1 Topic by Zigobs (edited by Zigobs 2009-05-27 20:46:24)

  • Registered: 2009-05-25
  • Posts: 11

Topic: [Ok] Mauvais groupe pour les fichiers dans un répertoire uploadé

Bonsoir,

Pour ce premier post je tiens à féliciter votre équipe, voilà c'est fait wink

Tout d'abord pour être le plus clair possible voilà les données du problème.

1/ J'ai créé un utilisateur unix "echange-distant"

2/ J'ai ajouté cet utilisateur au groupe "collaborateurs"

3/ J'ai un répertoire "echange" sur un serveur Ubuntu avec les droits SGID

sudo chmod g+s echange
drwxrwsr-x 31 atlas           collaborateurs   4096 2009-05-25 21:42 echange

4/ Voilà mon sftp_config

<Default>
        GlobalDownload          500k
        GlobalUpload            0 
        Download                0
        Upload                  0
        StayAtHome              true
        VirtualChroot           true
        LimitConnection         10
        LimitConnectionByUser   10
        LimitConnectionByIP     5
        Home                    /home/$USER
</Default>
<User echange-distant>
Home /home/echange
DefaultRights 0770 0770
</user>

Quand je transfère un fichier dans "echange" avec WinSCP (sous Windows) pas de problème, le fichier appartient au bon groupe avec les bons droits

-rwxrwx---  2 echange-distant collaborateurs  4096 2009-05-25 22:12 test-acces-distant.txt

Par contre quand je transfère un répertoire, le répertoire a les bons droits

drwxrwx---  2 echange-distant collaborateurs  4096 2009-05-25 22:12 test-acces-distant

MAIS depuis le serveur je ne peux pas lister le contenu du répertoire avec la console sans être loggué en tant que "echange-distant" car les fichiers contenus dans le répertoires n'ont pas le bon groupe :

sudo ls -l test-acces-distant/
-rwxrwx---  1 echange-distant echange-distant   28 2008-08-12 11:00 CRC32.txt
-rwxrwx---  1 echange-distant echange-distant   52 2008-08-12 11:00 MD5.txt
-rwxrwx---  1 echange-distant echange-distant   60 2008-08-12 11:00 SHA1.txt

Quelle est mon erreur ?

Que dois-je faire pour que les fichiers contenus dans le répertoire uploadé sur le serveur avec WinSCP appartiennent aussi au groupe "collaborateurs" ?

Merci pour votre aide

  • teka
  • Administrator
  • Offline
  • From: France
  • Registered: 2007-11-18
  • Posts: 806

Re: [Ok] Mauvais groupe pour les fichiers dans un répertoire uploadé

Bonsoir,

De souvenir les droits SGID change les droits du groupe uniquement pour les éléments créés dans ce répertoire.

1ère solution:
Si je ne dis pas de bétise, il faudrait que chaques répertoires portent les droits SGID pour résoudre ce problème là smile

2ème solution:
L'utilisateur "echange-distant" a pour groupe principale "collaborateurs" (mais ceci n'est peut-être pas compatible avec vos besoins).

  • Registered: 2009-05-25
  • Posts: 11

Re: [Ok] Mauvais groupe pour les fichiers dans un répertoire uploadé

Bonjour,

Merci d'avoir pris le temps de répondre

1ère solution:
Si je ne dis pas de bétise, il faudrait que chaques répertoires portent les droits SGID pour résoudre ce problème là

Voilà ce que j'ai pu trouver sur le SGID

DROIT SGID
Ce droit fonctionne comme le droit SUID, mais appliqué aux groupes. Il donne à un utilisateur les droits du groupe auquel appartient le propriétaire de l'exécutable et non plus les droits du propriétaire. De plus, ce droit à une tout autre utilisation s'il est appliqué à un répertoire. Normalement, lorsqu'un fichier est créé par un utilisateur, il en est propriétaire, et un groupe par défaut lui est appliqué (généralement users si le fichier a été créé par un utilisateur, et root s'il a été créé par root). Cependant, lorsqu'un fichier est créé dans un répertoire portant le droit SGID, alors ce fichier se verra attribuer par défaut le groupe du répertoire. De plus, si c'est un autre répertoire qui est créé dans le répertoire portant le droit SGID, ce sous-répertoire portera également ce droit.

Donc en théorie cela s'applique à mon cas puisque j'upload un répertoire dans le répertoire "echange" auquel j'ai appliqué le SGID.

2ème solution:
L'utilisateur "echange-distant" a pour groupe principale "collaborateurs" (mais ceci n'est peut-être pas compatible avec vos besoins).

