Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 06/09/2018, à 07:13

kersaweol

le /home visible des autres utilisateurs

Bonjour,

Sur ma 18.04.1 fraichement installée, en allant sur /home je me suis aperçu que les dossiers personnels (/home) des autres utilisateurs de l'ordi sont visibles... De même le mien vis à vis des autres utilisateurs...

Je n'ai pas l'impression que ce soit bien normal... ?

Merci par avance.

Dernière modification par kersaweol (Le 06/09/2018, à 07:17)

Hors ligne

#2 Le 06/09/2018, à 07:54

katian

Re : le /home visible des autres utilisateurs

il me semble que c'est depuis toujours ainsi...

Hors ligne

#3 Le 06/09/2018, à 08:17

bluc

Re : le /home visible des autres utilisateurs

Bonjour,

Il doit etre possible pour chaque utilisateur de modifier les droits

Dernière modification par bluc (Le 06/09/2018, à 08:18)


Clevo :  Ubuntu 24.04   ❖  Xubuntu 24.04  ❖  Kubuntu 23.10   
         avec partition data commune       Une fraction de seconde                    Multiboot

Hors ligne

#4 Le 06/09/2018, à 08:23

katian

Re : le /home visible des autres utilisateurs

bluc a écrit :

Bonjour,

Il doit etre possible pour chaque utilisateur de modifier les droits

au risque de perturber les applications qui accèdent au $HOME

un expert pourrais donner son avis ?

Hors ligne

#5 Le 06/09/2018, à 09:05

bruno

Re : le /home visible des autres utilisateurs

Bonjour,

De mémoire il y a une option à l'installation pour cela.

Pour les utilisateurs cela se règle dans /etc/login.defs (le fichier est auto-documenté)
Par défaut UMASK est sur 022 ce qui signifie que les fichiers/dossiers d'un utilisateurs auront les permissions 755 (rwxr-xr-x) donc accessibles en lecture à tout le monde.

Dans ce même fichier avec la variable :

USERGROUPS_ENAB yes

si le propriétaire et le groupe sont identiques (c'est le cas par défaut pour les utilisateurs standards créés sous Ubuntu) le UMASK devient 002. Les fichiers/dossiers de l'utilisateur auront les permissions 775 (rwxrwxr-x) donc toujours accessibles à tout le monde.

Si on veut modifier ce comportement on peut modifier globalement UMASK :

UMASK           077

Qui deviendra 007 pour les utilisateurs standards d'Ubuntu 007, soit des fichiers en 770 (rwxrwx---) donc accessibles uniquement au propriétaire et au groupe.

Pour modifier les dossiers personnels existants, exemple celui de toto :

sudo chmod -R o-rwx /home/toto

Dernière modification par bruno (Le 06/09/2018, à 09:06)

#6 Le 06/09/2018, à 11:17

kersaweol

Re : le /home visible des autres utilisateurs

katian a écrit :

il me semble que c'est depuis toujours ainsi...

Au temps pour moi... Il me semblait que les dossiers personnels des autres utilisateurs n'étaient pas visuellement accessibles...

Hors ligne

#7 Le 10/09/2018, à 12:02

Anard

Re : le /home visible des autres utilisateurs

En effet, ce comportement me semble vraiment étrange sur un ordinateur partagé !
J'ai voulu résoudre le problème mais ça ne fonctionne pas chez moi :
J'ai indiqué dans /etc/login.defs

UMASK 027

et voici ce que j'obtiens après redémarrage:

anard@PortableHP:~$ umask
0022
anard@PortableHP:~$

Si je crée un nouvel utilisateur, son dossier utilisateur dispose bien des droits 0744…

neutral

Dernière modification par Anard (Le 10/09/2018, à 12:09)


"iMack" : GA-H97M-D3H, Intel i5 4460, 16Go DDR3, Intel HD4600, SSD 256+120 / Bootloader Clover - macOS Mojave / Gentoo-Xfce
"Portable" : HP Pavilion DV3500, Intel T6400, 4Go, HDD 500Go / Grub2 - Gentoo-Xfce

Hors ligne

#8 Le 10/09/2018, à 12:10

bruno

Re : le /home visible des autres utilisateurs

Ce n'est pas normal. Si anard est dans le groupe principal anard (uid et gid identiques) tu devrais obtenir :

$ umask
0007

Vérifie que tu n'as pas modifié la valeur de UMASK à un autre endroit.

