Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

le /home visible des autres utilisateurs

uboops

bruno a écritAh ! Cela me semblait étrange aussi cette histoire de paramètre umask au montage. C'est réservé aux systèmes de fichiers qui ne gréent pas les droits UNIX, donc on oublie....

Il y a une astuce avec bindfs pour les ext#, mais en effet on oublie.

sudo bindfs -u $(id -u) -g $(id -g) /media/disk /home/user/new_disk

https://superuser.com/questions/519824/mounting-ext4-drive-with-specified-user-permission

Anard

Merci beaucoup pour vos réponses diverses.

Si je comprends bien ce que dit Bruno, c'est GDM qui pue. Est-ce qu'utiliser LightDM pourrait être une solution ou est-ce plutôt lié à Gnome Shell ?
Ils font ch... je préférais largement Unity... :mad:

@uboops : Concrètement, que veut dire le chmod 2750 par rapport à 0750 ?
J'ai essayé de faire un chmod -R g+s sur mon dossier utilisateur (le 0750 était déjà fait). Est-ce que ça revient au même ?
Mais dans mon souvenir, cette fonction sert surtout à conserver les noms du propriétaire et du groupe. D'ailleurs après ceci, j'ai créé un nouveau dossier dans mon dossier utilisateur qui avait à nouveau les droits 755...

uboops

Ce sont des droits spéciaux.
https://tech.feub.net/2008/03/setuid-setgid-et-sticky-bit/

Anard

Oui c'est donc bien comme g+s...

anard@PortableHP:~$ cd /home/
anard@PortableHP:/home$ ls -l | grep anard
drwxr-x--- 19 anard anard 4096 sept. 10 17:41 anard
anard@PortableHP:/home$ sudo chmod -R g+s anard && ls -l | grep anard
drwxr-s--- 19 anard anard 4096 sept. 10 17:41 anard
anard@PortableHP:/home$ mkdir anard/coucou
anard@PortableHP:/home$ ls -l anard | grep coucou
drwxr-sr-x 2 anard anard 4096 sept. 10 17:43 coucou
anard@PortableHP:/home$ # IL SE MOQUE DE MOI !
anard@PortableHP:/home$

Ceci dit, si "others" n'a pas les droit en lecture sur mon dossier utilisateur, est-ce que le fait qu'il ait les droits sur les fichiers contenus représente une faille de sécurité ?
Personne ne pourra les lire de toutes façons, je me trompe ?
Il faut juste penser à re-faire un chmod 0750 à la création d'un nouvel utilisateur.

Anard

bruno a écritC'est également étrange que tu n'ai ni fichier .bashrc, ni .profile dans ton dossier personnel…

Après réflexion, je pense que ça vient d'une erreur de manip que j'ai faite à un moment (qui n'a rien à voir avec ce sujet).
Je les ai récupérés depuis un autre compte utilisateur :

anard@PortableHP:~$ grep -i umask .{bashrc,profile}
.profile:# the default umask is set in /etc/profile; for setting the umask
.profile:# for ssh logins, install and configure the libpam-umask package.
.profile:#umask 022
anard@PortableHP:~$

Il n'y a rien dans /etc/profile qui parle de umask...

bruno

Quand tu créés un utilisateur ces fichiers sont copiés depuis /etc/skel. Tu peux les prendre là et regarder leur contenu.

Pour les problèmes avec umask, gdm n'est pas seul en cause, il y a aussi systemd et dbus…

uboops

Anard a écrit... Il faut juste penser à re-faire un chmod 0750 à la création d'un nouvel utilisateur.

Tout n'est pas sensible, la config de l'utilisateur ne présente pas/peu d'intérêt ... faut juste protéger en 750 un répertoire perso. dans le home de l'utilisateur (surtout s'il y a les numéros des comptes en banque dessus ;-))

Anard

Merci à vous.

@uboops: Que veux-tu dire ? Est-ce que si je fais un chmod 0750 sur le /home/user/, il sera possible de lire des fichiers contenus dedans qui seraient accessibles en lecture à tout le monde (j'entends en utilisation normale, en démarrant d'un live, c'est évidemment très simple).

En fait, mes informations réellement sensibles (type n° de compte etc) ne se trouvent pas dans les dossiers utilisateurs.
Ce PC me sert pour une asso : gestion des adhérents, de la compta et de l'agenda à l'aide d'un logiciel (Dolibarr).
Le logiciel fonctionne en PHP et est donc installé comme un serveur apache (dans /var/www/Dolibarr). Il utilise une base de données MySql (dont apparemment la plupart des fichiers sont dans /var/lib/mysql). Mes informations sensibles que j'aimerais protéger se trouvent donc dans ce dernier dossier (puisqu'il contient ma base de données je pense) et dans /var/www/Dolibarr/htdocs/conf/conf.php puisque ce fichier contient les informations de connexion à la base MySql.
J'ai ouvert un topic à ce sujet mais ça n'a pas l'air d'inspirer grand monde...

Mais c'est un autre sujet 🙂

uboops

... Je veux dire qu'il suffit de créer un répertoire "MonAsso" et de tout ranger dedans (sous répertoires comme fichiers concernant l'asso.) avec un chmod 750

jlmas

Lors de la création de comptes via adduser, le fichier de configuration /etc/adduser.conf est lu.
Jette un coup d’œil dedans, tu peux modifier beaucoup de choses par défaut lors de la création de nouveaux comptes.

Nous vu qu'on utilise pas adduser, on modifie le fichier /etc/pam.d/common-session :
il faut juste ajouter dans le fichier /etc/pam.d/common-session juste avant la ligne # end of pam-auth-update config

session required        pam_mkhomedir.so skel=/etc/skel/ umask=0027

katian a écritil me semble que c'est depuis toujours ainsi...

Je ne crois pas, ça dépend (ou a dépendu) des choix des distributions

« Page précédente