[OMV] Backup datas: Privilèges non respectés dans l'explorateur d'Ubuntu

Ubuntu ; MX Linux ; Linux Mint ; etc.
Répondre
InMoun1
Messages : 8
Inscription : 27 nov. 2022, 18:35
Status : Hors-ligne

Bonsoir à tous !

Je tente depuis un moment, d'effectuer un backup de mes datas(situés sur mes disques branchés sur un NAS openmediavault) vers un disque.

Mais datas étant constituées de plusieurs dossiers ayant des droits d’accès différents pour chaque utilisateurs, j’aimerais donc une fois ces datas copiées, en préserver les droits sur le disque de backup afin que chaque utilisateurs puissent accéder à leur répertoire respectifs et non à ceux des autres. J’ai d’abord tenté la sauvegarde avec la commande Rsync (depuis omv) vers un répertoire partagé sur le disque de backup. Cependant, en testant l’accessibilité de ces répertoires depuis un Live CD Ubuntu, je m’aperçois que je peux avoir accès aux répertoires de tous les utilisateurs depuis l’explorateur de fichier Ubuntu(graphique). En revanche, je ne peux accéder depuis le terminal en parcourant les fichiers avec la commande ‘cd’ et ‘ls’.

Je précise que sur Windows, les privilèges sur mes dossiers partagés(en pensant par le protocole SMB/CIFS ) semblent respectés.

J’ai ensuite testé (sans passer par Rsync), de créer des répertoires et fichiers dans un dossier partagé(depuis l’interface web OMV Stockage>Dossiers partagés) sur le disque de backup en réglant des privilèges/droits. Pour les testes, j’ai régler les droits/privilèges pour que personnes ne puissent accéder au répertoire. Mais la encore, depuis un live CD, je peux me balader dans les répertoires, qu’importe les privilèges/droits de chaque dossiers depuis l’explorateur de fichier mais je ne peux le faire depuis le terminal ou les privilèges/droits semblent bien respectés.

Image
Image

Je n'ai trouvé d'informations pertinentes pour répondre à mes questions, je viens donc vers vous. Pouvez-vous m’éclairer svp ?

Comment se fait-il donc que l’explorateurs de fichier d’Ubuntu ne semble respecter aucun droit ? Comment puis-je régler ce problème, afin qu’un invité en branchant mon disque dur de backup ne puissent accéder à tous les dossiers s’il n’a pas les permissions/droits ?

En espérant, que j’ai été clair. A noter également que je suis débutant sur les systèmes Debian/Linux et que les termes(exemple droits/privilèges ou encore explorateur de fichier etc.) que j’utilise pourraient ne pas être bien employés, je m’en excuse d’avance.

Infos système :
Description: Debian GNU/Linux 11 (bullseye)
Release: 11
Codename: bullseye
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Bonjour,
InMoun1 a écrit : 27 nov. 2022, 20:13 En revanche, je ne peux accéder depuis le terminal en parcourant les fichiers avec la commande ‘cd’ et ‘ls’.
Si tu as utilisé rsync avec les bonnes options pour préserver les métadonnées des fichiers :

Code : Tout sélectionner

-p	preserves permissions
-t	"	" timestamps
-g	"	" group
-o	"	" owner

 ou 
 
 -a
et que ls -l montre bien ce qu'il faut.

C'est donc que l'utilisateur de la session Live est privilégié.

Je ne connais pas les Lives d'Ubuntu
mais j'utilise parfois SystemRescueCD qui ouvre systématiquement une session en root.

Sans avoir assez de données pour des certitudes, je suppose que la sauvegarde est correctement faite.

Une bonne solution pour s'en assurer > Déplacer temporairement des fichiers et les restaurer ; tu vas bien voir si c'est correct ou pas.
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Si tu n'es pas satisfait du Live d'Ubuntu => Choisis-en un autre, les Lives Linux ça ne manque pas :wink:
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Autre possibilité,
tu pourrais probablement faire ton rsync depuis ton poste Debian via une session SSH,
plutôt qu'une session Live qui nécessite un arrêt du serveur.
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4959
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : Hors-ligne

Salut,
Une simple copie ne protège pas les données.
Ni en lecture ni en écriture.
Il faut chiffrer les données ou la partition c'est le seul moyen.
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Je ne connais pas OpenMediaVault mais la première chose que je vois sur Wikipédia :
Image
c'est qu'il a une interface web alors je ne comprends pas le pourquoi du Live ??? :017:
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

