Gérer les permissions sur un montage CIFS

I. Présentation

Dans ce tutoriel, nous allons apprendre à gérer les permissions sur un montage CIFS. La plupart du temps, les montages de dossiers partagés se font en tant que root avec l'option "auto". On peut cependant gérer les permissions, le propriétaire et le groupe propriétaire de manière précise en montant un partage CIFS sous Linux.

II. Gestion du propriétaire et du groupe

Nous pouvons déjà affecter un montage à un utilisateur précis plutôt qu'au super-utilisateur "root". Il nous faut pour cela récupérer l'uid "User Identifier" et le gid "Group Identifier" de l'utilisateur dans le fichier "/etc/passwd". Par exemple pour l'utilisateur "neoflow" :

L'UID (chiffre rose de gauche) et le GID (chiffre rose de droite) sont tous les deux "1001". Nous allons donc utiliser ces chiffres pour former notre ligne de montage dans le fichier "/etc/fstab". Si nous souhaitons par exemple monter notre partage distant "\\192.168.1.32\partage" dans le dossier local "/media/remote_partage" :

mkdir /media/remote_partage

Puis on modifie le fichier "/etc/fstab"

//192.168.1.32/partage /media/remote_partage cifs rw,user=neoflow,password=neoflowpass,uid=1001,gid=1001 0 0

On voit ici dans un premier temps que l'on monte un partage cifs (qui peut être un partage samba normal), on indique ensuite les identifiants de connexion au serveur ("user" et "password") puis nous indiquons l'uid et le gid que nous voulons comme propriétaire du point de montage (le point de montage est le dossier dans lequel nous montons notre répertoire partagé : "/media/remote_partage"). On pourra ensuite monter notre partage avec la commande "'mount -a" qui relis et applique entièrement le fichier "/etc/fstab". Nous vérifierons ensuite les droits sur notre point de montage :

ls -al /media

Samba04

On voit donc bien ici que c'est l'utilisateur "neoflow" (uid "1001") qui est le propriétaire et que c'est le groupe "neoflow" (gid "1001") qui est le groupe propriétaire.

III. Gestion des permissions sur le point de montage

Le problème ici est que les droits sont ouvert à tous ("rwx" pour le propriétaire, pour le groupe et pour les autres utilisateurs). Nous allons donc vouloir que les utilisateurs ne puissent plus accéder à ce partage. Les seul à y accéder seront les membres du groupe "neoflow", "neoflow" lui même et "root" bien entendu. Pour cela, nous allons utiliser le mécanisme de l'umask qui défini un plafond de droit qu'il est possible d'avoir.

L'umask pour les fichiers et pour les répertoires se défini de façon différente sur le déploiement d'un point de montage. On utilisera les options "file_mode" et "dir_mode". Pour que les autres utilisateurs et le groupe n'aient pas accès au partage par exemple, nous utiliserons les options comme suivant :

Samba05

Nous montrons enfin notre partage avec la commande "mount -a" puis nous pourron vérifier les droits sur notre point de montage avec la commande "ls -l"

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Fondateur d'IT-Connect.fr et d'Information-security.fr. Auditeur sécurité chez Amossys.

    mickael has 478 posts and counting.See all posts by mickael

    Une pensée sur “Gérer les permissions sur un montage CIFS

    • Bonjour,
      Il me semble qu’il faut écrire file_mode=0700 et dir_mode=0700 pour avoir une « équivalence » à umask=0077.

      Répondre

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

     

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.