Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Ajout d'un user en limitant l'accès aux données

clarisse

Coucou.

J'utilise Xubuntu 20.04, je suis la seule utilisatrice de mon pc, avec un seul user (le mien).
j'ai une partition racine, et un home séparé (avec toutes mes données personnelles dedans).
Je voudrais créer un second user qui n'a aucune possibilité d'accès à mon home et donc mes données, et qu'il ne puisse rien changer sur le système (j'ai le projet d'amener mon pc au magasin pour un changement de pâte thermique, dépoussiérage, et changement des 2 charnières du capot).

J'ai essayé de comprendre en faisant des recherches sur le net, mais j'ai peur de faire des conneries en tapant au pif et sans comprendre ce que je fais.

j'aimerai si possible que ça soit par le terminal pour que j'apprenne à m'en servir utilement.

Merci.
La bise.

Hizoka

Bonjour,

pour le coup, il te suffit de créer un nouvel utilisateur de base.

Il n'aura pas les droits de visualiser tes fichiers car il ne sera ni le propriétaire ni membre du groupe qui a les droits sur tes fichiers.

Pour le système, si tu ne lui donnes pas les droits sudo, pas de souci non plus.

https://doc.ubuntu-fr.org/utilisateur
et si tu veux le faire en commande : https://doc.ubuntu-fr.org/adduser

clarisse

Bizarre dans mon 1er test effectué, quand j'ai fais le

sudo adduser test

et que je me suis connectée depuis cet user, je pouvais faire sans que l'on me demande un quelconque mot de passe

sudo apt update

et j'avais accès au home de mon user classique et donc à toutes mes données..

Alors soit je fais mal, soit il y a un paramètrage de mon propre compte qui est foireux ?!

Hizoka

Et quand tu fais :

groups
# hizoka adm cdrom sudo dip plugdev input lpadmin lxd sambashare

tu vois sudo dans ses groupes ?
Si oui, c'est étrange car j'ai ça :

sudo adduser test
groups test 
# test : test

clarisse

Quand je fais groups depuis mon user principal, j'ai ceci

clarisse cdrom sudo audio dip video plugdev netdev

et quand je fais la même manip sous l'user test, j'ai ceci (comme toi)

test : test

Alors maintenant ça fonctionne en effet, accès impossible aux données personnelles.

Je comprends pas, parce que jusqu'à maintenant j'utilisais bien

sudo adduser test

bizarre que ça ne fonctionnait pas jusqu'à maintenant..

clarisse

Huuum par contre pulseaudio ne se lance pas depuis l'user test, pourtant je l'ai mis dans le groupe audio.
c'est plus compliqué que ce que je pensais cette histoire..

grigouille

Il suffit de retirer les droits pour "other" sur ton répertoire.

chmod o=- $HOME

Mais cela ne protège en rien ton système si la personne sort le disque dur de ta machine ou démarre la machine avec une session live, il pourra lire tout ce qu'il veut.

clarisse

Euh si j'ai bien compris, la commande est à faire sur le répertoire home de l'user test ?

Oui c'est pas faux, j'avais pas pensé à cette option..
J'ai plus de place dans mon disque dur externe, sinon ça aurait été plus simple.
Mais les informaticiens ne sont pas si crapuleux que ça quand même ?
Je pense que je vais acheter un gros disque dur externe, ça sera plus simple ^^

Hizoka

Enfin, je ne vois pas le rapport avec le fait de l'envoyer chez le réparateur.
Le gars n'aura pas besoin de se balader sur le pc pour tester quoi que ce soit.
Si tu as un mot de passe, il sera bloquer sur le démarrage de ta session.
Mais comme le dit grigouille, avec un live cd ils peuvent y accéder (sauf si tu as chiffre ton disque dur).

grigouille

Démonte le disque et garde le avec toi.

clarisse

Le réparateur a besoin de tester le pc pour voir si il surchauffe après le changement de pâte thermique, d'après ce que j'ai lu sur internet.
Alors vrai ou pas, je ne sais pas trop.

J'ai pas chiffré mon disque dur.
Sinon j'ai mon vieux disque dur avec le windows 7 d'origine, je peux éventuellement mettre ça pour aller au réparateur, le disque contient uniquement le système.

grigouille

Tu peux aussi lui donner un live USB et garder le disque.

bruno

La session invité est faite pour cela.

clarisse

Oui aussi, ou ils peuvent se débrouiller vu comment je vais douiller hein, j'amène le pc nu et ils font leur taf et leur test avec ce qu'ils ont sous la main 😉

LeoMajor

bonjour,
par défaut, le home d'un utilisateur est en 755, accessible par le commun des mortels.
/etc/adduser.conf d'ailleurs le rappelle (DIR_MODE=0755)

sudo chmod 750 /home/clarisse

L'utilisateur "test" ne pourra pas accéder, lire, /home/clarisse
751 demande, plus de vigilance. Le home est traversé. Un chmod en aval s'impose sur untel item.
pour les groupes, tu as un descriptif sommaire: Groups
adduser a aussi une autre casquette

sudo adduser test audio
sudo deluser test audio
id test

ajoute/supprime test au groupe audio si ce dernier existe

ajout:
Les groupes ne font pas tout; il y a aussi le shell qui détermine la puissance, la capacité d'action d'un utilisateur.

:~$ cat /etc/shells
# /etc/shells: valid login shells
/bin/sh
/bin/dash
/bin/bash
/bin/rbash
/bin/ksh93
/bin/rksh93
/bin/zsh
/usr/bin/zsh
/usr/bin/lshell
/bin/tcsh
/usr/bin/tcsh

rbash (restricted bash) et surtout lshell (limited shell), sont très bridés, utiles dans certains scénarios.
Le shell peut être modifié par usermod ou chsh

clarisse

Ça a l'air intéressant mais j'ai pas tout compris :/
Il faut que je fasse de la lecture sur tout ce petit bazar

alh54

L'ajout d'un 2ème utilisateur ne résoudra rien pour la confidentialité des données.
Si le technicien à un accès physique à la machine il fait ce qu'il veut si ça lui chante (clonage du disque, démarrage en recovery mode ...).
Je suis pour la solution de grigouille #10.

Le test de l'ordinateur après réparation peut se faire avec un live usb ou en branchant un disque dur qui lui appartient, c'est pas ce qui lui manque.

clarisse

Alors je vais amener mon pc sans disque, et ils se débrouillera, il va me prendre pour une parano !

alh54

Moi, c'est le contraire qui m'étonne. Occasionnellement je dépanne des amis ou des parents, ils m'amènent l'ordi avec le disque dur, heureusement je ne suis pas curieux je respecte leur vie privée, je n'ouvre jamais leurs fichiers personnels.

clarisse

Sur mon pc je stocke des documents personnels, et confidentiels en rapport au boulot, du coup pas envie que quelqu'un y mette son nez.
Et comme j'ai plus de place dans mon disque dur externe, je suis obligée d'y laisser dans le pc.

Je suis hyper vigilante avec mes données, depuis que je me suis faite voler mon téléphone et piratée tous mes comptes, j'ai pris conscience que pc comme téléphone c'est une véritable porte ouverte aux emmerdes en cas de perte/vol, mais on en a pas conscience parce que l'on dit toujours
"Ça n'arrive qu'aux autres", et quand ça nous tombe sur le coin du nez, on est vite désemparée...

Page suivante »