@lol

Ce que je comprends c'est que (peut-être) InMoun1 voudrait que chaque utilisateur ne puisse accéder qu'aux "backups" qui lui appartiennent.
**Simple Utilisateur** -- Debian stable - XFCE
InMoun1
Messages : 8
Inscription : 27 nov. 2022, 18:35
Status : Hors-ligne

dezix a écrit : 28 nov. 2022, 17:37 Je ne connais pas OpenMediaVault mais la première chose que je vois sur Wikipédia :
Image
c'est qu'il a une interface web alors je ne comprends pas le pourquoi du Live ??? :017:
J'ai utilisé le live CD pour avoir une session Ubuntu (car sinon je n'ai que mon système OMV à disposition et je voulais donc tester sur un système différent(peu importe la distribution d'ailleurs)) pour vérifier que les privilèges sur les dossiers et fichiers de backup fonctionne bien comme pour l'original (privilèges qui sont créés depuis l'interface web Omv) .
InMoun1
Messages : 8
Inscription : 27 nov. 2022, 18:35
Status : Hors-ligne

dezix a écrit : 28 nov. 2022, 17:43 @lol

Ce que je comprends c'est que (peut-être) InMoun1 voudrait que chaque utilisateur ne puisse accéder qu'aux "backups" qui lui appartiennent.
Oui c'est bien cela ! :icon_e_wink:
Mais lorsque je monte mon disque de backup sur une distribution différentes(dans mon cas depuis un live CD Ubuntu, je peux accéder tout de même à n'importe quel dossier du disque de backup. Pourtant j'ai interdit l'accès à tout le monde même au root (privilèges créés depuis l'interface web omv)
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

InMoun1 a écrit : 28 nov. 2022, 18:10 Pourtant j'ai interdit l'accès à tout le monde même au root

C'est possible ça ?

Pour moi (ça rejoint peut-être ce à quoi pense lol) si un utilisateur veut protéger des données,
il doit les chiffrer p.ex avec sirikali + cryfs pour avoir un répertoire qui se monte avec un Mot de Passe.
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4959
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : Hors-ligne

Salut,

Si les utilisateurs accèdent aux données via OVM les droits seront respectés (en principe...).
Via un Live CD tu te fatigues pour rien. Tout est accessible y compris les fichiers de Root.

Ce sera la même chose avec un Live Debian ou encore avec un Live OMV si cela existait...
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
InMoun1
Messages : 8
Inscription : 27 nov. 2022, 18:35
Status : Hors-ligne

lol a écrit : 28 nov. 2022, 18:57 Salut,

Si les utilisateurs accèdent aux données via OVM les droits seront respectés (en principe...).
Via un Live CD tu te fatigues pour rien. Tout est accessible y compris les fichiers de Root.

Ce sera la même chose avec un Live Debian ou encore avec un Live OMV si cela existait...
Oui effectivement, :good: via Omv les droits sont bien respecté ! Mais je pensais que ces droits seraient respectés si mon disque de backup était monté sur un autre système d'une personne malintentionné (par exemple). Et oui après avoir testé encore aujourd'hui rien n'y fait mes datas (backup) sont accessibles partout et par n'importe qui :wacko:
InMoun1
Messages : 8
Inscription : 27 nov. 2022, 18:35
Status : Hors-ligne

dezix a écrit : 28 nov. 2022, 18:17
InMoun1 a écrit : 28 nov. 2022, 18:10 Pourtant j'ai interdit l'accès à tout le monde même au root

C'est possible ça ?

Pour moi (ça rejoint peut-être ce à quoi pense lol) si un utilisateur veut protéger des données,
il doit les chiffrer p.ex avec sirikali + cryfs pour avoir un répertoire qui se monte avec un Mot de Passe.
Je pense que je vais partir sur cette piste. Un gros merci à tous pour vos réponses! :icon_biggrin: je reviens vers vous pour vous tenir au courant !
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4959
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : Hors-ligne

Hello,

Une personne mal intentionnée qui a accès physiquement à tes disques peut tout lire, sauf si c'est chiffré.

Si c'est pour du backup tu peux regarder du côté de borgbackup (Tu peux chiffrer les sauvegardes).
Très simple à mettre en place, facile à implémenter et chiffré.

Par contre je ne sais pas si ça s'installe sur OpenMediaVault.
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 4905
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

C'est pour éviter ton désagrément que on interdit dans le BIOS/UEFI le démarrage sur un support externe, et qu'ensuite on vérouille le BIOS/UEFI.
Je ne compte plus le nombre de fois ou j'ai démontré à mes collègues de travail que je pouvais accéder aux données de leur PC sans avoir le mot de passe wundows .....
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4959
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : Hors-ligne

Salut,
Tu as du bol il y a un plugin pour OpenMediaVault...
https://forum.openmediavault.org/index. ... up-plugin/
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
InMoun1
Messages : 8
Inscription : 27 nov. 2022, 18:35
Status : Hors-ligne

lol a écrit : 29 nov. 2022, 19:14 Salut,
Tu as du bol il y a un plugin pour OpenMediaVault...
https://forum.openmediavault.org/index. ... up-plugin/
Bonjour !

