[User] Droits très personnalisés pour un user

Questions et astuces concernant l'installation et la configuration d'archlinux
Avatar de l’utilisateur
Feng
yeomen
Messages : 273
Inscription : mer. 07 avr. 2010, 20:19

[User] Droits très personnalisés pour un user

Message par Feng »

Bonjour,

J'ai installé sur mon dédié un server minecraft pour des amis, et ils auraient besoin d'un accès SSH pour mettre à jour les modules et effectuer des opérations d'administration.

Je souhaite donc leur créer un utilisateur qui peut effectuer des opérations UNIQUEMENT dans le répertoire de minecraft (/srv/minecraft), ces opérations doivent être limitées : wget, ls, tar, unrar, unzip, cd, pwd, cp, mv, rm, et chmod ; je pense que c'est tout. J'ai donc pensé à utiliser le user de minecraft mais je pense pas que ce soit bien car ça donnerait à l'application minecraft elle-même des droits supplémentaires.
J'ai aussi pensé à créer un autre user dont le home serait /srv/minecraft , mettre son bash à /bin/false et créer un sudoers.d/admin_minecraft qui contient quelques droits mais si je fais ça le user ne pourra pas se connecter en ssh !!

Je ne sais donc pas comment procéder et viens chercher conseil ici :)
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [User] Droits très personnalisés pour un user

Message par benjarobin »

Si tu veux vraiment limiter l'utilisateur tu n'as pas d'autre choix que de faire un chroot :-)
Une bonne piste ici : http://geekfault.org/2010/12/05/devenez ... ns-risque/
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Feng
yeomen
Messages : 273
Inscription : mer. 07 avr. 2010, 20:19

Re: [User] Droits très personnalisés pour un user

Message par Feng »

Ok, le tuto est assez sympa. Si j'ai bien compris, il faut que je mette la liste des commandes autorisées dans le dummyshell :

Ici j'ai ajouté l'autorisation de la commande "cp" .

Code : Tout sélectionner

#!/bin/bash
if (( $# == 0 )); then
        printf "%s\n" "shell access is disabled. sorry."
        exit 1
elif (( $# == 2 )) && [[ $1 == "-c" && ($2 == "rsync --server"* || $2 == "cp") ]]; then
        exec $2
fi
Ca semble correct ?
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [User] Droits très personnalisés pour un user

Message par benjarobin »

Euh non... Sinon j'ai bien dis que c'est un exemple, il faut énormément adapter, mais la section "Créer l’environnement chroot" est vraiment bien faite et expliqué :D

Tu es obligé dans ton cas de laissé l'accès à bash (Donc risque de fork bomb, mais tu n'as pas le choix, à moins de trouver/créer un shell avec aucune commande intégré...)
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Feng
yeomen
Messages : 273
Inscription : mer. 07 avr. 2010, 20:19

Re: [User] Droits très personnalisés pour un user

Message par Feng »

Hum ok. Je crains pas tellement la bomb fork, à la base c'est un utilisateur de confiance, c'est surtout pour éviter les erreurs de frappe type rm -rf / :D

Ceci étant je risque d'avoir un problème avec le chroot :

L'utilisateur doit avoir des droits dans /srv/minecraft (dont celui de changer le propriétaire pour "minecraft" après un upload FTP de module ou un wget du module directement sur le serveur, ou du chmod pour rentre exécutable), mais le dossier /srv/minecraft doit toujours appartenir à l'utilisateur "minecraft" pour le bon fonctionnement de l'application !

Or :
Pour qu’un chroot fonctionne correctement, il faut que sa racine appartienne à root
:/ Any issue ??
Avatar de l’utilisateur
mélodie
Maître du Kyudo
Messages : 2784
Inscription : lun. 30 oct. 2006, 02:06
Localisation : Pyrénées

Re: [User] Droits très personnalisés pour un user

Message par mélodie »

Ça ne se configure pas plutôt du côté du fichier de conf du serveur ça ? Par défaut tout ce qui est dedans est à "user:group" où user sera le user par défaut (par exemple un user que tu nommeras "joueur") et groupe "minecraft" ? Alors que le répertoire lui-même (et non son contenu) appartiendra à "root:root".

Je ne suis pas experte hein ? Je suis juste intéressée par le sujet. :)
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [User] Droits très personnalisés pour un user

Message par benjarobin »

Je ne connais pas minecraft (enfin le serveur), mais en théorie oui c'est cela
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Répondre