Droits différents entre répertoires comptes utilisateurs: BUGs 618 & 13718
droits créé à l'install différents des suivants créés via CCM (MGA4&5)
Système et matériels / Installation et configuration
kalagani Membre non connecté
-
- Voir le profil du membre kalagani
- Inscrit le : 10/03/2012
- Groupes :
j'ai installé Mageia-4-x86_64-DVD avec création d'un premier utilisateur patrick -> OK
après l'installation, j'ai créé un second utilisateur zinvite via le CCM -> OK
Mais surprise leur répertoire respectif dans /home n'est pas identique en droits
Code BASH :
[zinvite@localhost home]$ ll total 24 drwx------ 2 root root 16384 avril 6 2004 lost+found/ drwxr-xr-x 25 patrick patrick 4096 juil. 8 16:11 patrick/ drwx------ 20 zinvite zinvite 4096 juil. 8 21:40 zinvite/
alors que leurs sous-répertoires ont les mêmes droits
Caché :
Code BASH :
[zinvite@localhost home]$ ll * ls: impossible d'ouvrir le répertoire lost+found: Permission non accordée patrick: total 32 drwxr-xr-x 2 patrick patrick 4096 juin 3 20:11 Bureau/ drwxr-xr-x 3 patrick patrick 4096 juin 26 23:29 Documents/ drwxr-xr-x 2 patrick patrick 4096 juin 3 20:11 Images/ drwxr-xr-x 2 patrick patrick 4096 juin 3 20:11 Modèles/ drwxr-xr-x 2 patrick patrick 4096 juin 3 20:11 Musique/ drwxr-xr-x 2 patrick patrick 4096 juin 3 20:11 Téléchargements/ drwx------ 2 patrick patrick 4096 oct. 18 2013 tmp/ drwxr-xr-x 2 patrick patrick 4096 juin 3 20:11 Vidéos/ zinvite: total 32 drwxr-xr-x 2 zinvite zinvite 4096 juil. 8 21:35 Bureau/ drwxr-xr-x 2 zinvite zinvite 4096 juil. 8 21:35 Documents/ drwxr-xr-x 2 zinvite zinvite 4096 juil. 8 21:35 Images/ drwxr-xr-x 2 zinvite zinvite 4096 juil. 8 21:35 Modèles/ drwxr-xr-x 2 zinvite zinvite 4096 juil. 8 21:35 Musique/ drwxr-xr-x 2 zinvite zinvite 4096 juil. 8 21:35 Téléchargements/ drwx------ 2 zinvite zinvite 4096 oct. 18 2013 tmp/ drwxr-xr-x 2 zinvite zinvite 4096 juil. 8 21:35 Vidéos/
Cela fait une grosse différence car le 1er compte créé
_a tous ses sous-répertoires d'accessibles (en lecture) par tous les comptes créés après lui
cf ci-dessus le ll fait sous le compte créé en second
_n'a pas accès en quoi que ce soit aux sous-répertoires des comptes créés après lui
Code BASH :
[patrick@localhost home]$ cd zinvite -bash: cd: zinvite: Permission non accordée
d'où question:
est ce normal ou un bug?
PS: EDIT 2015/10/09, même pb avec Mageia-5-x86_64-DVD
Édité par kalagani Le 05/10/2015 à 16h22
lebarhon Membre non connecté
-
- Voir le profil du membre lebarhon
- Inscrit le : 09/10/2010
- Groupes :
-
Équipe Mageia
-
Membre d'Honneur
C'est normal. Par défaut, les utilisateurs créés lors de l'installation peuvent voir les données les uns des autres, les utilisateurs créés par la suite ne partagent rien.
Cela peut facilement être changé dans le MCC/Disques locaux/partager les partitions de vos disques.
http://docteam.mageia.nl/fr/MCC/content/diskdrake--fileshare.html
Ou alors en ligne de commande.
PapaJaac Membre non connecté
-
- Voir le profil du membre PapaJaac
- Inscrit le : 30/03/2014
- Groupes :
"lebarhon" :
Par défaut, les utilisateurs créés lors de l'installation peuvent voir les données les uns des autres, les utilisateurs créés par la suite ne partagent rien.
Tu reformules juste la question de kalagani ou tu énonces une règle ?
