dossier partagé entre plusieurs utilisateurs

geole · Le 29/03/2025, à 13:23

kersaweol a écrit :

Je suis toujours à me poser la question si je suis le seul à souhaiter mettre en place un dossier partagé et dont l'accès défini et permis soit pérenne au fil du temps...

Bonjour.
Je ne sais que dire. Peut-être avais-je déjà trafiqué la gestion de création de fichiers
Tous mes fichiers se fabriquent en rwxrwxr-- Je viens de faire un chmod pour en avoir un en -rwxr-----
Exemple

a@b:~$ id
uid=1000(a) gid=1000(a) groupes=1000(a),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),100(users),122(lpadmin),135(lxd),136(sambashare)
a@b:~$ 
a@b:~$ ls -l $HOME/xxx*
-rwxr----- 1 a a 6 mars  29 12:01 /home/a/xxx
-rwxrwxr-- 1 a a 6 mars  29 12:06 /home/a/xxxx
a@b:~$

Exécution de la copie et vérification

a@b:~$ cd /media/Partage
a@b:/media/Partage$ ls -l
total 24
drwxrws--- 2 a    users  4096 mars  20 17:25 Docs_communs
drwx------ 2 root root  16384 mars  20 16:57 lost+found
drwxrws--- 2 a    users  4096 mars  29 12:08 TEST1
a@b:/media/Partage$ ls -l TEST1
total 8
-rwxr----- 1 a users 6 mars  29 12:08 xxx
-rwxrwxr-- 1 a users 6 mars  29 12:08 xxxx
a@b:/media/Partage$

Le nouveau groupe est bien positionné et les permissions sont conservées.
Dans mon contexte, les permissions étant par défaut en écriture, je n'avais pas de problème.
Cette discussion donne peu d'espoir

cependant

@b:/media/Partage/TEST1$ cp --no-preserve=all $HOME/xxx xxx1
a@b:/media/Partage/TEST1$ ls -l
total 12
-rwxr----- 1 a users 6 mars  29 12:08 xxx
-rw-rw-r-- 1 a users 6 mars  29 12:35 xxx1
-rwxrwxr-- 1 a users 6 mars  29 12:08 xxxx

b:/media/Partage/TEST1$ rm xxx*
a@b:/media/Partage/TEST1$ cp --no-preserve=all $HOME/xxx .
a@b:/media/Partage/TEST1$ ls -l
total 4
-rw-rw-r-- 1 a users 6 mars  29 12:39 xxx
a@b:/media/Partage/TEST1$

a@b:/media/Partage/TEST1$ rm xxx*
a@b:/media/Partage/TEST1$ cp --no-preserve=mode $HOME/xxx .
a@b:/media/Partage/TEST1$ ls -l
total 4
-rw-rw-r-- 1 a users 6 mars  29 12:41 xxx
a@b:/media/Partage/TEST1$

Dernière modification par geole (Le 29/03/2025, à 13:41)

eric63 · Le 29/03/2025, à 13:43

Salut
pour rassurer kersaweol tu n’es pas tout seul à avoir les mêmes problèmes de partages de dossiers et fichiers entre 2 utilisateurs.
J’ai abandonné provisoirement ce problème il y a quelques mois pour m’aérer la tête car cela devenait pour moi très ardu.
Je vais pouvoir remettre le couvert d’ci quelques jours car mon autre projet est quasi terminé et opérationnel.
Je suis avec attention ce fil en attendant.

iznobe · Le 29/03/2025, à 13:49

il me semble , à faire confirmer par @kersaweol , qu ' avec les ACL , le problème est solutionné .

reste à savoir et comprendre pourquoi chez certains le partage est solutionné avec le setgid et pourquoi chez d' autres il est necessaire d ' en arriver a l' utilisation des ACL ...

geole · Le 29/03/2025, à 14:39

Je me suis permis de relire la documentation.

https://doc.ubuntu-fr.org/tutoriel/dossier_de_partage a écrit :

Notez toutefois que cette méthode de partage a une limite plutôt dérangeante : les droits suffisants pour le groupe partageurs ne s'appliquent automatiquement que sur les nouveaux fichiers créés dans le dossier de partage. Les fichiers déplacés dans ce dossier conservent leurs propriétaires et leur mode.

iznobe · Le 29/03/2025, à 14:44

ha effectivement , donc ceci explique cela

O_20_100_O · Le 29/03/2025, à 15:08

Les fichiers déplacés dans ce dossier conservent leurs propriétaires et leur mode.

Voilà donc la raison qui fait que cela ne fonctionne pas dans tous les contextes.

Il en résulte que la solution de créer, modifier et supprimer les fichiers communs, directement dans une session dédiée et en tant que titulaire de cette session, n'est peut-être pas à rejeter.
Et pour éviter de changer de session, chacun y accède en sftp, sans mot de passe grâce à un échange de clé SSH.

iznobe · Le 29/03/2025, à 15:14

Du coup , je modifie en y ajoutant les modifications ACL ?

Par exemple comme cela :

sudo -s
adduser john users
adduser mary users
mkdir /media/Partage
chown -R $USER:users /media/Partage
chmod -R g+rwx,o-rwx /media/Partage
setfacl -Rm "default:group:users:rwx,group:users:rwx" /media/Partage/
exit

geole · Le 29/03/2025, à 18:42

Je me suis permis de relire la documentation.

https://doc.ubuntu-fr.org/tutoriel/dossier_de_partage a écrit :

Une solution possible: bindfs
Le logiciel bindfs permet de monter un répertoire en imposant les droits. Par exemple pour que tous les fichiers soient en lecture/écriture pour tous:
bindfs --perms=o+rw somedir somedir 

Alors, après pas mal de difficultés pour la codification. Voici ce que cela peut donner.
1) Installer le logiciel

sudo apt install bindfs

2) Créer un second point de montage. Par exemple

sudo mkdir /home/Partage

3) Mettre à jour le fichier /fstab pour assurer le montage complémentaire. Par exemple, avec ces deux lignes:

LABEL=Partage /media/Partage ext4 defaults
/media/Partage /home/Partage fuse.bindfs perms=0770,force-group=users

J'ai noté que "force-group=users" peut être remplacé par "create-for-group=users". Pour l'instant, je ne sais pas qu'elles sont les différences. On peut aussi mettre les deux options!
4) Démonter si besoin la partition.
5) Remonter la partition soit en bootant soit classiquement:

@b:~$ sudo mount -av
......
/media/Partage           : successfully mounted
/home/Partage            : successfully mounted

6) Vérifier

a@b:~$ ls -l /media/Partage/TEST1/xxx
-rwxr----- 1 a users 6 mars  29 13:51 /media/Partage/TEST1/xxx

a@b:~$ ls -l /home/Partage/TEST1/xxx
-rwxrwx--- 1 a users 6 mars  29 13:51 /home/Partage/TEST1/xxx
a@b:~$

Dernière modification par geole (Le 29/03/2025, à 19:15)

iznobe · Le 29/03/2025, à 18:44

oui , ba je prefere largement les ACL , surtout que là , on voit que ca fonctionne . et c' est aussi les dernieres lignes de la doc a ce sujet , que je viens de modifier

Dernière modification par iznobe (Le 29/03/2025, à 19:07)

kersaweol · Le 30/03/2025, à 08:58

Pour répondre à ta question (#253), iznobe, ça a l'air de fonctionner mais je ne comprends pas que ce qui est ajouté par martine apparaisse avec un cadenas et que je puisse néanmoins lire, copier ou supprimer...
exemple :

phil@ordi:~$ ls -l '/media/Partage/Docs_communs/PHOTOS/2025/20250316_093023.jpg' 
-rwxr-----+ 1 martine users 2626239 Mar 16 09:30 /media/Partage/Docs_communs/PHOTOS/2025/20250316_093023.jpg
phil@ordi:~$

essai avec getfacl :

phil@ordi:~$ getfacl '/media/Partage/Docs_communs/PHOTOS/2025/20250316_093023.jpg' 
getfacl : suppression du premier « / » des noms de chemins absolus
# file: media/Partage/Docs_communs/PHOTOS/2025/20250316_093023.jpg
# owner: martine
# group: users
user::rwx
group::rwx			#effective:r--
group:users:rwx			#effective:r--
mask::r--
other::---

phil@ordi:~$

que signifie "effective:r-- ?

Dernière modification par kersaweol (Le 30/03/2025, à 09:10)

iznobe · Le 30/03/2025, à 09:25

Bonjour , cela signifie que seul la lecture est autorisée pour le groupe " users " au lieu de " lecture ecriture et execution " comme indiqué à la base .
il faut voir ca comme un " mélange " de permissions , le groupe n ' étant pas prioritaire sur le propriétaire .
le fichier appartient à martine , est mis automatiquement au groupe users en RWX via les ACL , avec les permissions de lecture écriture exécution de permissions " standard " .
le résultat est donc la combinaison des permissions standard " + " ( en code ca se traduirait plutôt par un " & " logique ) celles des ACL pour groupe .
si groupe standard ET ACL sont à RWX , alors le effective est aussi RWX ,
si groupe standard est a --- ET groupe ACL RWX alors effective sera ---
si groupe standard est a RWX ET groupe ACL --- alors effective sera ---
Effective , c' est le résultat des courses entre classique ET ACL .

Pour bien comprendre comment cela se passe , il faut déjà avoir une bonne maîtrise des permissions classique et c' est pas forcément simple même en maîtrisant bien déjà les permissions classiques .

Dans le cas de ce fichier , tu peux donc lire le fichier , mais pas le supprimer , le modifier ni l' exécuter puisqu ' il appartient à martine et que les permissions du groupe n ' autorise a priori que la lecture .
Pour en etre sur , il faudrait faire un ls pour en afficher les permissions classiques dessus .

Donc si tu veux pouvoir supprimer les fichiers de martine par exemple , en tant que simple utilisateur , il faut que lorsqu ' elle crée un fichier celui-ci comporte un " W " dans les permissions du groupe .
il n' empêche que si elle importe une photo d' un appareil externe , les permissions sont gerées de base dans le telephone android et jene sais pas comment les modifier mais elles ne comportent pas de " W " pour Groupe .
Une façon plus simple de faire est peut de simplement supprimer les ACL de groupe et de mettre à la place celle d' utilisateur .

Un exemple rapide : tu met le dossier Docs en mode " standard " appartenant a phil : phil et tu ajoutes les ACL sur le user martine .
Comme phil a tout les droits sur tout ce qui lui appartient , la combinaison permissions classiques + ACL devient alors simplement les ACL attribuées pour martine .
Si tu met ACL a RWX , alors vous aurez tout deux le droit de faire tout dans le dossier Docs à condition que le fichier importé autorise tout pour le " user " ce qui n' est pas forcément le cas . En général , c' est plutôt par défaut du 6 donc du RW . meme pour les photos sur un tel Android .

il y a aussi la doc : acl .

