Re: [FRsAG] Désactiver chmod +x sur un répertoire
Vraiment pas bête et assez puissant, je test ça :) Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de montage noexec ?
Je veux pas faire le relou mais ça va être valable pour toute la partition, donc y compris les /bin de chaque user.
Le 29 sept. 2021 à 15:29, Élodie BOSSIER via FRsAG <frsag@frsag.org> a écrit :
Vraiment pas bête et assez puissant, je test ça :)
Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de montage noexec ?
Liste de diffusion du FRsAG http://www.frsag.org/
Un grand merci à tous le monde. Le /www/ vient du filer en NFS alors que les /bin etc... sont locaux (cp ou mount -bind) sur les clients NFS où se trouve le chroot, alors le noexec dans le mount est parfait :) Le 29/09/2021 à 15:37, David Ponzone a écrit :
Je veux pas faire le relou mais ça va être valable pour toute la partition, donc y compris les /bin de chaque user.
Ah ben merveilleux effectivement :) Ceci annule donc mon mail précédent.
Le 29 sept. 2021 à 15:42, Élodie BOSSIER <mailing-list@franceserv.fr> a écrit :
Un grand merci à tous le monde.
Le /www/ vient du filer en NFS alors que les /bin etc... sont locaux (cp ou mount -bind) sur les clients NFS où se trouve le chroot, alors le noexec dans le mount est parfait :)
Le 29/09/2021 à 15:37, David Ponzone a écrit :
Je veux pas faire le relou mais ça va être valable pour toute la partition, donc y compris les /bin de chaque user.
Sans le +x sur le répertoire, les ‘cd’ vont beaucoup moins bien marcher... Sinon SElinux pourrait pas le faire ? j’avais trouvé une KB redhat a ce sujet On 29 September 2021 at 15:39:54, David Ponzone (david.ponzone@gmail.com) wrote: Je veux pas faire le relou mais ça va être valable pour toute la partition, donc y compris les /bin de chaque user.
Le 29 sept. 2021 à 15:29, Élodie BOSSIER via FRsAG <frsag@frsag.org> a écrit :
Vraiment pas bête et assez puissant, je test ça :)
Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de montage noexec ?
Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Je viens de tester et le noexec dans le mount fait apparemment la distinction entre le +x et le +X des répertoires. Le 29/09/2021 à 15:45, professor geek a écrit :
Sans le +x sur le répertoire, les ‘cd’ vont beaucoup moins bien marcher... Sinon SElinux pourrait pas le faire ? j’avais trouvé une KB redhat a ce sujet
On mercredi 29 septembre 2021 15:48:15 CEST, Élodie BOSSIER via FRsAG wrote:
Le 29/09/2021 à 15:45, professor geek a écrit :
Sans le +x sur le répertoire, les ‘cd’ vont beaucoup moins bien marcher... Je viens de tester et le noexec dans le mount fait apparemment la distinction entre le +x et le +X des répertoires.
+X c'est exactement la même chose sur le disque que +x. La seule différence c'est que la commande chmod +X n'applique +x que pour les répertoires. Et effectivement, noexec n'a aucune influence sur le droit x des répertoires, vu que ce n'est pas le droit d'exécution mais le droit de traverser le répertoire, différent du droit r de voir les fichiers dans le répertoire. Donc cd sur un répertoire en --x ca marche, mais ls non. Inversement, r-- sur un répertoire, ls marche, cd non, et on ne peut accéder a aucun fichier.
Attention un script shell, du python / perl / php ... déposé sur une partition en noexec il suffit de mettre l'interpréteur devant et ça se lance. bash ./monscript.sh ou équivalent python ./monscript.py ça marche en noexec car l'exécution de l'interpréteur se situe dans /usr/bin ou /bin. Et y a tellement d'autres manières de contourner, si tu laisses vim, emacs, mc alors les utilisateurs peuvent lancer un shell échappé même dans un chroot. Y a aussi pas mal de commande shell pour s'échapper d'un chroot. Donc plutôt privilégier selinux. Le 29/09/2021 à 15:29, Élodie BOSSIER via FRsAG a écrit :
Vraiment pas bête et assez puissant, je test ça :)
Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de montage noexec ?
Liste de diffusion du FRsAG http://www.frsag.org/
participants (5)
-
David Ponzone -
professor geek -
Vincent Tondellier -
Wallace -
Élodie BOSSIER