Définir un umask pour tous les utilisateurs
zwykx Membre non connecté
-
- Voir le profil du membre zwykx
- Inscrit le : 21/01/2013
- Groupes :
Je souhaiterais définir un umask à 077 pour tous les utilisateurs de manière à avoir un bon niveau de confidentialité.
Or sur mageia 3, l'umask est par défaut défini à 0002 ce qui me semble très permissif. Il n'est pas normal que tous les utilisateurs aient des droits de lecture sur les fichiers des autres utilisateurs.
J'ai donc essayé de fixer l'umask par le MCC : Sécurité->Configurer la sécurité et les droits du système->Paramètres de sécurité->Sécurité du système->USER_UMASK=077
Ca a eut l'air de marcher au début et puis récemment, je constate que ça ne marche plus.
Quand je crée un fichier, il est en -rw-rw-r-- .
Que s'est-t-il passé entre temps ?
Comment rétablir un umask à 077 ?
avez-vous une idée ?
Visiteur
proprietaire interdit
groupe lecture et ecriture
tout le reste lecture et ecriture
tu dois confondre avec 0777
propriétaire lecture et écriture
groupe lecture et écriture
autres, tout l'univers lecture et écriture
par default c'est 0755
propriétaire lecture et écriture
groupe lecture
autres, tout l'univers lecture
bien plus restritif c'est 0700
propriétaire lecture et écriture
groupe: interdit
autres, tout l'univers : interdit
bon je ne sais ou tu as fais ta modification mais sache que msec contrôle tout et que les permissions sur les dossiers et fichiers sont définis selon le level de sécurité et que lors de son contrôle si certain fichiers ou dossiers sont pas au bon droits il les change
donc faut changer au niveau de msec aussi
pour ce faire tu édites ou créer
/etc/security/msec/perms.conf
dedans tu rentres
/home/*current.current700
bon c'est juste a titre d'exemple maintenant faut plutôt bien connaitre les droits, parce que a vouloir restreindre les droits d’accès on peut finir sans accès du tout
ici simple et bonne explication
Édité par Visiteur Le 20/09/2013 à 22h25
Adrien.D Membre non connecté
-
- Voir le profil du membre Adrien.D
- Inscrit le : 30/05/2011
- Site internet
- Groupes :
MadTuX, tu te trompes, il est dans le vrai notre ami zwykx.
On parle de UMASK.
Un umask à 077 correspond à :
Code BASH :
drwx------ 2 user user 512 Jan 1 23:59 repertoire -rw------- 1 user user 0 Jan 1 23:59 fichier
Citation :
par default c'est 0755
Cela correspond à un umask de 022.
Merci
Config : PC Fixe : X470 GAMING PRO- AMD Ryzen 5 2600X - 16Go RAM - Radeon RX 560 (Pilote libre) - Gentoo Linux - GNOME Desktop - Kernel 5.10 LTS
Ancien Webmaster de MageiaLinuxOnline. Les remplaçants assurent !
Ancien Webmaster de MageiaLinuxOnline. Les remplaçants assurent !
Visiteur
dans ce cas faut modifier la valeur umask dans /etc/profile ce qui applique l'umask a tout les utilisateurs
pour un utilisateur en particulier rajouté umask = valeur dans le .bashrc de 'lutilisateur dont on veut modifier l'umask
mais cela ne change rien avec msec, faut l'adapter aussi
regarde ici pour plus d'infos
mais perso je pense que tu devrais deja tester juste avec msec, si tu passes en level secure je pense que ca devrait aller, mais pour avoir deja tester il y a quelque temps c'est vraiment contraignant
pour avoir msec en console sans passer la ccm
urpmi msec-gui
ensuite en console root
msecgui
zwykx Membre non connecté
-
- Voir le profil du membre zwykx
- Inscrit le : 21/01/2013
- Groupes :
J'avais fini par fixer l'umask dans le .bash_profile :
umask u=rwx,go=
et ça a marché.
Seulement, je vois pas l'intérêt de msec dans la mesure où fixer la variable USER_MASK à n'importe quelle valeur n'a aucun effet. Il doit y avoir un bug la dessous !
Quant à passer en "level secure", ça risque de modifier d'autres paramètres ce qui n'est pas le but de l'opération.
Visiteur
zwykx :
Tout à fait.
J'avais fini par fixer l'umask dans le .bash_profile :
umask u=rwx,go=
et ça a marché.
Seulement, je vois pas l'intérêt de msec dans la mesure où fixer la variable USER_MASK à n'importe quelle valeur n'a aucun effet. Il doit y avoir un bug la dessous !
Quant à passer en "level secure", ça risque de modifier d'autres paramètres ce qui n'est pas le but de l'opération.
J'avais fini par fixer l'umask dans le .bash_profile :
umask u=rwx,go=
et ça a marché.
Seulement, je vois pas l'intérêt de msec dans la mesure où fixer la variable USER_MASK à n'importe quelle valeur n'a aucun effet. Il doit y avoir un bug la dessous !
Quant à passer en "level secure", ça risque de modifier d'autres paramètres ce qui n'est pas le but de l'opération.
bah tu n'as pas que le USER_MASK qui change, deja tu as le ROOT_MASK, puis tu as les droits sur les dossiers et fichiers et plein d'autres choses qui changent, peut-être pour cela que ça n'a pas fonctionné si tu as juste changé l'user_umask dans msec
maintenant autre avantage de msec c'est que tu peux revenir facilement en arrière en utilisant les profils
par contre si tu modifies ici et là, faut pas te louper quoi si tout bloque un moment et tu dois revenir en arrière ^^
puis une chose aussi si tu ne modifies pas bien dans le msec, il y a de forte chance qu'il te change tout lors de ses verifications, journalières, hebdomadaires etc
Édité par Visiteur Le 28/09/2013 à 16h10
zwykx Membre non connecté
-
- Voir le profil du membre zwykx
- Inscrit le : 21/01/2013
- Groupes :
Quand je fixe l'umask par le MCC : Sécurité->Configurer la sécurité et les droits du système->Paramètres de sécurité->Sécurité du système->USER_UMASK=077, ça modifie 2 fichiers :
- /etc/security/msec/security.conf : positionne USER_UMASK=077
- /etc/security/shell : positionne UMASK_USER=077
Le fichier /etc/bashrc semble être exécuté à chaque ouverture de session.
Or dans ce fichier, lignes 46 à 50 :
Code BASH :
for i in /etc/profile.d/*.sh; do if [ -r $i ]; then . $i fi done
ce script exécute les scripts présents dans /etc/profile.d/ et notamment le script 01msec.sh qui positionne le umask des utilisateurs d'après la variable UMASK_USER vue plus haut lignes 7 à 13 :
Code BASH :
if [ `id -u` -ge 500 ]; then if [ -n "$UMASK_USER" ]; then umask $UMASK_USER else umask 022 fi else
Tout irait bien si le script /etc/bashrc était exécuté jusqu'aux lignes 46 à 50 à l'ouverture de session. Mais ça n'est pas le cas. Au début du script :
Code BASH :
if [ "`id -gn`" = "`id -un`" -a `id -u` -gt 99 ]; then umask 002 else umask 022 fi # are we an interactive shell? if [ "$PS1" ]; then
le umask est positionné à 002 et comme PS1 est vide, le reste du code n'est pas exécuté et le umask reste à 002.
Résultat, si dans Dolphin je fais Fichier->Créer un nouveau->Fichier texte, il est créé avec le umask 002 :
Code TEXT :
-rw-rw-r-- 1 moi moi 2 oct. 3 14:05 Fichier texte
Par contre, si j'ouvre une konsole, /etc/bashrc est exécuté en entier et le umask est bien à 077 :
Code TEXT :
$ touch a $ ll a -rw------- 1 moi moi 0 oct. 3 14:10 a
Ai-je raté une étape dans l'utilisation de msec ?
Avez-vous une idée ?
Merci.
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie