Re: Comment empêcher un utilisateur de mettre ses fichiers …

Top Page

Reply to this message
Author: Vincent Caron
Date:  
To: guilde@guilde.asso.fr
Subject: Re: Comment empêcher un utilisateur de mettre ses fichiers en 777 ?
On Mon, 2011-08-29 at 14:08 +0200, guilde@??? wrote:
>
> Oui, je connais inotify. J'espérais éviter, d'autant qu'il faut qu'un
> démon tourne en permanence, et si pour une raison quelconque il
> stoppe, plus de protection.


Je plusse, c'est risqué niveau performances le monitoring via inotify.
Changer les attribus de fichier pendant qu'on extrait un tarball, c'est
un risque non négligeable de "thrashing"...

Si les volumes sont raisonnables, le chmod récursif peut rester
intéressant. Il suffit de mesurer :

$ time ionice -c3 chmod -R go-w /var/www/kéké.com

Et reporter ce temps à la fréquence. Idéalement ça devrait être lancé
une fois les modifications faites par l'utilisateur : par exemple quand
une session FTP ou shell se termine (ex: ~/.bash_logout). Si le chmod -R
prend moins de 10sec, ça ne me semblerait pas fou d'aller voir via cron
toutes les minutes dans les logs si une session FTP pour le compte
concernée s'est terminée.

Perso je ferais plutôt un outil de monitoring qui relèverait tous les
fichiers abusivement chmodés et enverrait ça par mail tous les jours à
l'utilisateur bour^H^H^H^Hindélicat. On est BOFH ou pas.