Le fil des beaux gosses linuxiens, v2 où comment installer LFS sur BTRFS en RAID10

[zithro]

Je ne comprends pas le problème, si tu crées un dossier pour un utilisateur "user1", et qu'il est en 700, c'est normal que toi en tant que "madmax" tu n'y aies pas accès. Les droits c'est "ugo" (User-Group-Others).
Il faudrait plus de précisions

En plus, quand il y a des updates, et que tu laisses l'updater remplacer ton ancien fichier conf par le nouveau, tu perds tous tes changements, c'est pas très recommandé, vaut mieux faire un diff
(Comme outils de diff en mode GUI, "Meld" est pas mal (Unix/Linux), et si t'as wine tu peux test "WinMerge").

[moimadmax]

Justement c'est ça qui est bizarre, j'ai un user partage, j'y accèdes en tant que partage lors du montage samba, il me crée bien les répertoires en tant que partage, par contre dans samba si je tente d'aller dans le dossier fraîchement créé, il me dit accès refusé.
Par exemple j'ai créé un repertoire test (777) dans le home de partage, j'ai réussi à y accéder et y créer un rep nouveau dossier :

532481 4 drwxrwxrwx 3 partage partage 4096 mai 9 15:19 .
524289 4 drwxr-xr-x 16 partage partage 4096 mai 9 14:09 ..
532482 4 drwx------ 2 partage partage 4096 mai 9 14:09 'Nouveau dossier'

Par contre si je tente d'aller dans ce répertoire via samba, il me dit accès refusé. Je ne peux pas le supprimer non plus.
En théorie dans mon cas, samba accède bien au dossier home en tant que partage, alors pourquoi il ne peut pas accéder aux dossiers.


Bien sûr en ssh j'arrive à accéder aux dossiers.

[Wobak]

Quand tu dis que tu arrives à y accéder et à écrire si y'a 777, c'est en shell ou en samba ?

[moimadmax]

Samba, et en shell tout fonctionne normalement.

[Wobak]

Il est bien en writeable = yes dans ton fichier de conf et avec une write list = partage ?

[moimadmax]

J'ai repris le fichier de config du paquet dans /usr/share/samba/smb.conf.
J'ai juste changé le workgroup, et le read only que j'ai passé en No et ajouté la section FTP.
Mais ça fait pareil, je peux ecrire dans le repertoire passé en 777 mais pas en 700. Alors que normalement ça devrait être bon.

[global]
log file = /var/log/samba/log.%m
logging = file
map to guest = Bad User
max log size = 1000
obey pam restrictions = Yes
pam password change = Yes
panic action = /usr/share/samba/panic-action %d
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
passwd program = /usr/bin/passwd %u
server role = standalone server
unix password sync = Yes
usershare allow guests = Yes
workgroup = CANADA
idmap config * : backend = tdb


[homes]
browseable = No
comment = Home Directories
create mask = 0700
directory mask = 0700
read only = No
valid users = %S


[ftp]
comment = Répertoire accessible par FTP
force create mode = 0777
force directory mode = 0777
force user = partage
guest ok = Yes
guest only = Yes
path = /home/partage/ftp
read only = No

J'ai tenté en die and retry, pour que cela fonctionne il faut avoir les droit sur le groupe aussi.
740 je peux entrer dans le rép.
760 je peux le supprimer.
Sachant que comme c'est un user il a son propre groupe partage : partage.

- - - Mise à jour - - -

J'ai repris le fichier de config du paquet dans /usr/share/samba/smb.conf.
J'ai juste changé le workgroup, et le read only que j'ai passé en No et ajouté la section FTP.
Mais ça fait pareil, je peux ecrire dans le repertoire passé en 777 mais pas en 700. Alors que normalement ça devrait être bon.


J'ai tenté en die and retry, pour que cela fonctionne il faut avoir les droit sur le groupe aussi.
740 je peux entrer dans le rép.
760 je peux le supprimer.
Sachant que comme c'est un user il a son propre groupe partage : partage.

Ce qui m’énerve en fait c'est que ça fonctionnait, et pouf ca ne fonctionne plus. Pourtant je n'ai pas souvenir d'avoir fait une mise à jour ou quoi que ce soit depuis.

[Wobak]

Sauf erreur de ma part, le %S c'est le nom du service et pas des utilisateurs.

C'est le [homes] ou le [ftp] qui déconne ?