C'est déjà le cas, l'utilisateur echange-distant appartient au groupe "collaborateurs"

Là je cale... sad

  • teka
  • Administrator
  • Offline
  • From: France
  • Registered: 2007-11-18
  • Posts: 806

Re: [Ok] Mauvais groupe pour les fichiers dans un répertoire uploadé

Bonsoir

Zigobs wrote:

Bonjour,

Merci d'avoir pris le temps de répondre

Pas de soucis

Zigobs wrote:

Voilà ce que j'ai pu trouver sur le SGID

DROIT SGID
Ce droit fonctionne comme le droit SUID, mais appliqué aux groupes. Il donne à un utilisateur les droits du groupe auquel appartient le propriétaire de l'exécutable et non plus les droits du propriétaire. De plus, ce droit à une tout autre utilisation s'il est appliqué à un répertoire. Normalement, lorsqu'un fichier est créé par un utilisateur, il en est propriétaire, et un groupe par défaut lui est appliqué (généralement users si le fichier a été créé par un utilisateur, et root s'il a été créé par root). Cependant, lorsqu'un fichier est créé dans un répertoire portant le droit SGID, alors ce fichier se verra attribuer par défaut le groupe du répertoire. De plus, si c'est un autre répertoire qui est créé dans le répertoire portant le droit SGID, ce sous-répertoire portera également ce droit.

Donc en théorie cela s'applique à mon cas puisque j'upload un répertoire dans le répertoire "echange" auquel j'ai appliqué le SGID.

Non justement les répertoires intérieures ne portent plus le droit SGID wink


Zigobs wrote:

C'est déjà le cas, l'utilisateur echange-distant appartient au groupe "collaborateurs"

L'utilisateur a bien pour groupe principale "collaborateurs" ?
Le groupe principale d'un utilisateur est défini par /etc/password (la 2ème colonne si je ne dis pas de bêtises) ?

  • Registered: 2009-05-25
  • Posts: 11

Re: [Ok] Mauvais groupe pour les fichiers dans un répertoire uploadé

Bonsoir,

Merci pour ton aide, mon problème est résolu !!

L'utilisateur a bien pour groupe principale "collaborateurs" ?
Le groupe principale d'un utilisateur est défini par /etc/password (la 2ème colonne si je ne dis pas de bêtises) ?

Et bien non !! Le groupe "collaborateurs" n'était pas le groupe principal de "echange-distant", j'ai donc modifié cela dans /etc/passwd et tout marche à merveille.

Maintenant quand j'upload un répertoire dans "echange", le nouveau répertoire et son contenu appartiennent au bon groupe avec les bons droits.

Youpi !

Par contre voilà ce que j'ai constaté à propos du SGID

Non justement les répertoires intérieures ne portent plus le droit SGID

Bizarre

Avec le terminal sur le serveur je me loggue avec un utilisateur "alice" qui appartient au groupe "collaborateurs" et je me positionne dans le répertoire "echange" (qui porte le droit SGID) et je crée un répertoire "repdetest", voilà ce que ça donne :

drwxr-sr-x  2 alice collaborateurs  4096 2009-05-27 21:11 repdetest

Note le "s" du droit SGID qui a donc bien été hérité du répertoire parent "echange" qui porte ce même droit SGID.
Au passage on peut également noter que le groupe "collaborateurs" n'a pas les droits d'écriture sur ce répertoire, ce qui est très facheux mais je verrai ça plus tard neutral

Il me semble donc que pour cette question des droits SGID hérité par les sous-répertoires c'est bien ce que j'avais compris en lisant cette phrase (source : http://fr.wikipedia.org/wiki/Permission … Droit_SGID )

De plus, si c'est un autre répertoire qui est créé dans le répertoire portant le droit SGID, ce sous-répertoire portera également ce droit.

Sinon quelle est ton interprétation de la phrase précédente ?

En tout cas le SGID est hérité sur un sous-répertoire créé via la console mais ça n'est pas le cas via WinSCP.

Enfin bref, cela n'a plus d'importance...

En tout cas encore merci pour ton aide plus que précieuse big_smile

  • teka
  • Administrator
  • Offline
  • From: France
  • Registered: 2007-11-18
  • Posts: 806

Re: [Ok] Mauvais groupe pour les fichiers dans un répertoire uploadé

Bonsoir,

Heureux d'avoir débloqué la situation wink


Sinon concernant la phrase, je me méfie toujours un peu des traductions françaises... en général quand j'ai un doute, je test smile