Si c'est une règle, où est-elle documentée ?
lebarhon Membre non connecté
-
- Voir le profil du membre lebarhon
- Inscrit le : 09/10/2010
- Groupes :
-
Équipe Mageia
-
Membre d'Honneur
Visiteur
Même comportement sur ROSA
kalagani Membre non connecté
-
- Voir le profil du membre kalagani
- Inscrit le : 10/03/2012
- Groupes :
je dirai que ce comportement:
_n'est pas homogène, le partage ou son absence devrait être le même quelquesoit la façon de créér un utilisateur
_est "dangereux" pour le 1er (ou tous ceux créés à l'install.) puisque leurs données sont visibles par ceux créés après l'install.
_pour un "newbie" ou quelqu'un qui fait tout en graphique
le CCM->Disques locaux->Partager les partitions de vos disques n'indique absolument pas cela:
il est positionné sur Pas de partage alors que c'est en partie faux!
Je ne comprend d'ailleurs pas pourquoi les 2 autres options: Autoriser tous les utilisateurs et Personnalisé
renvoient au choix à un partage Samba ou NFS alors que dans le titre il n'est question que de partager le /home
"Souhaitez-vous permettre aux utilisateurs de partager certains sous-répertoires de leur dossier personnel (/home) ?"
qui n'aurait pour moi que besoin d'une gestion des droits...
Pas de chance, je n'ai plus sous la main de PC Kubuntu ou Fedora pour constater si elle y est appliquée!
@lebarhon, je suis vraiment curieux de savoir exactement pourquoi cette rêgle a été édictée?
Édité par kalagani Le 09/07/2014 à 18h51
lebarhon Membre non connecté
-
- Voir le profil du membre lebarhon
- Inscrit le : 09/10/2010
- Groupes :
-
Équipe Mageia
-
Membre d'Honneur
kalagani :
Bonjour,
je dirai que ce comportement:
_est "dangereux" pour le 1er (ou tous ceux créés à l'install.) puisque leurs données sont visibles par ceux créés après l'install.
je dirai que ce comportement:
_est "dangereux" pour le 1er (ou tous ceux créés à l'install.) puisque leurs données sont visibles par ceux créés après l'install.
Il s'agit de l'accès à /home/user, pas de l'accès aux dossiers et documents qu'il contient. Ils ne seront visibles que si le "user" le veut bien.
kalagani :
le CCM->Disques locaux->Partager les partitions de vos disques n'indique absolument pas cela:
il est positionné sur Pas de partage alors que c'est en partie faux!
le CCM->Disques locaux->Partager les partitions de vos disques n'indique absolument pas cela:
il est positionné sur Pas de partage alors que c'est en partie faux!
Ce n'est pas faux du tout, voir n'est pas partager. Partager signifie que l'on est plusieurs à créer et modifier les mêmes documents, ce n'est pas le cas.
kalagani :
Je ne comprend d'ailleurs pas pourquoi les 2 autres options: Autoriser tous les utilisateurs et Personnalisé
renvoient au choix à un partage Samba ou NFS alors que dans le titre il n'est question que de partager le /home
"Souhaitez-vous permettre aux utilisateurs de partager certains sous-répertoires de leur dossier personnel (/home) ?"
qui n'aurait pour moi que besoin d'une gestion des droits...
Je ne comprend d'ailleurs pas pourquoi les 2 autres options: Autoriser tous les utilisateurs et Personnalisé
renvoient au choix à un partage Samba ou NFS alors que dans le titre il n'est question que de partager le /home
"Souhaitez-vous permettre aux utilisateurs de partager certains sous-répertoires de leur dossier personnel (/home) ?"
qui n'aurait pour moi que besoin d'une gestion des droits...
C'est parce que le /home peut être en réseau local.
kalagani :
@lebarhon, je suis vraiment curieux de savoir exactement pourquoi cette rêgle a été édictée?
@lebarhon, je suis vraiment curieux de savoir exactement pourquoi cette rêgle a été édictée?
Il faudrait voir cela avec les dev. Mais à la base même de Linux (et on le retrouve dans beaucoup de distros) le "umask" par défaut est 022, c'est à dire que lors de la création d'un fichier il donne les droits 755, en clair :
Propriétaire -> tous les droits
Groupe -> lecture et exécution
Autres -> lecture et exécution
C'est à dire exactement ce que tu as lors de l'installation. C'est lors de la création ultérieure que Mageia est plus restrictif (umask 077), mais cela est surement lié au niveau de sécurité que tu as configuré. Essaie de le baisser et crée un utilisateur pour voir.
