> Je suis loin d'�tre un fan de FTP, mais il faut reconna�tre que
> parfois, c'est une solution acceptable.
Peut-etre plus difficile � configurer, mais je ne vois pas ce qui peut
etre fait avec ftp qui ne peut pas l'etre avec sftp.
> In article <ggrek51ohe0s1kolp...@4ax.com>,
> Fabien LE LEZ <gram...@gramster.com> writes:
>> On Fri, 08 Jan 2010 16:57:51 +0100, debug this fifo :
>>
>>>ftp is evil.
>
> Mots de passe en clair � travers le r�seau. Si c'est dans un LAN ou un
> VPN, est-ce que le probl�me se pose vraiment et y en a-t-il d'autres ?
ftps et ftpes sont tes amis dans cas l�...
--
Le travail n'est pas une bonne chose. Si �a l'�tait,
les riches l'auraient accapar�
> In article <ggrek51ohe0s1kolp...@4ax.com>,
> Fabien LE LEZ <gram...@gramster.com> writes:
>> On Fri, 08 Jan 2010 16:57:51 +0100, debug this fifo :
>>
>>>ftp is evil.
>
> Mots de passe en clair � travers le r�seau. Si c'est dans un LAN ou un
> VPN, est-ce que le probl�me se pose vraiment et y en a-t-il d'autres ?
ftps et ftpes alors
>> Meuh non. Aucune technologie n'est mauvaise en soi.
>>
>> Je suis loin d'�tre un fan de FTP, mais il faut reconna�tre que
>> parfois, c'est une solution acceptable.
>
> Peut-etre plus difficile � configurer, mais je ne vois pas ce qui peut
> etre fait avec ftp qui ne peut pas l'etre avec sftp.
il est quasi impossible de faire du sftp avec un shell restreint, sauf
rssh, mais dans ce cas il est parfois trop restreint.