#9 Le 10/09/2018, à 12:20

Anard

Re : le /home visible des autres utilisateurs

Non je n'ai pas touché ailleurs. Suite à cette erreur, j'ai été cherché dans la doc, qui dit plutôt de modifier cette ligne dans /etc/pam.d/common-session

session    optional     pam_umask.so umask=007

Mais sans résultat. D'un côté, ce fichier a bien l'air de dire que tout se passe dans /etc/login.defs.

Ils parlent aussi de ça, mais je ne voudrais pas faire de connerie...

Une autre solution consiste à ajouter dans le fichier /root/.bashrc
     umask 007

PS : je mets toujours 027...

Dernière modification par Anard (Le 10/09/2018, à 12:27)


"iMack" : GA-H97M-D3H, Intel i5 4460, 16Go DDR3, Intel HD4600, SSD 256+120 / Bootloader Clover - macOS Mojave / Gentoo-Xfce
"Portable" : HP Pavilion DV3500, Intel T6400, 4Go, HDD 500Go / Grub2 - Gentoo-Xfce

Hors ligne

#10 Le 10/09/2018, à 12:33

bruno

Re : le /home visible des autres utilisateurs

Le /root/.bashrc est une connerie, cela n'affectera que l'utilisateur root et de toute façon le dossier /root n'est accessible qu'à root.

Retour de :

sudo rgrep UMASK /etc

#11 Le 10/09/2018, à 12:47

Anard

Re : le /home visible des autres utilisateurs

Merci :

anard@PortableHP:~$ sudo rgrep UMASK /etc
/etc/security/namespace.init:                mask=$(awk '/^UMASK/{gsub("#.*$", "", $2); print $2; exit}' /etc/login.defs)
/etc/login.defs:#	UMASK		Default "umask" value.
/etc/login.defs:# UMASK is the default umask value for pam_umask and is used by
/etc/login.defs:# 022 is the "historical" value in Debian for UMASK
/etc/login.defs:# If USERGROUPS_ENAB is set to "yes", that will modify this UMASK default value
/etc/login.defs:UMASK		027
anard@PortableHP:~$ 

J'ai essayé également avec umask en minuscules, il y a plus de résultats :

anard@PortableHP:~$ sudo rgrep umask /etc
/etc/init.d/mysql:umask 077
/etc/init.d/ssh:umask 022
/etc/ppp/ip-down.d/0dns-down:umask 022
/etc/ppp/ip-up.d/0dns-up:umask 022
/etc/php/7.2/apache2/php.ini:; does not overwrite the process's umask.
/etc/php/7.2/cli/php.ini:; does not overwrite the process's umask.
/etc/ltrace.conf:octal umask(octal);
/etc/ltrace.conf:octal SYS_umask(octal);
/etc/login.defs:#	UMASK		Default "umask" value.
/etc/login.defs:# UMASK is the default umask value for pam_umask and is used by
/etc/login.defs:# Enable setting of the umask group bits to be the same as owner bits
/etc/init/mysql.conf:umask 007
/etc/pam.d/common-session-noninteractive:# The pam_umask module will set the umask according to the system default in
/etc/pam.d/common-session-noninteractive:# umask settings with different shells, display managers, remote sessions etc.
/etc/pam.d/common-session-noninteractive:# See "man pam_umask".
/etc/pam.d/common-session-noninteractive:session optional			pam_umask.so
/etc/pam.d/common-session:# The pam_umask module will set the umask according to the system default in
/etc/pam.d/common-session:# umask settings with different shells, display managers, remote sessions etc.
/etc/pam.d/common-session:# See "man pam_umask".
/etc/pam.d/common-session:session optional			pam_umask.so umask=027
/etc/X11/Xsession:if (umask 077 && touch "$ERRFILE") 2> /dev/null && [ -w "$ERRFILE" ] &&
/etc/fstab:UUID=67E3-17ED  /boot/efi       vfat    umask=0077      0       1
/etc/skel/.profile:# the default umask is set in /etc/profile; for setting the umask
/etc/skel/.profile:# for ssh logins, install and configure the libpam-umask package.
/etc/skel/.profile:#umask 022
/etc/cron.daily/popularity-contest:umask 022
anard@PortableHP:~$ 

Ce ne serait pas le /etc/cron.daily qui le remettrait à 022 tous les jours (donc au reboot) ?

Dernière modification par Anard (Le 10/09/2018, à 12:49)


"iMack" : GA-H97M-D3H, Intel i5 4460, 16Go DDR3, Intel HD4600, SSD 256+120 / Bootloader Clover - macOS Mojave / Gentoo-Xfce
"Portable" : HP Pavilion DV3500, Intel T6400, 4Go, HDD 500Go / Grub2 - Gentoo-Xfce

Hors ligne

#12 Le 10/09/2018, à 12:55

bruno

Re : le /home visible des autres utilisateurs

Je ne vois pas d'autre endroit ou UMASK aurait été redéfinie.
Tu peux aussi donner le retour de :

id

et de :

grep -i umask .{bashrc,profile}

pour voir si ton utilisateur a bien le me uid et gid et si il n'ya pas de redéfinition dans .bashrc ou .profile (voir aussi si tu peux essayer avec un autre utilisateur)

#13 Le 10/09/2018, à 13:00

Anard

Re : le /home visible des autres utilisateurs

Il doit y avoir un souci sur lla 2de commande... mais comme je ne la comprends pas... big_smile

anard@PortableHP:~$ id
uid=1000(anard) gid=1000(anard) groupes=1000(anard),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),126(sambashare)
anard@PortableHP:~$ grep -i umask .{bashrc,profile}
grep: .bashrc: Aucun fichier ou dossier de ce type
grep: .profile: Aucun fichier ou dossier de ce type
anard@PortableHP:~$

"iMack" : GA-H97M-D3H, Intel i5 4460, 16Go DDR3, Intel HD4600, SSD 256+120 / Bootloader Clover - macOS Mojave / Gentoo-Xfce
"Portable" : HP Pavilion DV3500, Intel T6400, 4Go, HDD 500Go / Grub2 - Gentoo-Xfce

Hors ligne

#14 Le 10/09/2018, à 13:08

uboops

Re : le /home visible des autres utilisateurs

Pourquoi ne pas utiliser dans /etc/fstab :
umask pour fichiers et répertoires (ou indépendamment: fmask et dmask ) ... exemple:
... ,umask=027, ...


“Au lieu de faire que ce qui fût juste fût fort, on a fait que ce qui fût fort fût juste.” (Blaise Pascal).

Hors ligne

#15 Le 10/09/2018, à 13:42

bruno

Re : le /home visible des autres utilisateurs

Pour le fstab, je ne sais pas, possible que cela marche…
Par contre je ne comprends pas pourquoi la modification de /etc/login.defs ne fonctionne pas. Encore une fois la commande umask devrait renvoyer 0007. C'est également étrange que tu n'ai ni fichier .bashrc, ni .profile dans ton dossier personnel…
Retour de :

cat /etc/lsb-release

#16 Le 10/09/2018, à 13:46

uboops

Re : le /home visible des autres utilisateurs

... Si ça ne marche pas via le fstab (au plus proche du hdd), ça devient grave ;-)


“Au lieu de faire que ce qui fût juste fût fort, on a fait que ce qui fût fort fût juste.” (Blaise Pascal).

Hors ligne

#17 Le 10/09/2018, à 13:49

Anard

Re : le /home visible des autres utilisateurs

Oui, je ne comprends pas non plus. Je suis sur une 18.04 à jour.

anard@PortableHP:~$ cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=18.04
DISTRIB_CODENAME=bionic
DISTRIB_DESCRIPTION="Ubuntu 18.04.1 LTS"
anard@PortableHP:~$ 

J'ai toujours peurr d'éditer le fstab, une faute de frape est fatale wink
Mais s'il n'y a plus que ça, je vais tenter le coup...

Dernière modification par Anard (Le 10/09/2018, à 13:50)


"iMack" : GA-H97M-D3H, Intel i5 4460, 16Go DDR3, Intel HD4600, SSD 256+120 / Bootloader Clover - macOS Mojave / Gentoo-Xfce
"Portable" : HP Pavilion DV3500, Intel T6400, 4Go, HDD 500Go / Grub2 - Gentoo-Xfce

Hors ligne

#18 Le 10/09/2018, à 15:06

Anard

Re : le /home visible des autres utilisateurs

Re.

Jai été voir dans le fstab et j'ai ça :

# / was on /dev/sda4 during installation
UUID=bfc6cee3-e796-439d-9299-252bd76ca57c /               ext4    errors=remount-ro 0       1
# /boot/efi was on /dev/sda1 during installation
UUID=67E3-17ED  /boot/efi       vfat    umask=0077      0       1
/swapfile                                 none            swap    sw              0       0

Il faut que je remplace "errors=remount-ro" par "umask=0027 errors=remount-ro" ou est-ce qu'il faut une virgule ou autre entre les deux commandes ?

Dernière modification par Anard (Le 10/09/2018, à 15:08)


"iMack" : GA-H97M-D3H, Intel i5 4460, 16Go DDR3, Intel HD4600, SSD 256+120 / Bootloader Clover - macOS Mojave / Gentoo-Xfce
"Portable" : HP Pavilion DV3500, Intel T6400, 4Go, HDD 500Go / Grub2 - Gentoo-Xfce

Hors ligne

#19 Le 10/09/2018, à 15:18

uboops

Re : le /home visible des autres utilisateurs

umask ne fonctionne que sur les "formats non-Linux (fat)" ce qui est du reste dommage ... et comme en plus vous n'avez pas de partition /home spécifique (racine + home), il va falloir gérer les droits avec une autre solution.
(manuel: par exemple avec des: chmod -R 750 /home/user/MonRepPerso )
(auto: par exemple avec des: chmod  2750 /home/user/MonRepPerso )

https://doc.ubuntu-fr.org/mount_fstab

Dernière modification par uboops (Le 10/09/2018, à 15:40)


“Au lieu de faire que ce qui fût juste fût fort, on a fait que ce qui fût fort fût juste.” (Blaise Pascal).

Hors ligne

#20 Le 10/09/2018, à 16:00

bruno

Re : le /home visible des autres utilisateurs

Ah ! Cela me semblait étrange aussi cette histoire de paramètre umask au montage. C'est réservé aux systèmes de fichiers qui ne gréent pas les droits UNIX, donc on oublie.

Les retours donnés en #11 sont normaux et UMASK est bien défini à 0027 et tu as bien fermé et rouvert ta session après avoir modifié login.defs.
J'en conclus qu'il y a un bug quelque part (probablement avec gdm que moi je n'utilise pas) et que ce n'est pas nouveau :
http://forums.debian.net/viewtopic.php?t=59365
https://bugs.debian.org/cgi-bin/bugrepo … bug=336214

Pour info il y a d'autre rapports de bogues sur la mauvaise gestion de UMASK par les environnements graphiques :
https://bugs.launchpad.net/ubuntu/+sour … ug/1701757
https://bugs.launchpad.net/ubuntu/+sour … ug/1685754
https://bugzilla.gnome.org/show_bug.cgi?id=780622 (commentaire #54 assez pertinent)

Et aussi sur le forum :
https://forum.ubuntu-fr.org/viewtopic.php?id=2017193

Dernière modification par bruno (Le 10/09/2018, à 16:08)

#21 Le 10/09/2018, à 16:40

uboops

Re : le /home visible des autres utilisateurs

bruno a écrit :

Ah ! Cela me semblait étrange aussi cette histoire de paramètre umask au montage. C'est réservé aux systèmes de fichiers qui ne gréent pas les droits UNIX, donc on oublie....

Il y a une astuce avec bindfs pour les ext#, mais en effet on oublie.

sudo bindfs -u $(id -u) -g $(id -g) /media/disk /home/user/new_disk

https://superuser.com/questions/519824/ … permission


“Au lieu de faire que ce qui fût juste fût fort, on a fait que ce qui fût fort fût juste.” (Blaise Pascal).

Hors ligne

#22 Le 10/09/2018, à 16:41

Anard

Re : le /home visible des autres utilisateurs

Merci beaucoup pour vos réponses diverses.

Si je comprends bien ce que dit Bruno, c'est GDM qui pue. Est-ce qu'utiliser LightDM pourrait être une solution ou est-ce plutôt lié à Gnome Shell ?
Ils font ch... je préférais largement Unity... mad

@uboops : Concrètement, que veut dire le chmod 2750 par rapport à 0750 ?
J'ai essayé de faire un chmod -R g+s sur mon dossier utilisateur (le 0750 était déjà fait). Est-ce que ça revient au même ?
Mais dans mon souvenir, cette fonction sert surtout à conserver les noms du propriétaire et du groupe. D'ailleurs après ceci, j'ai créé un nouveau dossier dans mon dossier utilisateur qui avait à nouveau les droits 755...


"iMack" : GA-H97M-D3H, Intel i5 4460, 16Go DDR3, Intel HD4600, SSD 256+120 / Bootloader Clover - macOS Mojave / Gentoo-Xfce
"Portable" : HP Pavilion DV3500, Intel T6400, 4Go, HDD 500Go / Grub2 - Gentoo-Xfce

Hors ligne

#23 Le 10/09/2018, à 16:45

uboops

Re : le /home visible des autres utilisateurs


“Au lieu de faire que ce qui fût juste fût fort, on a fait que ce qui fût fort fût juste.” (Blaise Pascal).

Hors ligne

#24 Le 10/09/2018, à 16:47

Anard

Re : le /home visible des autres utilisateurs

Oui c'est donc bien comme g+s...

anard@PortableHP:~$ cd /home/
anard@PortableHP:/home$ ls -l | grep anard
drwxr-x--- 19 anard anard 4096 sept. 10 17:41 anard
anard@PortableHP:/home$ sudo chmod -R g+s anard && ls -l | grep anard
drwxr-s--- 19 anard anard 4096 sept. 10 17:41 anard
anard@PortableHP:/home$ mkdir anard/coucou
anard@PortableHP:/home$ ls -l anard | grep coucou
drwxr-sr-x 2 anard anard 4096 sept. 10 17:43 coucou
anard@PortableHP:/home$ # IL SE MOQUE DE MOI !
anard@PortableHP:/home$ 

Ceci dit, si "others" n'a pas les droit en lecture sur mon dossier utilisateur, est-ce que le fait qu'il ait les droits sur les fichiers contenus représente une faille de sécurité ?
Personne ne pourra les lire de toutes façons, je me trompe ?
Il faut juste penser à re-faire un chmod 0750 à la création d'un nouvel utilisateur.

Dernière modification par Anard (Le 10/09/2018, à 16:54)


"iMack" : GA-H97M-D3H, Intel i5 4460, 16Go DDR3, Intel HD4600, SSD 256+120 / Bootloader Clover - macOS Mojave / Gentoo-Xfce
"Portable" : HP Pavilion DV3500, Intel T6400, 4Go, HDD 500Go / Grub2 - Gentoo-Xfce

Hors ligne

#25 Le 10/09/2018, à 17:18

Anard

Re : le /home visible des autres utilisateurs

bruno a écrit :

C'est également étrange que tu n'ai ni fichier .bashrc, ni .profile dans ton dossier personnel…

Après réflexion, je pense que ça vient d'une erreur de manip que j'ai faite à un moment (qui n'a rien à voir avec ce sujet).
Je les ai récupérés depuis un autre compte utilisateur :

anard@PortableHP:~$ grep -i umask .{bashrc,profile}
.profile:# the default umask is set in /etc/profile; for setting the umask
.profile:# for ssh logins, install and configure the libpam-umask package.
.profile:#umask 022
anard@PortableHP:~$

Il n'y a rien dans /etc/profile qui parle de umask...

Dernière modification par Anard (Le 10/09/2018, à 17:26)


"iMack" : GA-H97M-D3H, Intel i5 4460, 16Go DDR3, Intel HD4600, SSD 256+120 / Bootloader Clover - macOS Mojave / Gentoo-Xfce
"Portable" : HP Pavilion DV3500, Intel T6400, 4Go, HDD 500Go / Grub2 - Gentoo-Xfce

Hors ligne