On Mon, 2011-08-29 at 11:47 +0200, guilde@??? wrote:
> Hello folks,
>
> Comment empêcher, inconditionnellement, un utilisateur "normal" de
> mettre des permissions trop élevées sur ses fichiers ? umask ne règle le
> pb que pour les valeurs par défaut, mais n'empêche pas que l'utilisateur
> change les permissions ensuite.
>
> Scanner les fichiers après coup est trop lent et trop tard. Et je
> deviens dingue à force d'expliquer que non, on ne suit pas les conseils
> de joomla qui dit de tout passer en 777 pour installer... et de ne pas
> le faire non plus via FTP avec Filezilla ou autre.
Salut,
Question très intéressante, j'ai creusé et te propose d'utiliser les
notifications provenant du kernel par inotify pour déclencher un script
qui teste et retire les permissions "other" à la volée.
On peut imaginer exclure les utilisateurs éduqués de ce mécanisme par un
simple test d'appartenance à un groupe particulier.
Évidemment pour faire un prototype (avant de coder en C éventuellement),
il vaut mieux commencer par un script en "root" à base de
"inotify-tools":
https://github.com/rvoicilas/inotify-tools/wiki/
Quelques exemples:
http://ubuntuforums.org/showthread.php?t=950939
http://ubuntuforums.org/showthread.php?t=1555675
Par contre, je m'inquiète de la latence que tu pourrais obtenir lors
d'une extraction d'archive qui en général dépose le fichier puis modifie
les permissions. Ton script "inotify" déclenchera donc deux fois par
fichier. Bref je pense que tu constateras rapidement le besoin d'écrire
ton code en C pour des raisons de performance et de confort utilisateur.
Je suis intéressé de voir le résultat.
--
Yves