Merci pour toutes ces réponses, je suis entrain de tester et comparer les différentes solutions proposées, pour voir lesquelles est plus adaptées dans mon cas. Ce qui me dérange pour le moment (d'après ce que j'ai pu voir et comprendre), c'est que "l'administrateur" peut avoir accès a tous les dossiers en lecture/écriture (Privilèges pour chaque utilisateurs sauté lorsqu'on lit le disque de backup ailleurs que sur OMV), une fois le backup effectué sur le disque et ce malgré que ce disque soit chiffré ou pas car cette action est réalisée par l'administrateur lui même qui peut donc les déchiffrer.

Mon avis pour le moment sur les différents outils proposés et ce que j'ai compris :

- CryFS : J'aime bien l'idée de chiffrer les données sur le serveur directement. Apparemment il y aurait des risques de pertes de données si on fait mal les choses, peut-être aussi pas encore stable et donc j'ai pas vraiment confiance en cet outil pour le moment.
- SiriKali : C'est la même chose mais avec une interface graphique.
- Borg backup : Je le trouve vraiment pas mal (pas encore testé mais vu certaines utilisation dans les vidéos, articles etc.) . J'ai l'impression que c'est plus adapté pour les projets(sauvegarde régulière) et non pour les datas personnels(photos, paperasses etc.) mais c'est peut-être pas dérangeant.
- Je suis tombé sur Veracrypt également ! J'utilisais TrueCrypt à l'époque et c'est pas mal.
Mais pour Borgbackup et Veracrypt, on revient au problème cité plus haut : l'administrateur lorsque qu'il déchiffre les datas peut accéder aux données de chaque utilisateurs (lecture/écriture) alors que les datas(l'original) sur omv semble respecter un peu plus les privilèges des utilisateurs.
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

InMoun1 a écrit : 01 déc. 2022, 10:14 - CryFS : J'aime bien l'idée de chiffrer les données sur le serveur directement. Apparemment il y aurait des risques de pertes de données si on fait mal les choses, peut-être aussi pas encore stable et donc j'ai pas vraiment confiance en cet outil pour le moment.
- SiriKali : C'est la même chose mais avec une interface graphique.

J'utilise personnellement sirikali & cryfs au quotidien depuis des années,
je n'ai jamais rencontré le moindre problème.

La seule limitation de CryFS est qu'il faut recréer un dépôt neuf si l'on souhaite changer de mot de passe.
Dans mon cas perso, je n'ai jamais eu besoin de changer le MdP car j'en suis l'unique détenteur et pas dans un environnement à risque.

Sinon, il n'y a qu'à recopier les fichiers dans le nouveau dépôt, donc pas trop de risque de perte.


Pour le backup, il doit être fait sur les dépôts cryptés uniquement, donc l'admin n'a accès qu'aux données chiffrées.

Je n'ai pas fait le test de rsync par root sur les points de montage ;
mes données sont sauvegardées par un utilisateur ordinaire faisant partie d'un groupe "data-shared" spécialement créé pour accéder à l'espace de stockage "DATA".

Pour éviter les problèmes et en faciliter la gestion,
tous mes points de montage des dépôts CryFS sont regroupés dans un même répertoire "mount-points" (j'utilise ensuite des liens où se trouve l'usage) ;
ce répertoire est exclu de rsync et seuls les dépôts chiffrés sont sauvegardés.

Autre point intéressant : seul l'utilisateur/groupe ayant accès au point de montage sont autorisés,
par exemple :

Code : Tout sélectionner

# ls -l /data/mount-points/coffre-fort
ls: impossible d'accéder à '/data/mount-points/coffre-fort': Permission non accordée
Donc si le compte "backup" n'a pas les permissions,
il ne peut lire les données déchiffrées même si c'est root
par contre le processus du backup risque de renvoyer une erreur si l'exclusion n'a pas été faite.
**Simple Utilisateur** -- Debian stable - XFCE
InMoun1
Messages : 8
Inscription : 27 nov. 2022, 18:35
Status : Hors-ligne

Bonjour à tous,

Désolé pour l'absence, j'étais à fond sur ce problème. Merci encore pour les solutions et explications proprosées.
Après réflexion j'ai voulu donc me tourner vers borgbackup qui serait peut-être plus adapté pour mon cas.
Cependant, Je n'ai malheureusement pas pu l'installer, car étant novice sous linux, j'ai été confronté à une multitude de problème lié à l'installation de borg et j'étais parfois à deux doigt de tout abandonner (j'ai passé de nombreux jours à tenter de corriger le problème). En effet, J'ai tenté de suivre la documentation officiel de borg pour l'installation mais je suis tombé sur différents problèmes que je tentais de résoudre et de comprendre en lisant les nombreux forums et tutoriels mais en vain..
Le problème que je trouve est souvent lié aux dépendances des paquets que je souhaites installer (via apt install), avec comme l'impression que les dépendances demandées ne veulent pas s'installer car elles sont devenue obsolètes ?!
Aussi lorsque je cherche sur les forums, beaucoup de commande ne semble plus être d'actualité.

Voici, Certaines des choses que j'ai essayé afin de résoudre les problèmes :
1. avec apt (update, search, install etc.)
Image
J'ai suivi aussi les liens qui expliquaient comment réparer les problèmes ou erreurs d'installation de paquet.
2. J'ai vu aussi qu'il était possible d'ajouter des sources, mais je n'ai pas trop compris comment appliquer cette théorie dans mon cas ( je sais pas quel lien utiliser réellement)..
3. ..Mais j'ai pu télécharger un .tar.gz (https://packages.debian.org/bullseye-ba ... borgbackup), c'est la première fois que j'utilise cet méthode:
j'ai pu extraire également mais je n'ai toujours pas trouvé la solution pour exécuter le programme (j'ai suivi un tutoriel bien expliqué me disant qu'il fallait utiliser ./configuration et 'make' sauf que cette commande ne semble plus d'actualité sur mon système, car je n'ai pas trouvé le fichier "configuration" après extraction du .tar et que la commande make n'existe pas sur mon système (le paquet 'build-essential' n'est pas disponible avec apt-cache search et 'devscripts' et proposé à la place )).
En revanche, j'ai trouvé un fichier setup.py que j'ai tenté de lancer avec

Code : Tout sélectionner

python3 setup.py install
, mais il manque le module 'setuptools' que je n'ai pu installé également( encore des problèmes de dépendances) lorsque j'essaie de l'installer.

Je vous ai écrit donc aujourd'hui, pour avoir de l'aide et des conseils sur cette installation car je tourne en rond depuis une semaine ce qui me semble un peu long pour l'installation d'un programme.
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Salut !
Il faudrait que tu nous donnes des informations sur les dépôts sources que ton système utilise,
avec la sortie de :

egrep -v '^(#|$)' /etc/apt/sources.list{,.d/*.list}


Si tu as les dépôts stables de debian dans tes sources,
tu ne devrais pas avoir de difficultés pour installer borgbackup

Pour info,
je te mets les sorties suivantes obtenues depuis un système Debian stable.

Code : Tout sélectionner

$ cat /etc/debian_version
11.5

$ apt policy python3-packaging                                
python3-packaging:
  Installé : 20.9-2
  Candidat : 20.9-2
 Table de version :
 *** 20.9-2 500
        500 https://deb.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status


$ apt policy borgbackup
borgbackup:
  Installé : (aucun)
  Candidat : 1.1.16-3
 Table de version :
     1.1.16-3 500
        500 https://deb.debian.org/debian bullseye/main amd64 Packages

$ apt install -s borgbackup
NOTE: Ceci n'est qu'une simulation !
      apt a besoin des privilèges du superutilisateur
      pour pouvoir vraiment fonctionner.
      Veuillez aussi noter que le verrouillage est désactivé,
      et la situation n'est donc pas forcément représentative
      de la réalité !
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Lecture des informations d'état... Fait      
Paquets suggérés :
  borgbackup-doc
Paquets recommandés :
  python3-llfuse
Les NOUVEAUX paquets suivants seront installés :
  borgbackup
0 mis à jour, 1 nouvellement installés, 0 à enlever et 4 non mis à jour.
Inst borgbackup (1.1.16-3 Debian:11.5/stable [amd64])
Conf borgbackup (1.1.16-3 Debian:11.5/stable [amd64])
Pour ce qui est de télécharger/installer manuellement des archives .tar.gz ou autres
je ne suis pas certain que cela soit la bonne méthode.

La bonne méthode, c'est d'ajouter les éventuels dépôts nécessaires à tes sources,
suivi de : apt update
pour recharger les listes des paquets,
et refaire apt install ...

De cette manière les dépendances, les mises à jour et les suppressions sont correctement prises en charge par APT.

Les autres méthodes ne sont pas nécessairement vouées à l'échec, mais ça reste du bricolage.
**Simple Utilisateur** -- Debian stable - XFCE
Répondre