Pour plus d'infos sur msec voir : http://docteam.mageia.nl/fr/MCC/content/msecgui.html
c'est très intéressant et ça vaut le coup de faire l'effort, cela explique pourquoi par exemple, si en console tu changes des droits, ils se rétabliront automatiquement à leur ancienne configuration par la suite.
Visiteur
C'est clairement une faille de sécurité pour moi
kalagani Membre non connecté
-
- Voir le profil du membre kalagani
- Inscrit le : 10/03/2012
- Groupes :
lebarhon :
Il s'agit de l'accès à /home/user, pas de l'accès aux dossiers et documents qu'il contient. Ils ne seront visibles que si le "user" le veut bien.
Non, je maintiens et comme le dit kalagani :
Bonjour,
je dirai que ce comportement:
_est "dangereux" pour le 1er (ou tous ceux créés à l'install.) puisque leurs données sont visibles par ceux créés après l'install.
je dirai que ce comportement:
_est "dangereux" pour le 1er (ou tous ceux créés à l'install.) puisque leurs données sont visibles par ceux créés après l'install.
Il s'agit de l'accès à /home/user, pas de l'accès aux dossiers et documents qu'il contient. Ils ne seront visibles que si le "user" le veut bien.
sylvainsjc :
ce que je n'avais pas osé dire...suis timide :+)C'est clairement une faille de sécurité pour moi
lebarhon :
Ah, je n'avais pas pensé à cela, mais c'est toute l'ambiguité du CCM car dans ce cas je l'aurais vu dans Partages réseau pas dans Disque locauxC'est parce que le /home peut être en réseau local.
lebarhon :
Je n'ai rien configuré...c'est brut du DVD d'install!...le "umask" par défaut est 022, ...
C'est à dire exactement ce que tu as lors de l'installation. C'est lors de la création ultérieure que Mageia est plus restrictif (umask 077), mais cela est surement lié au niveau de sécurité que tu as configuré.
C'est à dire exactement ce que tu as lors de l'installation. C'est lors de la création ultérieure que Mageia est plus restrictif (umask 077), mais cela est surement lié au niveau de sécurité que tu as configuré.
lebarhon :
Là je ne maitrise pas :+(
Pour plus d'infos sur msec voir : http://docteam.mageia.nl/fr/MCC/content/msecgui.html
c'est très intéressant et ça vaut le coup de faire l'effort, cela explique pourquoi par exemple, si en console tu changes des droits, ils se rétabliront automatiquement à leur ancienne configuration par la suite.
c'est très intéressant et ça vaut le coup de faire l'effort, cela explique pourquoi par exemple, si en console tu changes des droits, ils se rétabliront automatiquement à leur ancienne configuration par la suite.
Édité par kalagani Le 09/07/2014 à 20h14
lebarhon Membre non connecté
-
- Voir le profil du membre lebarhon
- Inscrit le : 09/10/2010
- Groupes :
-
Équipe Mageia
-
Membre d'Honneur
Note
Tout utilisateur ajouté lors de l'installation de Mageia aura un répertoire personnel (dans /home) qui sera accessible en lecture par quiconque, mais protégé en écriture.
Cependant, tout nouvel utilisateur ajouté par l'intermédiaire du Centre de Contrôle de Mageia (CCM) aura un répertoire protégé en écriture et en lecture pour les autres utilisateurs.
Si vous souhaitez un répertoire protégé en lecture, il est recommandable de créer un utilisateur de manière temporaire et de recréer un nouvel utilisateur principal une fois la session démarrée.
Si vous préférez des répertoires accessibles en lecture par tous, ajoutez les utilisateurs supplémentaires à l'étape du Résumé de l'installation, avec le bouton Gestion des utilisateurs.
Les permissions d'accès peuvent aussi être changées après l'installation.
Tout utilisateur ajouté lors de l'installation de Mageia aura un répertoire personnel (dans /home) qui sera accessible en lecture par quiconque, mais protégé en écriture.
Cependant, tout nouvel utilisateur ajouté par l'intermédiaire du Centre de Contrôle de Mageia (CCM) aura un répertoire protégé en écriture et en lecture pour les autres utilisateurs.
Si vous souhaitez un répertoire protégé en lecture, il est recommandable de créer un utilisateur de manière temporaire et de recréer un nouvel utilisateur principal une fois la session démarrée.