[zithro]

T'as bien restart samba après les modifs dans smb.conf ?
Y'a rien dans les log de samba ?
T'as testé un "testparm -s" ?
Il manque pas un "security = user" dans la section "Global" ?
PS: je viens de check pour valid users et ça a l'air correct (la section "valid users" de https://www.samba.org/samba/docs/4.1...mb.conf.5.html). C'est un peu déroutant leur truc mais visiblement c'est comme ça pour le dossier homes.

[moimadmax]

C'est le [homes], après pour le %S C'est comme ça dans le fichier par défaut.

- - - Mise à jour - - -

T'as bien restart samba après les modifs dans smb.conf ?
Y'a rien dans les log de samba ?
T'as testé un "testparm -s" ?
Il manque pas un "security = user" dans la section "Global" ?
PS: je viens de check pour valid users et ça a l'air correct (la section "valid users" de https://www.samba.org/samba/docs/4.1...mb.conf.5.html). C'est un peu déroutant leur truc mais visiblement c'est comme ça pour le dossier homes.

Oui, pour être certains je reboot. Pour le testparm il est OK.
J'ai regardé pour le security=user, je l'avais avant, mais il n'est plus dans le fichier par défaut. je ne l'ai pas mis du coup.

Puis je n'ai pas de problème pour me connecter, donc je pense que cette partie là est bonne. Le seul problème finalement est qu'il faut que j'ajoute des droits de lecture/ecriture au groupe en plus du user alors que samba est sensé accéder au dossier avec les droits du user. Il ne devrait pas avoir besoin du groupe.

[moimadmax]

Bon problème résolu, pas de la meilleur manière mais bon...

[homes]
browseable = No
comment = Home Directories
create mask = 0775
directory mask = 0775
read only = No
valid users = %S

chmod -Rc 755 partage (plus ou moins je ne l'ai pas fait sur tous les dossiers)

[zithro]

En gros y'a plus vraiment de droits quoi, c'est free party

Edit : t'as le masque en 775 et t'as chmod en 755 ^^ Erreur d'écriture ?
Edit2 : c'est sur quelle plateforme ton serveur samba ? J'ai check celui de mon FreeNAS et c'est radicalement différent ^^

[moimadmax]

Ca m'a gonflé, puis y'a pas trop d'enjeux de sécurité derrière.
Oui oui, erreur d’écriture et c'est sur un raspberrypi.

[zithro]

Ah ah, ok, alors ça va, finalement tant que ça fonctionne comme tu veux hein ! Mais ça m'énerve de pas comprendre ^^
En plus, Raspbian a plutôt tendance à être config pour être plus permissif que restrictif.

Au cas où, si tu veux un truc simple pour manager samba, y'a SWAT (Samba Web Administration Tool). Pas besoin de te faire un dessin pour comprendre ce que ça fait ^^
Ouais, va savoir pourquoi le SWAT gère la samba ... Sont taquins ces devs !

[Saikyo]

Salut, je suis tombé sur ce topic alors que je cherchais des infos sur SAMBA.
Apparement, le paquet SWAT n'est plus maintenu et je suis tombé sur Webmin qui permet de gérer pleins de choses dont les partages SAMBA depuis un dashboard assez stylé (pour moi).
Plus d'infos ici http://www.webmin.com/index.html

[moimadmax]

Puis de toute façon, c'est un raspberry1 et j'ai un 2 qui s'ennui, du coup je vais faire une reinstall complète sur celui-ci.
Je vais essayé d'y ajouter un peu plus de sécurité au passage, genre fail2ban.

[Saikyo]

J'ai cru comprendre que samba sur un raspberry, c’était la misère niveau temps d’accès aux données.
Quelqu'un pour confirmer/infirmer ça ?

[wardog]

J'ai cru comprendre que samba sur un raspberry, c’était la misère niveau temps d’accès aux données.
Quelqu'un pour confirmer/infirmer ça ?

Ca me parait evident:
aucun port SATA natif sur un raspberry donc les donnees soit sont hebergee sur la carte SD , soit sont sur un SSD/HDD externe et donc les datas transitent par le bus usb qui n'est pas la plus rapide des interfaces.

[moimadmax]

Ca dépend ce que tu en attends. C'est sur que pour faire un NAS qui sera utilisé par 15 personnes en même temps ...
Mois je l'utilise pour deux choses car c'est à peu prés le seul truc allumé 24/7 :
- Un stockage centralisé pour mes fichiers vidéos à voir (pour mon OSMC ou les autres PC).
- Un moyen de partager facilement des fichiers avec les autres, j'y ai mis un serveur web, avec un dossier en listing. Je mets dedans et j'envoi le lien.

Certes la copie n'est pas super rapide, mais ce manque de confort là je le gagne facilement dans mes usages.

[zithro]

Ah, je savais pas que c'était plus maintenu SWAT, merci de l'info !
J'utilise webmin et c'est assez pratique, une interface web pour gérer la plupart des services utiles/connus. Il s'occupe de rappeler qu'il faut update, etc.
Bien sûr, certains réglages fins ne sont pas gérés par l'interface web et faudra quand même aller modif les fichiers texte, mais l'essentiel est présent. D'ailleurs il propose d'éditer les fichiers config directement depuis l'interface.

Mon raspi qui utilise le plus la data et la connexion est posté devant mon aquarium (branché en CPL 200Mb qui sature à 12.5Mo/s), il propose un livestream et prend des photos toutes les heures, stockées sur la SD (depuis fin 2015).
Quand je rappatrie les photos sur mon PC (NAS), ça télécharge à 3.5 Mo/sec, et le stream bouffe 600ko/sec, sans trop de lags.

[vv221]

Pour les canards qui s’intéressent a ./play.it, et en attendant que je trouve dans quelle section de ce forum ouvrir un fil dédié à ce sujet, la version corrective 2.11.4 qui vient de sortir est présentée sur LinuxFR : Sortie de ./play.it 2.11.4

[moimadmax]

Hello les canards, je suis en train de me remonter un raspberry pi en remplacement de l'actuel et je voudrais votre avis niveau sécurité. Le but est de monter un Raspberrypi 2 qui servira de serveur ftp, Web, vpn (poptop) samba. Il me sert aussi a d'autres choses mais c'est principalement ces ports ci qui seront ouverts sur l’extérieur (Forward du routeur) 21, 80, 443 et 1723. l'adresse est un peu cachée dans le sens ou je ne la diffuse pas, et il y a un robots.txt qui interdit (enfin qui le demande) tout référencement. J'ai cependant un nom de domaine. Bien sûr, linux oblige, il y a aussi un serveur SSH avec login root interdit.

Le serveur web est un nginx avec un module php, les pages php ne sont pas liée à la page d'accueil, pareil il faut connaitre l'adresse. Et a vrai dire j'hésite même a reinstaller php. Son répertoire est dans le /home/partage/www/
Le serveur pptpd permet de faire un VPN pour les jeux, j'ai choisi celui ci car on peut le configurer sur windows et android par défaut et qu'il fonctionne bien avec BCrelay pour faire des parties de vieux jeux. il me sert aussi de temps en temps pour me connecter à certains équipements de mon réseau, car j'ai ajouté une route vers mon réseau. Je pense que c'est le gros point de risque. Mais c'est pratique.
Le serveur FTP est PureFTP son repertoire est dans /home/partage/ftp/
Après il y a un serveur Samba qui permet d’accéder aux home des users, donc au home de partage qui contient les fichiers du ftp et du www.

Les serveurs Web et FTP tournent avec le user partage, j'ai supprimé sudo.
L'autre compte est le même que sur mes autres ordi afin de juste pouvoir faire un "ssh raserv" sans avoir à préciser le user.

Pour l'instant j'ai bien quelques tentatives sur mon serveur web, mais sans trop de succès, du moins je n'ai pas noté de traffic non voulu.
un extrait des accès nginx :

Code:

193.118.53.130 - - [14/May/2020:13:52:15 +0200] "GET / HTTP/1.1" 200 448 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.117 Safari/537.36"
208.91.109.50 - - [14/May/2020:14:18:35 +0200] "HEAD /robots.txt HTTP/1.0" 404 0 "-" "-"
61.247.178.25 - - [14/May/2020:15:00:04 +0200] "GET / HTTP/1.1" 200 779 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
195.54.160.121 - - [14/May/2020:15:33:38 +0200] "POST /api/jsonws/invoke HTTP/1.1" 404 199 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
162.243.140.90 - - [14/May/2020:15:37:12 +0200] "GET /ReportServer HTTP/1.1" 404 143 "-" "Mozilla/5.0 zgrab/0.x"
45.71.38.116 - - [14/May/2020:15:38:44 +0200] "POST /cgi-bin/mainfunction.cgi HTTP/1.1" 404 143 "-" "XTC"
45.71.38.116 - - [14/May/2020:15:38:44 +0200] "" 400 0 "-" "-"

Mes questions :
- est ce une bonne chose d'utiliser le user partage pour les serveur, car actuellement c'est un user normal (on peut se logger avec), mais a l'époque ça m'avait paru logique car ftp et nginx accèdent aux mêmes données.
- pour cette version 2 je pensais installer fail2ban, est ce une bonne solution ?
- Si vous avez des commentaires je suis preneur.

[zithro]

1. Tu veux dire que nginx/proFTPd sont lancés par "partage", ou tu parles juste des répertoires ? Tu devrais laisser les services utiliser leurs propres logins, restrictifs, quitte à ajouter "partage" à leurs groupes pour l'accès aux données. L'utilisateur d'un service ne peut en général pas se logguer localement (un "cat /etc/passwd" ou équivalent te montrera que les services ont, sur une install par défaut, une stanza "/bin/false" ou "/usr/sbin/nologin" au lieu de "/bin/bash").

2. fail2ban c'est pas mal mais ça ne gère qu'une partie des problèmes.

3. Une règle en sécurité c'est de "réduire la surface d'attaque" au maximum. Quelques exemples :
- Puisque tu dois de toutes façons donner les liens aux gens qui accèderont à tes services, tu peux changer leurs ports par défaut. Par exemple FTP sur 37467, WWW sur 49507, etc.
- Sinon tu ne laisses que le port VPN ouvert, avec Fail2ban, et tu restreinds les services uniquement aux gens connectés en VPN. Mais ça demande un travail d'adressage IP si tu veux pas que tes "clients" soient sur ton réseau domestique.
- Sinon tu ouvres un SSH+fail2ban sur un port "haut", et les gens n'accèdent à tes données que via ce moyen (par ssh -L ou -D, etc).
- Une autre manière, c'est de mettre un "iptables" et de n'autoriser QUE les clients connus. Mais suivant la config de tes clients ça peut être assez contraignant (certains FAI ne fournissent pas d'IP statique).

Bref, y'a toujours 36 manières de faire les choses !

[moimadmax]

1. Tu veux dire que nginx/proFTPd sont lancés par "partage", ou tu parles juste des répertoires ? Tu devrais laisser les services utiliser leurs propres logins, restrictifs, quitte à ajouter "partage" à leurs groupes pour l'accès aux données. L'utilisateur d'un service ne peut en général pas se logguer localement (un "cat /etc/passwd" ou équivalent te montrera que les services ont, sur une install par défaut, une stanza "/bin/false" ou "/usr/sbin/nologin" au lieu de "/bin/bash").

2. fail2ban c'est pas mal mais ça ne gère qu'une partie des problèmes.

3. Une règle en sécurité c'est de "réduire la surface d'attaque" au maximum. Quelques exemples :
- Puisque tu dois de toutes façons donner les liens aux gens qui accèderont à tes services, tu peux changer leurs ports par défaut. Par exemple FTP sur 37467, WWW sur 49507, etc.
- Sinon tu ne laisses que le port VPN ouvert, avec Fail2ban, et tu restreinds les services uniquement aux gens connectés en VPN. Mais ça demande un travail d'adressage IP si tu veux pas que tes "clients" soient sur ton réseau domestique.
- Sinon tu ouvres un SSH+fail2ban sur un port "haut", et les gens n'accèdent à tes données que via ce moyen (par ssh -L ou -D, etc).
- Une autre manière, c'est de mettre un "iptables" et de n'autoriser QUE les clients connus. Mais suivant la config de tes clients ça peut être assez contraignant (certains FAI ne fournissent pas d'IP statique).

Bref, y'a toujours 36 manières de faire les choses !

1) Dans la conf de nginx j'ai modifier la directive user www:www en user partageartage. Et équivalent pour pureftp. Le faire avec les groupe semble plus propre. Si j'ai bien compris je dois ajouter le groupe partage pour le user www et ftp.

3) Changer les ports par défauts, ca peut le faire, par contre faire une connexion par vpn ou un tunnel ssh avant ça sera trop compliqué.

Merci pour ces pistes

[zithro]

1. pas bien Et non, plutôt dans l'autre sens : tu ajoutes le user "partage" aux groupes des services. L'idée c'est que ton user puisse faire comme tes services, mais surtout pas l'inverse (donc faut pas que tes services puissent faire la même chose que tes users, comme le login, l'accès aux répertoires, etc).

3. toujours changer les ports par défaut quand c'est pas absolument nécessaire Vise des numéros de ports aléatoires "hauts" sans choisir un numéro correspondant à un "service connu". Pour la liste tu fais un "cat /etc/services". Et si besoin de logins distants "ouverts", fail2ban ftw ^^

[Saikyo]

2. fail2ban c'est pas mal mais ça ne gère qu'une partie des problèmes.

En tant que grand novice dans ce domaine, j'aimerai bien avoir plus de détails sur cette "partie des problèmes".
Genre quel mots clé je peux demander à duckduck pour en savoir plus toussa...

[zithro]

Fail2ban c'est un peu le même principe que le login sur ce forum : au bout de quelques tentatives de login infructueuses (fail), l'IP est (ban)nie.
Il y a des filtres fail2ban pour différents services et applications.
Pour les mots clé, tente "fail2ban install nom de ma distro", "fail2ban filter nom du service", comme "fail2ban filter ssh", "fail2ban filter wordpress" etc
Site officiel : http://www.fail2ban.org

[moimadmax]

En tant que grand novice dans ce domaine, j'aimerai bien avoir plus de détails sur cette "partie des problèmes".
Genre quel mots clé je peux demander à duckduck pour en savoir plus toussa...

Fail2ban ça permet de limiter les attaques par force brute, par contre si ton ssh est ouvert avec les mots de passe par défaut sur ton raspberrypi par exemple. Pas de fail, pas de ban. Et l'"attaquant" pourra faire ce qu'il veut fail2ban ne lèvera pas le petit doigt.


Et j'aimerai aussi, peut être passer le pas pour virtualiser un peu car j'ai plusieurs RPI1 qui tournent H24 sans faire grand chose finalement, j'aimerai bien du coup faire de la virtualisation, en laissant le stockage dans le compte partage.
Du coup le raspberry pi aurait juste le serveur samba qui permettrai d'accéder aux donnée de partage, Il y aurait une machine virtuelle qui ferait serveur ftp/www/poptop. Et surtout une autre que j'utilise afin d'analyser ma conso Electrique, mais celui ci accède aux gpio comme un port série il me semble configuré comme cela [stty -F /dev/ttyAMA0 1200 sane evenp parenb cs7 -crtscts]. Du coup c'est peut être compliqué niveau virtualisation d'acceder aux gpio. (j'avais suivi le tuto de dandu à l'époque)
Puis avec la sortie de pihole5 j'ai envie de passer le pas, mais pas d'ajouter un quatrième raspberrypi.
Y'a des solutions viable sur raspberrypi ?
J'ai commencer à regardé pour LXC ou Qemu. Faut creuser.

[Saikyo]

Merci pour les infos et les liens sur fail2ban les gars.
Je n'ai encore jamais tenté l'auto-hébergement, juste des partages ponctuels sur mon réseau local. le post de moimadmax qui veux utiliser tout pleins de services sur son raspi2 m'a envie de m'y mettre (maintenant que j'ai une connexion fibre et un raspi3).
Dans l'idée, je comptais héberger nextcloud et un wiki pour centraliser toutes les infos techniques que je trouve à droite à gauche pour ne pas les oublier; avant ça, je prends le max d'infos sur les bonnes pratiques et... y a du boulot...

[zithro]

moimadmax : la virtualisation sur RPi1, il me semble que c'est galère voire infaisable, la faute à un CPU ARM trop ancien. Essaie plutôt Docker ou ce genre de trucs (compartimentage d'applis).

Saikyo : nextcloud/owncloud ont une procédure d'install voire même un package dispo pour Raspi, pratique pour la sécu, mais les accès risquent d'être un peu lents.
Pour le wiki, je te conseille vraiment une version "html only" (ou en tous cas sévèrement restreindre les accès d'édition). Les wikis sont une cible très privilégiée des spammeurs.

[moimadmax]

La c'est sur un raspberrypi 2 il me semble.

processor : 0
model name : ARMv7 Processor rev 5 (v7l)
BogoMIPS : 38.40
Features : half thumb fastmult vfp edsp neon vfpv3 tls vfpv4 idiva idivt vfpd32 lpae evtstrm
CPU implementer : 0x41
CPU architecture: 7
CPU variant : 0x0
CPU part : 0xc07
CPU revision : 5