Configuration permissions sous debian 8 Le sujet est résolu

Demande d'aide : c'est ici.
Répondre
tonio_8
Messages : 3
Enregistré le : 02 août 2019, 14:03
Status : Hors ligne

02 août 2019, 14:12

Bonjour à tous,

Première fois que je me lance sur un forum.
J’ai vu que celui-ci avait pas mal d’activités récentes :smile:

Comme vu dans le titre, aujourd’hui j’aimerai aborder le sujet des permissions users/folders sous linux
Pour information : je suis sur un serveur (VPS) configuré sous Debian 8

J’utilise Lynis pour avoir des petites suggestions et conseils concernant la sécurité du serveur
Cependant je planche sur deux de ses “warnings” concernant les permissions :

Code : Tout sélectionner

! Owner of some users' home directories are not correctly set [HOME-9306]
! Permissions of some users' home directories are not strict enough. Should be 750 or more restrictive. [HOME-9304]
Permissions root :

Code : Tout sélectionner

root@vpsmine:~$ ls -al -l
total 31428
drw-------  6 root  root     4096 juil. 30 15:46 .
drwx-wxr-x 22 root  root     4096 août   2 05:37 ..
-rw-r--r--  1 root  root     6879 août   2 05:40 .bash_history
-rw-r--r--  1 root  root      756 juil. 26 07:50 .bashrc
-rw-------  1 root  root      248 août   1 15:14 dead.letter
drwx------  2 root  root     4096 août   1 11:25 .gnupg
-rw-r--r--  1 root  root    10891 juil. 26 11:17 index.html
-rw-r--r--  1 root  root    10891 juil. 26 11:17 index.html.1
-rw-------  1 root  root   114688 juil. 26 09:26 mbox
-rw-------  1 root  root      118 août   1 16:31 .nano_history
-rw-r--r--  1 root  root 31961064 févr.  7  2018 openvpn-as-2.1.12-Debian8.amd_64.deb
-rw-r--r--  1 root  root    14247 juil. 29 18:43 openvpn-install.sh
-rw-r--r--  1 root  root       50 mars  24 04:10 .ovhrc
-rw-r--r--  1 root  root      148 août  17  2015 .profile
drwxr-xr-x  3 root  root     4096 juil. 30 06:43 .python-eggs
-rw-------  1 root  root     1024 juil. 30 05:26 .rnd
drwx------  2 root  root     4096 juil. 24 09:07 .ssh
drwxr-xr-x  2 root  root     4096 juil. 28 12:13 .vim
-rw-------  1 root  root     5012 juil. 30 15:46 .viminfo
root@vpsmine:~$ 
Permissions /home :

Code : Tout sélectionner

tonio@vpsmine:/home$ ls -al -l
total 20
drwx---r-x  3 root  root    4096 août   1 11:52.
drwx-wxr-x 22 root  root    4096 août   2 05:37 ..
drwx-wxr-x  3 debian debian 4096 juil. 24 09:01 debian
drw-------  5 root  root    4096 août   1 11:52 root
drwx--x--x  5 tonio tonio   4096 août   1 11:27 tonio
tonio@vpsmine:/home$
Permissions user principal :

Code : Tout sélectionner

tonio@vpsmine:~$ ls -al -l
total 64
drwx--x--x 3 tonio tonio  4096 août    1 11:27 .
drwx---r-x 3 root  root   4096 août    1 11:52 ..
-rw-r----x 1 tonio tonio  4829 août    1 16:32 .bash_history
-rw-r----x 1 tonio tonio   220 juil.  24 13:16 .bash_logout
-rw-r----x 1 tonio tonio  3701 juil.  26 04:51 .bashrc
-rw------- 1 tonio tonio   807 juil.  28 13:42 dead.letter
-rw-r--r-- 1 root  root      0 juil.  27 18:41 etc
drwxr----- 1 root  root   4096 juil.  25 05:34 lynis
-rw-r----- 1 root  root  14247 juil.  30 13:26 openvpn-install.sh
-rw-r----x 1 tonio tonio   675 juil.  24 13:16 .profile
-rw-r----- 1 root  root   2988 août    1 11:00 scriptnettoyage.sh
-rw-r----x 1 tonio tonio  1987 juil.  26 11:22 .viminfo
-rw-r----x 1 tonio tonio   106 juil.  30 15:15 .Xauthority
tonio@vpsmine:~$ 

J’ai essayé de mettre les permissions en dessous de 750 comme demandé, de modifier les permissions de Home… sans réel succès (j’ai même bloqué l’accès à mon user principal…)
Après un rétablissement de la situation, je me suis demandé : quoi de mieux que de demander de précieux conseils d’experts en la matière !

J’aimerai donc savoir ce qui cloche au niveau de mes permissions… et savoir qu’est ce qui est mal configuré

Merci d’avance à celui ou celle qui prendra le temps de me lire, et encore mieux de m’aider

Bien à tous
Tonio
PascalHambourg
Contributeur
Contributeur
Messages : 357
Enregistré le : 05 août 2016, 20:25
Status : Hors ligne

03 août 2019, 20:39

tonio_8 a écrit :
02 août 2019, 14:12
! Owner of some users' home directories are not correctly set
Ce programme daigne-t-il préciser de quels répertoires il s'agit et en quoi le propriétaire est mal positionné ?
tonio_8 a écrit :
02 août 2019, 14:12
Permissions of some users' home directories are not strict enough. Should be 750 or more restrictive.
Effectivement , les permissions sont anormales. Elles ne sont même pas réglées à 755 (rwxr-xr-x) comme défini par défaut dans Debian. On t'a déjà répondu dans l'autre forum comment modifier les permissions lors de la création d'un utilisateur, je ne reviens pas dessus. Pour modifier les permissions des répertoires existants, utiliser chmod, par exemple :

Code : Tout sélectionner

chmod 750 /home/*
Il y a d'autres bizarreries dans tes sorties.
tonio_8 a écrit :
02 août 2019, 14:12
root@vpsmine:~$ ls -al -l
total 31428
drw------- 6 root root 4096 juil. 30 15:46 .
drwx-wxr-x 22 root root 4096 août 2 05:37 ..
L'invite de commande de root a l'aspect de celle d'un utilisateur normal ($) au lieu de l'aspect habituel de celle de root (#). Normal ?
Les permissions du répertoire parent "..", à savoir /, sont anormales. Elles devraient être rwxr-xr-x.
Les permissions du répertoire /root, sans droit de traversée x même pour son propriétaire, sont aussi anormales.
Cela n'a pas un gros impact fonctionnel dans la mesure où ces anomalies concernent les permissions de l'utilisateur proprétaire root (qui passe par dessus les permissions) et du groupe propriétaire root, dont le seul membre est en principe root lui-même. Mais c'est moche.
tonio_8 a écrit :
02 août 2019, 14:12
tonio@vpsmine:/home$ ls -al -l
total 20
drwx---r-x 3 root root 4096 août 1 11:52 .
drwx-wxr-x 22 root root 4096 août 2 05:37 ..
drwx-wxr-x 3 debian debian 4096 juil. 24 09:01 debian
drw------- 5 root root 4096 août 1 11:52 root
drwx--x--x 5 tonio tonio 4096 août 1 11:27 tonio
Ici c'est la fête du slip. On retrouve les permissions anormales sur le répertoire parent (/).
Les permissions sur les répertoires debian et tonio sont aberrantes. Elles peuvent être rwxr-xr-x ou rwx------ mais pas les valeurs actuellement définies.
Le pompon, c'est le répertoire root. Qu'est-ce qu'il fait dant /home ? Ce n'est pas le répertoire personnel de root, /root qui est directement à la racine /. Et à nouveau les permissions rw------- sans droit de traversée x.
tonio_8
Messages : 3
Enregistré le : 02 août 2019, 14:03
Status : Hors ligne

11 août 2019, 17:01

Hello,
Merci d'avoir répondu et désolé pour le temps de réponse

Oui j'ai finalement réussi à savoir de quoi parlait Lynis pour la mauvaise configuration
Il fallait que je mette /usr/sbin en 750 !
Mais depuis, dans ma session user tonio, j'ai des messages "permissions non accordéés" de la part de mail.. c'est une autre histoire
permissions -home.PNG
permission root.PNG
Je pense que les permissions actuelles seront moins délirantes :good:
J'ai également remis "." et ".." de root en 755, comme tu disais c'était moche !

Tonio
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.
PascalHambourg
Contributeur
Contributeur
Messages : 357
Enregistré le : 05 août 2016, 20:25
Status : Hors ligne

13 août 2019, 11:08

Pourquoi avoir inséré des captures d'écran graphiques qu'on ne peut voir qu'en étant connecté au forum au lieu des copies de texte brut comme dans ton message initial ?
tonio_8 a écrit :
11 août 2019, 17:01
Oui j'ai finalement réussi à savoir de quoi parlait Lynis pour la mauvaise configuration
Il fallait que je mette /usr/sbin en 750 !
Vraiment ? Je suis très dubitatif en lisant cela.
1) Les deux avertissements que tu as cités parient de "home directories", je ne vois pas le rapport avec /usr/sbin.
2) 750 pour /usr/sbin, ça ne va pas bien marcher : il faut les permissions en lecture et exécution pour tout le monde, donc 755.
tonio_8 a écrit :
11 août 2019, 17:01
J'ai également remis "." et ".." de root en 755
Le contenu de /root ne devrait pas être lisible par les autres utilisateurs, donc 750.
tonio_8
Messages : 3
Enregistré le : 02 août 2019, 14:03
Status : Hors ligne

13 août 2019, 11:31

Je pensais que cela serait plus clair, je n'étais pas au courant

Oui vraiment, quand j'ai tapé "Lynis show details HOME-9304" et "Lynis show details HOME-9306" cela me disait de passer /usr/sbin en 750 ou moins
Et effectivement en le faisant j'ai par la suite des problèmes de permissions mais le warning de Lynis a disparu..
J'ai remis 755 au final

C'est vrai, je modifie donc les fichiers root en 750

Merci pour tes réponses
Répondre