Si vous préférez des répertoires accessibles en lecture par tous, ajoutez les utilisateurs supplémentaires à l'étape du Résumé de l'installation, avec le bouton Gestion des utilisateurs.
Les permissions d'accès peuvent aussi être changées après l'installation.
http://doc.mageia.org/installer/4/fr/content/addUser.html#addUserAdvanced
kalagani Membre non connecté
-
- Voir le profil du membre kalagani
- Inscrit le : 10/03/2012
- Groupes :
et je suppose que c'est comme cela depuis le début de Mageia et repris de Mandriva...
ce qui explique que ROSA ait la même rêgle...et si j'osais je parierais qu'OpenMandriva fait pareil!!!
On dirait qu'il y a 2 écoles puisque Fedora ne la pratique pas, reste à voir sur kubuntu et d'autres!
Néanmoins, il n'empêche je la trouve idiote, quel "newbie" irait imaginer créer un utilisateur pour le détruire ensuite, encore faut il qu'il se soit aperçu de la différence!
Quant aux moins "newbie", combien comme moi ont corrigé le tir, via la ligne de commande, pensant à une mauvaise manip?
Édité par kalagani Le 09/07/2014 à 22h53
PapaJaac Membre non connecté
-
- Voir le profil du membre PapaJaac
- Inscrit le : 30/03/2014
- Groupes :
sylvainsjc :
Sous Fedora KDE, le répertoire du 1er utilisateur est correctement configuré avec les droits drwx------
"correctement" est de trop. Il n'y a pas qu'une seule façon valable de configurer un utilisateur.
sylvainsjc :
C'est clairement une faille de sécurité pour moi
Mais non. Quelle sécurité est menacée ?
Visiteur
Quand je dis "correctement" il faut bien sur comprendre que le 1er utilisateur configuré voit son répertoire protégé en accès ou en copie des autres utilisateurs
Quand je dis que c'est une faille de sécurité, il faut aussi comprendre "faille de sécurité locale" car la plupart des utilisateurs pensent que leur répertoire est protégé en accès des autres utilisateurs qu'ils auront eux-même créé alors que dans les faits, hormis l'effacement, ces autres utilisateurs ont tout loisir de voir, lire et copier tout le home du 1er utilisateur.
Une précision, ce comportement est le même sur Mandriva 2010, ROSA, Mageia, OpenMandriva mais...
Sur Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Zenwalk, Elementary c'est open bar car la tout le monde peut voir tout le monde
Il semble que seul Fedora gère ce comportement que je découvre après plusieurs années de linux
PapaJaac Membre non connecté
-
- Voir le profil du membre PapaJaac
- Inscrit le : 30/03/2014
- Groupes :
Ok, la règle semble absurde, et parce que je connais Mandriva je me demande même si au départ ce ne serait pas un bug qui aurait été "opportunément" transformé en fonctionnalité par la documentation. Ce ne serait pas la première fois qu'ils nous feraient le coup.
Nous pouvons toujours ouvrir une fiche d'anomalie sur bugzilla à ce sujet. Mais ne dramatisons pas, le problème concerne la confidentialité, pas la sécurité.
Adrien.D Membre non connecté
-
- Voir le profil du membre Adrien.D
- Inscrit le : 30/05/2011
- Site internet
- Groupes :
sylvainsjc :
C'est clairement une faille de sécurité pour moi
PapaJaac :
Rhôôô je ne joue pas sur les mots.
Mais ne dramatisons pas, le problème concerne la confidentialité, pas la sécurité.
Mais ne dramatisons pas, le problème concerne la confidentialité, pas la sécurité.
C'est clairement une faille de confidentialité pour moi.
Non mais c'est vrai ! le papa installe Mageia sur le PC. Il créé une session pour son enfant qui n'a pas les droits root. Et bah le papa ne peut pas aller voir (sans se connecter en root) les affaires de son enfant. mais l'enfant peut aller voir le dossier "Images" du papa avec des femmes toutes nues
Config : PC Fixe : X470 GAMING PRO- AMD Ryzen 5 2600X - 16Go RAM - Radeon RX 560 (Pilote libre) - Gentoo Linux - GNOME Desktop - Kernel 5.10 LTS
Ancien Webmaster de MageiaLinuxOnline. Les remplaçants assurent !
Ancien Webmaster de MageiaLinuxOnline. Les remplaçants assurent !
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie