Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 08/11/2022, à 10:15

HPIR40

Probleme de sécurité entre utilisateur d'un même ordinateur ou serveur

Bonjour

En faisant un test je viens de trouver un gros problème de sécurité et je ne vois pas comment le résoudre.
Peut être le pourrez vous:

- Mes ubuntu 20.04.5LTS sont dans un domaine active directory via SSSD. Donc rien de trop anormal
- les uid et gid des users sont sous le format

login utilisa. du domaine

Quand un utilisateur se connecte pour la premiere fois sur le PC voici ses fichiers avec les droits d'accès automatiquement attribué:

drwxr-xr-x 2 test utilisa. du domaine 4096 nov.   8 09:50 Bureau
drwxr-xr-x 2 test utilisa. du domaine 4096 nov.   8 09:50 Documents
drwxr-xr-x 2 test utilisa. du domaine 4096 nov.   8 09:50 Images
drwxr-xr-x 2 test utilisa. du domaine 4096 nov.   8 09:50 Modèles
drwxr-xr-x 2 test utilisa. du domaine 4096 nov.   8 09:50 Musique
drwxr-xr-x 2 test utilisa. du domaine 4096 nov.   8 09:50 Public
drwxr-xr-x 2 test utilisa. du domaine 4096 nov.   8 09:50 Téléchargements
drwxr-xr-x 2 test utilisa. du domaine 4096 nov.   8 09:50 Vidéos

le probleme c'est que si un deuxieme utilisateur se connecte sur l'ordinateur il peut simplement par une simple navigation dans /home/test/Documents/.... aller lire tout ce qu'il y a dedans !!

en terme de confidentialité ce n'est pas top du tout.

Il y a t'il moyen d'empêcher cela et si oui comment?

Par avance merci

Salutations.

Hors ligne

#2 Le 08/11/2022, à 10:52

bruno

Re : Probleme de sécurité entre utilisateur d'un même ordinateur ou serveur

Bonjour,

Si je comprends bien le problème est que les droits sont r-x pour tous le monde sur les dossiers personnels et leur contenu.
Il suffit de changer ces droits avec chmod et de régler globalement le UMASK pour qu'il soit plus restrictif (027 au lieu de 022).

Hors ligne

#3 Le 08/11/2022, à 11:40

HPIR40

Re : Probleme de sécurité entre utilisateur d'un même ordinateur ou serveur

Bonjour

Oui le probleme est bien que les droits soient en r-x pour tous le monde

Je trouve quand même plus que surprenant que Ubuntu rende les fichiers des autres utilisateurs consultables pour tout utilisateur du PC ou du serveur.
A mon sens c'est une énorme faille de sécurité en terme de confidentialité des données, et même windows ne le permet pas (sauf a avoir les droits admin bien sur)

Alors oui je pourrais user par user aller mettre taper la commande chmod quivabien (c'est ce que je vais faire pour ceux qui ont deja leur session en place), mais si un nouvel utilisateur arrive il va avoir ses dossiers en r-x pour tous les autres.
Donc comment puis je faire pour que d'office les utilisateurs ne soit pas en r-x pour tout le monde, que je puisse configurer cela par défaut lors de l'installation de l'OS?

Par avance merci

Dernière modification par HPIR40 (Le 08/11/2022, à 11:40)

Hors ligne

#4 Le 08/11/2022, à 12:58

bruno

Re : Probleme de sécurité entre utilisateur d'un même ordinateur ou serveur

HPIR40 a écrit :

Je trouve quand même plus que surprenant que Ubuntu rende les fichiers des autres utilisateurs consultables pour tout utilisateur du PC ou du serveur.
A mon sens c'est une énorme faille de sécurité en terme de confidentialité des données, et même windows ne le permet pas (sauf a avoir les droits admin bien sur)

Dans les dernières versions le le dossier personnel est en mode 750.
Ce n'était pas une faille mais simplement un choix de configuration.

Sur un système déjà en place il suffit de faire quelque chose comme :

sudo chmod -R o-rwx /home/*
HPIR40 a écrit :

Alors oui je pourrais user par user aller mettre taper la commande chmod quivabien (c'est ce que je vais faire pour ceux qui ont deja leur session en place), mais si un nouvel utilisateur arrive il va avoir ses dossiers en r-x pour tous les autres.

Normalement non, si tu fais la modification sur le UMASK comme je l'ai indiqué.

Hors ligne

#5 Le 08/11/2022, à 15:27

HPIR40

Re : Probleme de sécurité entre utilisateur d'un même ordinateur ou serveur

Merci pour ton aide

Je viens de faire différents test:

- la commande chmod fonctionne parfaitement, après celle ci, un user ne peut plus accéder au home d'un autre user, par contre la commande umask 022 ne fonctionne pas puisque si on ouvre une session avec un nouvel user, son répertoire et tout son contenu sont en 755.

- si un user crée dans son home un nouveau repertoire, ou monte un disque réseau (en sudo bien sur) dans mnt par exemple (mnt etant en 777), les droits de ce nouveau dossier sont en 755. si il crée un fichier les droits sont en 664.

Est ce qu'il y a un endroit où on peut modifier ça pour avoir par défaut les droits en 700 et 600? Comment corriger la commande umask pour qu'elle soit effective lors de la création d'un nouveau home?

Par avance merci

Dernière modification par HPIR40 (Le 08/11/2022, à 15:27)

Hors ligne

#6 Le 08/11/2022, à 16:22

bruno

Re : Probleme de sécurité entre utilisateur d'un même ordinateur ou serveur

Pardon, je n'ai sans doute pas été assez précis.
Pour modifier globalement UMASK au niveau du système il faut modifier le fichier /etc/pam.d/common-session ainsi (ajouter umask=027) :

session optional pam_umask.so umask=027

et par précaution aussi le fichier /etc/login.defs (passer de 022 à 027):

UMASK           027

Après avoir relancé la connexion on peut vérifier avec la commande :

umask

et en créant un fichier ou un dossier, puis en ragardant ses permissions

Avec un umask à 027 les fichiers seront créés en mode 640 et les dossiers en mode 750. C'est ce que je fais systématiquement sur tous mes serveurs.

Avec un umask à 077 se sera respectivement 600 et 700. Dans ce cas attention au effets de bords car cela rend les fichiers inaccesibles au groupe auquel ils appartiennent

Dernière modification par bruno (Le 08/11/2022, à 16:25)

Hors ligne

#7 Le 08/11/2022, à 17:49

HPIR40

Re : Probleme de sécurité entre utilisateur d'un même ordinateur ou serveur

Pas de soucis wink

alors

UMASK 077

dans /etc/login.defs j'ai trouvé avant que tu me le dise

j'ai aussi dans le même fichier modifié ça

HOME_MODE 0700

Et effectivement comme je suis en domaine AD il faut que j'edite la derniere ligne de  /etc/pam.d/common-session pour remplacer

session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

par

session required pam_mkhomedir.so skel=/etc/skel/ umask=0077

si on n'est pas en domaine c'est /etc/adduser.conf qui faut aller modifier pour passer

DIR_MODE=0755

ou

DIR_MODE=0750

en

DIR_MODE=0700

Maintenant tout est en 700 maintenant et en sécurité max.

Mais bon la raison du 755 ou 750 sur des home me parait quand même très étrange.

Merci pour ton aide

Dernière modification par HPIR40 (Le 08/11/2022, à 17:54)

Hors ligne