Ha et j ' oubliais , martine peut changer les permissions de ses fichiers si besoin sans soucis vu qu ' elle en est propriétaire , soit en mode graphique ( clic droit sur le dossier Docs => proprietés ) , soit en CLI :

chmod -R g+w /media/Partage/Docs

ce qui donnera le doit d' écriture a tous les fichiers pour le groupe users dont tu fais parti , et donc tu pourras supprimer les fichiers le cas échéant .

Dernière modification par iznobe (Le 30/03/2025, à 12:52)

iznobe · Le 30/03/2025, à 13:52

J ' ai cru comprendre que cette histoire intéressait d' autre personnes que toi aussi .
Du coup je me suis permis de faire ça : https://doc.ubuntu-fr.org/tutoriel/dossier_partage
histoire de simplifier et synthétiser au maximum les choses

geole · Le 30/03/2025, à 14:12

Bonjour iznobe
Hors Sujet
C'est une très bonne idée de faire un nouveau cas pratique.
Je te donne ces informations
1) Le premier utilisateur appartient automatiquement au groupe users. Pas donc utile de l'ajouter.
2) Pensera-t-il à s'exclure de users s'il ne veut pas participer au partage? ==> peut-être serait-il mieux d'utiliser un autre nom de groupe???
3) Erreur pour $user dans sudo mkdir -pv /media/Partage/$user-Partage D'ailleurs est-ce utile le mettre? Ne serait-il pas mieux de mettre le nom du groupe utilisé?. Cela permettrait de faire faire plus d'un partage.
4) D'autre part, il faut sudo devant la commande setfacl
5) Une mise en oeuvre dans ces commandes. Attention, un autre utilisateur est intervenu pour supprimer a et créer b

a@a:~$ ls -l  /media/Partage
total 8
drwxrwxr-x+ 2 root root 4096 mars  30 13:19 a-Partage
drwxr-xr-x  2 root root 4096 mars  30 13:12 -Partage
a@a:~$ cd /media/Partage/$USER-Partage/
a@a:/media/Partage/a-Partage$ ls -l
total 0
a@a:/media/Partage/a-Partage$ echo a>a
a@a:/media/Partage/a-Partage$ ls -l
total 4
-rw-rw-r--+ 1 a a 2 mars  30 13:22 a
a@a:/media/Partage/a-Partage$ 
==> Changement d utilisateur   pour vérifier que tout  est possible
           Cela ouvre une nouvelle session que je n'ai pas capturée
==> Retour chez chez le premier utilisateur qui retrouve sa session
a@a:/media/Partage/a-Partage$ ls -l
total 8
-rw-rw-r--+ 1 testeur testeur 2 mars  30 13:26 b
-rw-rw-r--+ 1 testeur testeur 2 mars  30 13:25 testeur
a@a:/media/Partage/a-Partage$ rm testeur
a@a:/media/Partage/a-Partage$ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu Plucky Puffin (development branch)
Release:	25.04
Codename:	plucky

Dernière modification par geole (Le 30/03/2025, à 17:55)

iznobe · Le 30/03/2025, à 15:52

HS @geole , merci pour la relecture .

1°) sur ma 24.04 , je ne faisais pas parti du groupe " users " .
2)°

contexte a écrit :

Création d' un répertoire de Partage dédié au groupe " users " existant par défaut sur ubuntu . les commandes sont a passer avec l' utilisateur disposant des droits " sudo " ( admin ou superutilisateur ) . c est lui qui gère ce dossier et le met en place et qui en reste le propriétaire .

3°) corrigé .
4°) non puisque l' utilisateur qui passe la commande est propriétaire des fichiers / dossiers .

5°) j ' étudie la question . mais je ne comprends pas tout ce que tu fais avec les commandes ...
tu dis que tu change d' utilisateur ( dans commentaire ) , mais c' est toujours " a " dans le prompt suivant ...
bref , si tu pouvais " traduire " ou commenter chaque action , ca m' arrangerait grandement .
dejà là :

a@a:~$ ls -l  /media/Partage
total 8
drwxrwxr-x+ 2 root root 4096 mars  30 13:19 a-Partage
drwxr-xr-x  2 root root 4096 mars  30 13:12 -Partage

que vient faire le " -Partage " en 2eme ligne ?

Attention, un autre utilisateur est intervenu pour supprimer a et créer b

tu parles d' utilisateur ou bien de fichiers ?
perso pour travailler ( et surtout comprendre ) j' ai besoin de noms qui ne soit pas trop generique ...pour ca que j' ai mis dans le tuto " testeur " comme nom d ' utilisateur .
et que souvent je nomme mes fichiers / dossiers test / .txt .

c' est " un " cas pratique qui retranscris exactement la mise en oeuvre suivi dans cette discussion , avec le même besoin ( montage partition , creation d ' un dossier specifique de partage et mis en commun de certains fichiers avec possibilité pour les membres du groupes de modifier , lire executer les fichiers à disposition ) .
la seule chose qui change , ce sont les noms d' utilisateurs / dossiers / chemins .

EDIT : au sujet du 4°) , tu as raison , y a une ko...le dans le potage : j ' ai oublié la commande chown
Rectifié aussi

Dernière modification par iznobe (Le 30/03/2025, à 16:20)

kholo · Le 30/03/2025, à 16:17

hello
je regardais justement cela hier pour me faire des partages et un accès sftp sur un PC utilisé comme NAS...
je vous donne ma vision et ma solution pour le partage local (j'ai un truc qui coince encore pour le sftp !)
j'ai un premier utilisateur sudoer, je souhaite ajouter 2 utilisateurs et un invité.
pour cette explication sudoer sera susu, les users seront toto et tata et les invités utliseront l'utilisateur invite.

histoire de "compliquer" le truc, je vais prendre mon cas physique :
j'ai un m2 de 250Go pour l'OS et un SSD de 480Go pour les données
je commence donc par me créer un point de montage data (dossier) que je vais ensuite faire pointer sur le ssd
... dans ce que j'ai pu lire, c'est ce que vous faites avec le dossier partage par exemple ; pour adapter remplacer /media/data par le dossier que vous avez choisi. Pour moi, ce sera donc :

sudo mkdir /media/data

partie optionnelle a écrit :

montage du ssd
pour ceux qui n'ont pas à monter de device autre que celui du système... pour moi le ssd de 480Go
je cherche les infos :
sudo blkid
voici la ligne qui nous intéresse dans le retour
/dev/sda1: LABEL="data" UUID="12345678-1234-1234-1234-123456789123" TYPE="ext4" PARTLABEL="data" PARTUUID="abcdefgh-abcd-abcd-abcd-abcdefghijkl"
on remarquera que ce disque est en sda et le M2 est en sdb et que PARTLABEL="data" car j'ai pris soin de formater mon ssd avec gparted et de mettre le nom et l'étiquette à "data" ce qui est plus propre.
j'ajoute donc une ligne à mon fstab :
sudo nano /etc/fstab
## mon ssd de 480Go
UUID=12345678-1234-1234-1234-123456789123      /media/data      ext4     defaults   0       2
on reboot et le ssd est accessible dans /media/data

voilà maintenant comment je vois la chose :

prérequis a écrit :

groupes :
nous
tous
users
tata
toto
invite
tata
mdp : tata (provisoire)
dossier : /media/data/tata
groupes : nous et tous
toto
mdp : toto (provisoire)
dossier : /media/data/toto
groupes : nous et tous
invite
mdp : invite
dossier : /media/data/invite
groupes : tous
de cette façon toto et tata pourront avoir accès chacun au dossier de l'autre tout en ayant leur propre dossier
il pourront également avoir accès au dossier invite
invite ne pourra avoir accès qu'aux données de son dossier
NB : mon sudoer n'a besoin d'avoir accès à rien mais vous pourrez adapter cela si un des utilisateurs est le sudoer.
mon but est d'utiliser mon PC comme un nas avec un ensemble de services dont le partage de fichiers

maintenant on va faire chauffer la LdC !
Lignes de commandes
## CREATION DES DOSSIERS UTILISATEURS

susu@tiny:/media$ cd /media/data/
susu@tiny:/media/data$ sudo mkdir tata
susu@tiny:/media/data$ sudo mkdir toto
susu@tiny:/media/data$ sudo mkdir invite

## CREATION DE toto ET tata AVEC DROITS ET GROUPES
pour ceux qui auront créé leurs utilisateurs en graphique, vous pouvez passer les lignes de création useradd

susu@tiny:/media/data$ sudo useradd tata
susu@tiny:/media/data$ sudo useradd toto
susu@tiny:/media/data$ sudo groupadd nous
susu@tiny:/media/data$ sudo adduser toto nous
Ajout de l'utilisateur « toto » au groupe « nous »...
Ajout de l'utilisateur toto au groupe nous
Fait.
susu@tiny:/media/data$ sudo adduser tata nous
Ajout de l'utilisateur « tata » au groupe « nous »...
Ajout de l'utilisateur tata au groupe nous
Fait.
susu@tiny:/media/data$ sudo groupadd tous
susu@tiny:/media/data$ sudo adduser toto tous
Ajout de l'utilisateur « toto » au groupe « tous »...
Ajout de l'utilisateur toto au groupe tous
Fait.
susu@tiny:/media/data$ sudo adduser tata tous
Ajout de l'utilisateur « tata » au groupe « tous »...
Ajout de l'utilisateur tata au groupe tous
Fait.

## CREATION DE INVITE

susu@tiny:/media/data$ sudo useradd invite
susu@tiny:/media/data$ sudo adduser invite tous
Ajout de l'utilisateur « invite » au groupe « tous »...
Ajout de l'utilisateur invite au groupe tous
Fait.

## DROITS DES DOSSIERS UTILISATEURS

susu@tiny:/media/data$ sudo chown tata:nous tata
susu@tiny:/media/data$ sudo chown toto:nous toto
susu@tiny:/media/data$ sudo chown invite:tous invite
susu@tiny:/media/data$ ll
total 36
drwxr-xr-x 6 root     root  4096 mars  29 10:35 ./
drwxr-xr-x 4 root     root  4096 mars  29 10:21 ../
drwxr-xr-x 2 toto    nous  4096 mars  29 10:35 toto/
drwxr-xr-x 2 invite   tous  4096 mars  29 10:35 invite/
drwxr-xr-x 2 tata nous  4096 mars  29 10:35 tata/
drwx------ 2 root     root 16384 mars  29 10:15 lost+found/

## DROITS DES DOSSIERS SUITE
c'est ici que tout se joue...
## les éléments créés dans les répertoires « héritent »
## les droits et permissions du groupe propriétaire de ce répertoire

susu@tiny:/media/data$ ll
total 36
drwxr-xr-x 6 root     root  4096 mars  29 10:35 ./
drwxr-xr-x 4 root     root  4096 mars  29 10:21 ../
drwxr-xr-x 2 toto    nous  4096 mars  29 10:35 toto/
drwxr-xr-x 2 invite   tous  4096 mars  29 10:35 invite/
drwxr-xr-x 2 tata nous  4096 mars  29 10:35 tata/
drwx------ 2 root     root 16384 mars  29 10:15 lost+found/
susu@tiny:/media/data$ sudo chmod 2770 toto
susu@tiny:/media/data$ sudo chmod 2770 invite
susu@tiny:/media/data$ sudo chmod 2770 tata
susu@tiny:/media/data$ ll
total 36
drwxr-xr-x 6 root     root  4096 mars  29 10:35 ./
drwxr-xr-x 4 root     root  4096 mars  29 10:21 ../
drwxrws--- 2 toto    nous  4096 mars  29 10:35 toto/
drwxrws--- 2 invite   tous  4096 mars  29 10:35 invite/
drwxrws--- 2 tata nous  4096 mars  29 10:35 tata/
drwx------ 2 root     root 16384 mars  29 10:15 lost+found/
susu@tiny:/media/data$

Un peu de verbosité maintenant :
mes dossiers ayant en propriétaire un utilisateur et en groupe un groupe distinct ET sudo chmod 2770 donne le plein accès aux utilisateurs et groupes donnés uniquement ET le 2 de 2770 permet d'automatiser les propriétaires et groupes lors de la création de fichiers ou dossiers.

comme je suis dans le cadre d'un "NAS", pas la peine d'avoir de dossier utilisateur dans le /home
... c'est ça qui me bloque ensuite pour l'accès sftp... je vais y revenir.
## CREATION DES MOTS DE PASSE DES UTILISATEURS

susu@tiny:/media/data$ sudo passwd toto
Nouveau mot de passe : 
Retapez le nouveau mot de passe : 
passwd : le mot de passe a été mis à jour avec succès
susu@tiny:/media/data$ sudo passwd tata
Nouveau mot de passe : 
Retapez le nouveau mot de passe : 
passwd : le mot de passe a été mis à jour avec succès
susu@tiny:/media/data$ sudo passwd invite
Nouveau mot de passe : 
Retapez le nouveau mot de passe : 
passwd : le mot de passe a été mis à jour avec succès
susu@tiny:/media/data$

voilà pour ma première partie... je ne suis pas concerné par les problèmes de droits qu'il peut y avoir dans les cas ou les utilisateurs locaux toto, tata ou invite copieraient ou déplaceraient des dossiers ou fichiers depuis leur dossier personnel (et donc qui auraient comme prorio et groupe eux même) vers le dossier de partage /media/data/XXXX (toto, tata ou invite).
pour ceux qui suivront mon truc, faites moi un retour d'expérience :
création d'un dossier de toto dans /media/data/toto puis copie d'un fichier depuis /home/toto dans ce dossier puis un ll (alias de ls -l) du fichier dans le dossier de destination.

pour ceux que cela intéresse, je ne détaillerai pas ici mais juste pour expliquer :

sftp a écrit :

j'ai ajouter openssh sur le PC (NAS) j'ai d'abord testé mes accès depuis un autre PC avec les trois utilisateurs (OK), j'ai ensuite créé un fichier pour sécuriser un peu mon ssh :
sudo nono /etc/ssh/sshd_config.d/hardening.conf
## Désactive la connexion SSH en root 
## pour limiter les risques d’attaques ciblant ce compte.
PermitRootLogin no
PubkeyAuthentication yes


## Bloque l’agent forwarding SSH, 
# utilisé parfois pour contourner les restrictions d’accès.
AllowAgentForwarding no
## Désactive la possibilité 
## de créer des tunnels réseau via SSH 
## pour limiter les abus.
PermitTunnel no
## Empêche le transfert de session graphique X11, 
## souvent inutile et vecteur potentiel d’attaques.
X11Forwarding no
## Limite le nombre de tentatives de connexion infructueuses 
## avant déconnexion.
MaxAuthTries 3
## Définit un délai de 1 minute (60 secondes) 
## avant qu’une tentative de connexion échoue 
## si l’utilisateur ne s’authentifie pas.
LoginGraceTime 60

## UTILISATEURS
AllowUsers tata toto invite
ensuite j'ai voulu définir mon dossier de partage comme point root de chaque utilisateur...
Match Group nous
    ChrootDirectory /media/data/
    ForceCommand internal-sftp
    AllowTCPForwarding no
    X11Forwarding no

Match User invite
    ChrootDirectory /media/data/
#    ChrootDirectory /media/data/%u
    ForceCommand internal-sftp
    AllowTCPForwarding no
    X11Forwarding no
ainsi lorsque toto et tat se connecte en sftp via
sftp://toto@ip_du_nas/
il arrivent dans /media/data et voient les 3 dossiers toto, tata et invite
pour invite j'aurais aimé qu'il arrive dans /media/data/invite et ne voit pas les autres dossier mais c'est là que je coince :
ChrootDirectory /media/data/%u
ou ChrootDirectory /media/data/%h
ou ChrootDirectory /media/data/invite
ne fonctionnent pas (le client est jeté par le serveur)
voici le log que j'obtiens sur le serveur dans le fichier /var/log/auth.log :
...
Mar 29 17:43:57 tiny sshd[29452]: Accepted password for invite from 192.168.1.100 port 49316 ssh2
Mar 29 17:43:57 tiny sshd[29452]: pam_unix(sshd:session): session opened for user invite by (uid=0)
Mar 29 17:43:57 tiny systemd-logind[665]: New session 178 of user invite.
Mar 29 17:43:57 tiny systemd: pam_unix(systemd-user:session): session opened for user invite by (uid=0)
Mar 29 17:43:58 tiny sshd[29513]: fatal: bad ownership or modes for chroot directory component "/media/data/invite/"
Mar 29 17:43:58 tiny sshd[29452]: pam_unix(sshd:session): session closed for user invite
Mar 29 17:43:58 tiny systemd-logind[665]: Session 178 logged out. Waiting for processes to exit.
Mar 29 17:43:58 tiny systemd-logind[665]: Removed session 178.
j'ai modifié les droit de /media/data/invite dans tous les sens mais rien à faire
... alors à suivre !

Dernière modification par kholo (Le 30/03/2025, à 16:19)

iznobe · Le 30/03/2025, à 17:09

Bonjour kholo , il aurait mieux valu ouvrir ta propre discussion , puisque ceci est en rapport avec les serveurs plutôt .
Si ton probleme est que " invite " n' as pas de home , pourquoi ne pas lui en creer un ( pseudo home ) qui ne sera jamais utilisé : OSEF .

cette page pourra probablement t ' aider : https://doc.ubuntu-fr.org/tutoriel/gest … e_commande

geole · Le 30/03/2025, à 17:41

Bonjour Kholo.
Il faut maintenant créer un utilisateur invité. Pour ne pas faire compliqué, il faut éviter les accents et ne pas mettre de mot de passe et certainement le supprimer du groupe user

a@b:~$ sudo adduser invité
err: To avoid problems, the username should consist only of
            letters, digits, underscores, periods, at signs and dashes, and
            not start with a dash (as defined by IEEE Std 1003.1-2001). For
            compatibility with Samba machine accounts, $ is also supported
            at the end of the username.  (Use the `--allow-all-names' option
            to bypass this restriction.)
a@b:~$ sudo adduser guess
info: Ajout de l'utilisateur « guess » ...
info: Choix d'un UID/GID dans la plage 1000 à 59999 ...
info: Ajout du nouveau groupe « guess » (1005) ...
info: Ajout du nouvel utilisateur « guess » (1005) avec le groupe « guess » (1005) ...
info: Création du répertoire personnel « /home/guess » ...
info: Copie des fichiers depuis « /etc/skel » ...
Nouveau mot de passe : 
MOT DE PASSE INCORRECT : Aucun mot de passe fourni
Retapez le nouveau mot de passe : 
Aucun mot de passe n’a été fourni.
Mot de passe : Erreur de manipulation du jeton d’authentification
passwd : mot de passe inchangé
Essayer à nouveau ? [o/N] 
Modifier les informations associées à un utilisateur pour guess
Entrer la nouvelle valeur, ou appuyer sur ENTER pour la valeur par défaut
	NOM []: Invité
	Numéro de chambre []: 123
	Téléphone professionnel []: 
	Téléphone personnel []: 
	Autre []: 
chfn : nom avec des caractères non-ASCII : 'Invité'
Ces informations sont-elles correctes ? [O/n] 
info: Ajout du nouvel utilisateur « guess » aux groupes supplémentaires « users » ...
info: Ajout de l'utilisateur « guess » au groupe « users » ...
a@b:~$ id guess
uid=1005(guess) gid=1005(guess) groupes=1005(guess),100(users)
a@b:~$

Dernière modification par geole (Le 30/03/2025, à 17:41)

geole · Le 30/03/2025, à 17:51

Pour iznobe
Tu as un bug dans ton logiciel: Un utilisateur invité pourrait bidouiller les ACL si sudo est inutile!

a@a:~$ id
uid=1000(a) gid=1000(a) groupes=1000(a),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),100(users),115(lpadmin)
a@a:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu Plucky Puffin (development branch)
Release:	25.04
Codename:	plucky
a@a:~$ sudo adduser testeur
info: Ajout de l'utilisateur « testeur » ...
info: Choix d'un UID/GID dans la plage 1000 à 59999 ...
info: Ajout du nouveau groupe « testeur » (1001) ...
info: Ajout du nouvel utilisateur « testeur » (1001) avec le groupe « testeur » (1001) ...
info: Création du répertoire personnel « /home/testeur » ...
info: Copie des fichiers depuis « /etc/skel » ...
Nouveau mot de passe : 
MOT DE PASSE INCORRECT : Le mot de passe comporte moins de 8 caractères
Retapez le nouveau mot de passe : 
Les mots de passe ne correspondent pas.
Nouveau mot de passe : 
MOT DE PASSE INCORRECT : Le mot de passe ne passe pas la vérification dans le dictionnaire - basé sur un mot du dictionnaire
Retapez le nouveau mot de passe : 
passwd : mot de passe mis à jour avec succès
Modifier les informations associées à un utilisateur pour testeur
Entrer la nouvelle valeur, ou appuyer sur ENTER pour la valeur par défaut
	NOM []: testeur
	Numéro de chambre []: 
	Téléphone professionnel []: 
	Téléphone personnel []: 
	Autre []: 
Ces informations sont-elles correctes ? [O/n] 
info: Ajout du nouvel utilisateur « testeur » aux groupes supplémentaires « users » ...
info: Ajout de l'utilisateur « testeur » au groupe « users » ...
a@a:~$ sudo adduser $USER users
info: L'utilisateur « a » appartient déjà au groupe « users ».
a@a:~$ 
a@a:~$ sudo mkdir -pv /media/Partage/$user-Partage
mkdir: création du répertoire '/media/Partage'
mkdir: création du répertoire '/media/Partage/-Partage' 
a@a:~$ setfacl -Rm "default:group:users:rwx,group:users:rwx" /media/Partage/$USER-Partage/
setfacl: /media/Partage/a-Partage/: Aucun fichier ou dossier de ce nom
a@a:~$ sudo mkdir -pv /media/Partage/$USER-Partage/
mkdir: création du répertoire '/media/Partage/a-Partage/'
a@a:~$ 
a@a:~$ setfacl -Rm "default:group:users:rwx,group:users:rwx" /media/Partage/$USER-Partage/
setfacl: /media/Partage/a-Partage/: Opération non permise
a@a:~$ sudo setfacl -Rm "default:group:users:rwx,group:users:rwx" /media/Partage/$USER-Partage/
a@a:~$

iznobe · Le 30/03/2025, à 18:20

il n' y a pas de bug sur mon logiciel
le propriétaire d ' un dossier / fichier a légitimement le droit d ' en modifier les permissions ( et donc les ACL ) .

Tu n' as pas fait comme dans le tuto que j' ai modifié entre temps ( une commande

sudo chown $USER: /media/Partage/$USER-Partage/

)

iznobe@iznobe-pc:$ getfacl /media/Partage/iznobe-Partage/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: media/Partage/iznobe-Partage/
# owner: iznobe
# group: iznobe
user::rwx
group::r-x
group:users:rwx
mask::rwx
other::---
default:user::rwx
default:group::r-x
default:group:users:rwx
default:mask::rwx
default:other::---

iznobe@iznobe-pc:$

Effectivement , comme dans tes commandes , si l' utilisateur n ' est pas propriétaire du dossier , alors il faut nécessairement passer la commande avec sudo setfacl ....

Dernière modification par iznobe (Le 30/03/2025, à 18:35)

geole · Le 30/03/2025, à 18:37

OK. C'est rassurant que la cause soit le mauvais propriétaire!
Tu as noté que la création d'un utilisateur le mets automatiquement dans le groupe user. Ce qui fait que la totalité des utilisateurs partageraient D'où mon interrogation sur le choix de ce nom. Il est vrai qu'on peut les enlever du groupe si besoin.

Le répertoire -Partage/ provenait de l'erreur initiale

J'ai complété pour expliquer la manip de l'autre utilisateur en disant que c'est revenu dans le premier...
Nota: Cette solution ACL est certainement le meilleur choix pour éviter les Usines à gaz des contournements.

Il faudrait que tu précises que le dossier doit être stocké dans une partition EXTn Je ne pense pas pas que cela fonctionne dans d'autres types de partitions tel que NTFS ou EXFAT out BRTFS

Dernière modification par geole (Le 30/03/2025, à 18:48)

iznobe · Le 30/03/2025, à 18:45

oui j ' ai vu .
Effectivement c' est peut etre pas ce qu ' il ya de mieux a grande echelle ou pour des pros .
Mais l' objectif etait principalement de coller à la situation dans laquelle se trouve @kersaweol .

J ' ai aussi indiqué dans le contexte :

il est possible de créer un ou des groupes dédiés , voir : https://doc.ubuntu-fr.org/adduser .

j ' essaie d' être minimaliste sans pour autant ne pas oublié de chose , mais volontairement je ne rentre pas dans des détails de " personnalisation " . ca devient vite trop touffue et indigeste pour des néophytes sinon

kholo · Le 30/03/2025, à 18:50

iznobe a écrit :

Bonjour kholo , il aurait mieux valu ouvrir ta propre discussion , puisque ceci est en rapport avec les serveurs plutôt .
Si ton probleme est que " invite " n' as pas de home , pourquoi ne pas lui en creer un ( pseudo home ) qui ne sera jamais utilisé : OSEF .
cette page pourra probablement t ' aider : https://doc.ubuntu-fr.org/tutoriel/gest … e_commande

salut iznobe...
bah non... je suis pile poil dans le sujet... j'en fait un serveur mais on parle bien de partage de dossier entre plusieurs utilisateurs et des droits liés à ses utilisateurs...
c'est vrai que j'aurais pu faire beaucoup plus court mais j'ai aussi voulu montrer une autre façon de faire et détailler mes choix.

geole a écrit :

Bonjour Kholo.
Il faut maintenant créer un utilisateur invité. Pour ne pas faire compliqué, il faut éviter les accents et ne pas mettre de mot de passe et certainement le supprimer du groupe user
a@b:~$ sudo adduser invité
err: To avoid problems, the username should consist only of
            letters, digits, underscores, periods, at signs and dashes, and
            not start with a dash (as defined by IEEE Std 1003.1-2001). For
            compatibility with Samba machine accounts, $ is also supported
            at the end of the username.  (Use the `--allow-all-names' option
            to bypass this restriction.)
...

Salut Geole,
non, non,... tu peux reprendre mon explication ; je n'ai pas mis d'accent à la création de mon utilisateur "invite" !
je n'ai d'ailleurs aucun soucis avec ma façon de faire pour ce qui est du fil de ce post. Tout serait parfait si je n'avais pas ajouté comme souhait que "invite" ne puisse pas avoir connaissance des dossiers toto et tata.
Si je m'en tiens à cela tout est fonctionnel : toto, tata et invite se connectent en sftp sur le "NAS" (PC). Ils ont tous les trois accès à leur dossiers respectifs. Toto et tata ont bien accès aux dossiers /media/data/[toto, tata, invite], invite n'a accès qu'à /media/data/invite et, que ce soit toto, tata ou invite, la création d'un dossier ou d'un fichier dans les dossiers /media/data/[toto, tata, invite] donnent les bons droits pour être accessible en lecture et écriture.
Tout fonctionne...
Mon seul desiderata était que je puisse donner une accréditation (via l'utilisateur invite) à quiconque viendrait sur mon réseau local et qu'il ne puisse avoir accès QUE au dossier /media/data/invite sans avoir connaissance de l’existence des autres dossiers /media/data/[toto, tata]... mais je cherche les soucis où ils ne sont pas peut être... je vais finir par trouver comment fonctionne les accréditation de sftp... et cette partie, en effet, ne conserne pas ce fil !

iznobe · Le 30/03/2025, à 18:58

De mon coté comme deja dit , je pense que le serveur t' ejecte car " invite " n ' a pas de home , donc je suppose que tu ne peux pas utiliser :

ChrootDirectory /media/data/%u
ou ChrootDirectory /media/data/%h
ou ChrootDirectory /media/data/invite

Bien que pour le dernier je sois assez sceptique .

je vais finir par trouver comment fonctionne les accréditation de sftp... et cette partie, en effet, ne conserne pas ce fil !

et c' est bien là que ca aurait été mieux dans la section " serveur " .
Ce n' est qu ' une demi-faute alors

kholo · Le 30/03/2025, à 19:03

iznobe a écrit :

De mon coté comme deja dit , je pense que le serveur t' ejecte car " invite " n ' a pas de home , donc je suppose que tu ne peux pas utiliser :
ChrootDirectory /media/data/%u
ou ChrootDirectory /media/data/%h
ou ChrootDirectory /media/data/invite
Bien que pour le dernier je sois assez sceptique .
je vais finir par trouver comment fonctionne les accréditation de sftp... et cette partie, en effet, ne conserne pas ce fil !
et c' est bien là que ca aurait été mieux dans la section " serveur " .
Ce n' est qu ' une demi-faute alors

nop... quand je met ChrootDirectory /media/data invite n'a aucun soucis de connexion
toto et tata n'ont pas non plus de dossier dans /home
juste que quand invite se connecte en sftp il voit comme toto et tata les trois dossiers et c'est juste ça qui me pose soucis.

iznobe · Le 30/03/2025, à 19:06

remontre ton " ll " du dossier /media/data
je pensais que le soucis etait l" ejection du ssh a la tentative de connexion .

Q ' il les voit en soit c' est pas trop gênant , tant qu ' il ne peut rien y faire .

Dernière modification par iznobe (Le 30/03/2025, à 19:08)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#251 Le 29/03/2025, à 13:23

Re : dossier partagé entre plusieurs utilisateurs

#252 Le 29/03/2025, à 13:43

Re : dossier partagé entre plusieurs utilisateurs

#253 Le 29/03/2025, à 13:49

Re : dossier partagé entre plusieurs utilisateurs

#254 Le 29/03/2025, à 14:39

Re : dossier partagé entre plusieurs utilisateurs

#255 Le 29/03/2025, à 14:44

Re : dossier partagé entre plusieurs utilisateurs

#256 Le 29/03/2025, à 15:08

Re : dossier partagé entre plusieurs utilisateurs

#257 Le 29/03/2025, à 15:14

Re : dossier partagé entre plusieurs utilisateurs

#258 Le 29/03/2025, à 18:42

Re : dossier partagé entre plusieurs utilisateurs

#259 Le 29/03/2025, à 18:44

Re : dossier partagé entre plusieurs utilisateurs

#260 Le 30/03/2025, à 08:58

Re : dossier partagé entre plusieurs utilisateurs

#261 Le 30/03/2025, à 09:25

Re : dossier partagé entre plusieurs utilisateurs

#262 Le 30/03/2025, à 13:52

Re : dossier partagé entre plusieurs utilisateurs

#263 Le 30/03/2025, à 14:12

Re : dossier partagé entre plusieurs utilisateurs

#264 Le 30/03/2025, à 15:52

Re : dossier partagé entre plusieurs utilisateurs

#265 Le 30/03/2025, à 16:17

Re : dossier partagé entre plusieurs utilisateurs

#266 Le 30/03/2025, à 17:09

Re : dossier partagé entre plusieurs utilisateurs

#267 Le 30/03/2025, à 17:41

Re : dossier partagé entre plusieurs utilisateurs

#268 Le 30/03/2025, à 17:51

Re : dossier partagé entre plusieurs utilisateurs

#269 Le 30/03/2025, à 18:20

Re : dossier partagé entre plusieurs utilisateurs

#270 Le 30/03/2025, à 18:37

Re : dossier partagé entre plusieurs utilisateurs

#271 Le 30/03/2025, à 18:45

Re : dossier partagé entre plusieurs utilisateurs

#272 Le 30/03/2025, à 18:50

Re : dossier partagé entre plusieurs utilisateurs

#273 Le 30/03/2025, à 18:58

Re : dossier partagé entre plusieurs utilisateurs

#274 Le 30/03/2025, à 19:03

Re : dossier partagé entre plusieurs utilisateurs

#275 Le 30/03/2025, à 19:06

Re : dossier partagé entre plusieurs utilisateurs

Pied de page des forums