le /home visible des autres utilisateurs

kersaweol · Le 06/09/2018, à 07:13

Bonjour,

Sur ma 18.04.1 fraichement installée, en allant sur /home je me suis aperçu que les dossiers personnels (/home) des autres utilisateurs de l'ordi sont visibles... De même le mien vis à vis des autres utilisateurs...

Je n'ai pas l'impression que ce soit bien normal... ?

Merci par avance.

Dernière modification par kersaweol (Le 06/09/2018, à 07:17)

katian · Le 06/09/2018, à 07:54

il me semble que c'est depuis toujours ainsi...

bluc · Le 06/09/2018, à 08:17

Bonjour,

Il doit etre possible pour chaque utilisateur de modifier les droits

Dernière modification par bluc (Le 06/09/2018, à 08:18)

katian · Le 06/09/2018, à 08:23

bluc a écrit :

Bonjour,
Il doit etre possible pour chaque utilisateur de modifier les droits

au risque de perturber les applications qui accèdent au $HOME

un expert pourrais donner son avis ?

bruno · Le 06/09/2018, à 09:05

Bonjour,

De mémoire il y a une option à l'installation pour cela.

Pour les utilisateurs cela se règle dans /etc/login.defs (le fichier est auto-documenté)
Par défaut UMASK est sur 022 ce qui signifie que les fichiers/dossiers d'un utilisateurs auront les permissions 755 (rwxr-xr-x) donc accessibles en lecture à tout le monde.

Dans ce même fichier avec la variable :

USERGROUPS_ENAB yes

si le propriétaire et le groupe sont identiques (c'est le cas par défaut pour les utilisateurs standards créés sous Ubuntu) le UMASK devient 002. Les fichiers/dossiers de l'utilisateur auront les permissions 775 (rwxrwxr-x) donc toujours accessibles à tout le monde.

Si on veut modifier ce comportement on peut modifier globalement UMASK :

UMASK           077

Qui deviendra 007 pour les utilisateurs standards d'Ubuntu 007, soit des fichiers en 770 (rwxrwx---) donc accessibles uniquement au propriétaire et au groupe.

Pour modifier les dossiers personnels existants, exemple celui de toto :

sudo chmod -R o-rwx /home/toto

Dernière modification par bruno (Le 06/09/2018, à 09:06)

kersaweol · Le 06/09/2018, à 11:17

katian a écrit :

il me semble que c'est depuis toujours ainsi...

Au temps pour moi... Il me semblait que les dossiers personnels des autres utilisateurs n'étaient pas visuellement accessibles...

Anard · Le 10/09/2018, à 12:02

En effet, ce comportement me semble vraiment étrange sur un ordinateur partagé !
J'ai voulu résoudre le problème mais ça ne fonctionne pas chez moi :
J'ai indiqué dans /etc/login.defs

UMASK 027

et voici ce que j'obtiens après redémarrage:

anard@PortableHP:~$ umask
0022
anard@PortableHP:~$

Si je crée un nouvel utilisateur, son dossier utilisateur dispose bien des droits 0744…

Dernière modification par Anard (Le 10/09/2018, à 12:09)

bruno · Le 10/09/2018, à 12:10

Ce n'est pas normal. Si anard est dans le groupe principal anard (uid et gid identiques) tu devrais obtenir :

$ umask
0007

Vérifie que tu n'as pas modifié la valeur de UMASK à un autre endroit.

Anard · Le 10/09/2018, à 12:20

Non je n'ai pas touché ailleurs. Suite à cette erreur, j'ai été cherché dans la doc, qui dit plutôt de modifier cette ligne dans /etc/pam.d/common-session

session    optional     pam_umask.so umask=007

Mais sans résultat. D'un côté, ce fichier a bien l'air de dire que tout se passe dans /etc/login.defs.

Ils parlent aussi de ça, mais je ne voudrais pas faire de connerie...

Une autre solution consiste à ajouter dans le fichier /root/.bashrc
umask 007

PS : je mets toujours 027...

Dernière modification par Anard (Le 10/09/2018, à 12:27)

bruno · Le 10/09/2018, à 12:33

Le /root/.bashrc est une connerie, cela n'affectera que l'utilisateur root et de toute façon le dossier /root n'est accessible qu'à root.

Retour de :

sudo rgrep UMASK /etc

Anard · Le 10/09/2018, à 12:47

Merci :

anard@PortableHP:~$ sudo rgrep UMASK /etc
/etc/security/namespace.init:                mask=$(awk '/^UMASK/{gsub("#.*$", "", $2); print $2; exit}' /etc/login.defs)
/etc/login.defs:#	UMASK		Default "umask" value.
/etc/login.defs:# UMASK is the default umask value for pam_umask and is used by
/etc/login.defs:# 022 is the "historical" value in Debian for UMASK
/etc/login.defs:# If USERGROUPS_ENAB is set to "yes", that will modify this UMASK default value
/etc/login.defs:UMASK		027
anard@PortableHP:~$

J'ai essayé également avec umask en minuscules, il y a plus de résultats :

anard@PortableHP:~$ sudo rgrep umask /etc
/etc/init.d/mysql:umask 077
/etc/init.d/ssh:umask 022
/etc/ppp/ip-down.d/0dns-down:umask 022
/etc/ppp/ip-up.d/0dns-up:umask 022
/etc/php/7.2/apache2/php.ini:; does not overwrite the process's umask.
/etc/php/7.2/cli/php.ini:; does not overwrite the process's umask.
/etc/ltrace.conf:octal umask(octal);
/etc/ltrace.conf:octal SYS_umask(octal);
/etc/login.defs:#	UMASK		Default "umask" value.
/etc/login.defs:# UMASK is the default umask value for pam_umask and is used by
/etc/login.defs:# Enable setting of the umask group bits to be the same as owner bits
/etc/init/mysql.conf:umask 007
/etc/pam.d/common-session-noninteractive:# The pam_umask module will set the umask according to the system default in
/etc/pam.d/common-session-noninteractive:# umask settings with different shells, display managers, remote sessions etc.
/etc/pam.d/common-session-noninteractive:# See "man pam_umask".
/etc/pam.d/common-session-noninteractive:session optional			pam_umask.so
/etc/pam.d/common-session:# The pam_umask module will set the umask according to the system default in
/etc/pam.d/common-session:# umask settings with different shells, display managers, remote sessions etc.
/etc/pam.d/common-session:# See "man pam_umask".
/etc/pam.d/common-session:session optional			pam_umask.so umask=027
/etc/X11/Xsession:if (umask 077 && touch "$ERRFILE") 2> /dev/null && [ -w "$ERRFILE" ] &&
/etc/fstab:UUID=67E3-17ED  /boot/efi       vfat    umask=0077      0       1
/etc/skel/.profile:# the default umask is set in /etc/profile; for setting the umask
/etc/skel/.profile:# for ssh logins, install and configure the libpam-umask package.
/etc/skel/.profile:#umask 022
/etc/cron.daily/popularity-contest:umask 022
anard@PortableHP:~$

Ce ne serait pas le /etc/cron.daily qui le remettrait à 022 tous les jours (donc au reboot) ?

Dernière modification par Anard (Le 10/09/2018, à 12:49)

bruno · Le 10/09/2018, à 12:55

Je ne vois pas d'autre endroit ou UMASK aurait été redéfinie.
Tu peux aussi donner le retour de :

id

et de :

grep -i umask .{bashrc,profile}

pour voir si ton utilisateur a bien le me uid et gid et si il n'ya pas de redéfinition dans .bashrc ou .profile (voir aussi si tu peux essayer avec un autre utilisateur)

Anard · Le 10/09/2018, à 13:00

Il doit y avoir un souci sur lla 2de commande... mais comme je ne la comprends pas...

anard@PortableHP:~$ id
uid=1000(anard) gid=1000(anard) groupes=1000(anard),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),126(sambashare)
anard@PortableHP:~$ grep -i umask .{bashrc,profile}
grep: .bashrc: Aucun fichier ou dossier de ce type
grep: .profile: Aucun fichier ou dossier de ce type
anard@PortableHP:~$

uboops · Le 10/09/2018, à 13:08

Pourquoi ne pas utiliser dans /etc/fstab :
umask pour fichiers et répertoires (ou indépendamment: fmask et dmask ) ... exemple:
... ,umask=027, ...

bruno · Le 10/09/2018, à 13:42

Pour le fstab, je ne sais pas, possible que cela marche…
Par contre je ne comprends pas pourquoi la modification de /etc/login.defs ne fonctionne pas. Encore une fois la commande umask devrait renvoyer 0007. C'est également étrange que tu n'ai ni fichier .bashrc, ni .profile dans ton dossier personnel…
Retour de :

cat /etc/lsb-release

uboops · Le 10/09/2018, à 13:46

... Si ça ne marche pas via le fstab (au plus proche du hdd), ça devient grave ;-)

Anard · Le 10/09/2018, à 13:49

Oui, je ne comprends pas non plus. Je suis sur une 18.04 à jour.

anard@PortableHP:~$ cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=18.04
DISTRIB_CODENAME=bionic
DISTRIB_DESCRIPTION="Ubuntu 18.04.1 LTS"
anard@PortableHP:~$

J'ai toujours peurr d'éditer le fstab, une faute de frape est fatale
Mais s'il n'y a plus que ça, je vais tenter le coup...

Dernière modification par Anard (Le 10/09/2018, à 13:50)

Anard · Le 10/09/2018, à 15:06

Re.

Jai été voir dans le fstab et j'ai ça :

# / was on /dev/sda4 during installation
UUID=bfc6cee3-e796-439d-9299-252bd76ca57c /               ext4    errors=remount-ro 0       1
# /boot/efi was on /dev/sda1 during installation
UUID=67E3-17ED  /boot/efi       vfat    umask=0077      0       1
/swapfile                                 none            swap    sw              0       0

Il faut que je remplace "errors=remount-ro" par "umask=0027 errors=remount-ro" ou est-ce qu'il faut une virgule ou autre entre les deux commandes ?

Dernière modification par Anard (Le 10/09/2018, à 15:08)

uboops · Le 10/09/2018, à 15:18

umask ne fonctionne que sur les "formats non-Linux (fat)" ce qui est du reste dommage ... et comme en plus vous n'avez pas de partition /home spécifique (racine + home), il va falloir gérer les droits avec une autre solution.
(manuel: par exemple avec des: chmod -R 750 /home/user/MonRepPerso )
(auto: par exemple avec des: chmod 2750 /home/user/MonRepPerso )

https://doc.ubuntu-fr.org/mount_fstab

Dernière modification par uboops (Le 10/09/2018, à 15:40)

bruno · Le 10/09/2018, à 16:00

Ah ! Cela me semblait étrange aussi cette histoire de paramètre umask au montage. C'est réservé aux systèmes de fichiers qui ne gréent pas les droits UNIX, donc on oublie.

Les retours donnés en #11 sont normaux et UMASK est bien défini à 0027 et tu as bien fermé et rouvert ta session après avoir modifié login.defs.
J'en conclus qu'il y a un bug quelque part (probablement avec gdm que moi je n'utilise pas) et que ce n'est pas nouveau :
http://forums.debian.net/viewtopic.php?t=59365
https://bugs.debian.org/cgi-bin/bugrepo … bug=336214

Pour info il y a d'autre rapports de bogues sur la mauvaise gestion de UMASK par les environnements graphiques :
https://bugs.launchpad.net/ubuntu/+sour … ug/1701757
https://bugs.launchpad.net/ubuntu/+sour … ug/1685754
https://bugzilla.gnome.org/show_bug.cgi?id=780622 (commentaire #54 assez pertinent)

Et aussi sur le forum :
https://forum.ubuntu-fr.org/viewtopic.php?id=2017193

Dernière modification par bruno (Le 10/09/2018, à 16:08)

uboops · Le 10/09/2018, à 16:40

bruno a écrit :

Ah ! Cela me semblait étrange aussi cette histoire de paramètre umask au montage. C'est réservé aux systèmes de fichiers qui ne gréent pas les droits UNIX, donc on oublie....

Il y a une astuce avec bindfs pour les ext#, mais en effet on oublie.

sudo bindfs -u $(id -u) -g $(id -g) /media/disk /home/user/new_disk

https://superuser.com/questions/519824/ … permission

Anard · Le 10/09/2018, à 16:41

Merci beaucoup pour vos réponses diverses.

Si je comprends bien ce que dit Bruno, c'est GDM qui pue. Est-ce qu'utiliser LightDM pourrait être une solution ou est-ce plutôt lié à Gnome Shell ?
Ils font ch... je préférais largement Unity...

@uboops : Concrètement, que veut dire le chmod 2750 par rapport à 0750 ?
J'ai essayé de faire un chmod -R g+s sur mon dossier utilisateur (le 0750 était déjà fait). Est-ce que ça revient au même ?
Mais dans mon souvenir, cette fonction sert surtout à conserver les noms du propriétaire et du groupe. D'ailleurs après ceci, j'ai créé un nouveau dossier dans mon dossier utilisateur qui avait à nouveau les droits 755...

uboops · Le 10/09/2018, à 16:45

Ce sont des droits spéciaux.
https://tech.feub.net/2008/03/setuid-se … ticky-bit/

Anard · Le 10/09/2018, à 16:47

Oui c'est donc bien comme g+s...

anard@PortableHP:~$ cd /home/
anard@PortableHP:/home$ ls -l | grep anard
drwxr-x--- 19 anard anard 4096 sept. 10 17:41 anard
anard@PortableHP:/home$ sudo chmod -R g+s anard && ls -l | grep anard
drwxr-s--- 19 anard anard 4096 sept. 10 17:41 anard
anard@PortableHP:/home$ mkdir anard/coucou
anard@PortableHP:/home$ ls -l anard | grep coucou
drwxr-sr-x 2 anard anard 4096 sept. 10 17:43 coucou
anard@PortableHP:/home$ # IL SE MOQUE DE MOI !
anard@PortableHP:/home$

Ceci dit, si "others" n'a pas les droit en lecture sur mon dossier utilisateur, est-ce que le fait qu'il ait les droits sur les fichiers contenus représente une faille de sécurité ?
Personne ne pourra les lire de toutes façons, je me trompe ?
Il faut juste penser à re-faire un chmod 0750 à la création d'un nouvel utilisateur.

Dernière modification par Anard (Le 10/09/2018, à 16:54)

Anard · Le 10/09/2018, à 17:18

bruno a écrit :

C'est également étrange que tu n'ai ni fichier .bashrc, ni .profile dans ton dossier personnel…

Après réflexion, je pense que ça vient d'une erreur de manip que j'ai faite à un moment (qui n'a rien à voir avec ce sujet).
Je les ai récupérés depuis un autre compte utilisateur :

anard@PortableHP:~$ grep -i umask .{bashrc,profile}
.profile:# the default umask is set in /etc/profile; for setting the umask
.profile:# for ssh logins, install and configure the libpam-umask package.
.profile:#umask 022
anard@PortableHP:~$

Il n'y a rien dans /etc/profile qui parle de umask...

Dernière modification par Anard (Le 10/09/2018, à 17:26)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/09/2018, à 07:13

le /home visible des autres utilisateurs

#2 Le 06/09/2018, à 07:54

Re : le /home visible des autres utilisateurs

#3 Le 06/09/2018, à 08:17

Re : le /home visible des autres utilisateurs

#4 Le 06/09/2018, à 08:23

Re : le /home visible des autres utilisateurs

#5 Le 06/09/2018, à 09:05

Re : le /home visible des autres utilisateurs

#6 Le 06/09/2018, à 11:17

Re : le /home visible des autres utilisateurs

#7 Le 10/09/2018, à 12:02

Re : le /home visible des autres utilisateurs

#8 Le 10/09/2018, à 12:10

Re : le /home visible des autres utilisateurs

#9 Le 10/09/2018, à 12:20

Re : le /home visible des autres utilisateurs

#10 Le 10/09/2018, à 12:33

Re : le /home visible des autres utilisateurs

#11 Le 10/09/2018, à 12:47

Re : le /home visible des autres utilisateurs

#12 Le 10/09/2018, à 12:55

Re : le /home visible des autres utilisateurs

#13 Le 10/09/2018, à 13:00

Re : le /home visible des autres utilisateurs

#14 Le 10/09/2018, à 13:08

Re : le /home visible des autres utilisateurs

#15 Le 10/09/2018, à 13:42

Re : le /home visible des autres utilisateurs

#16 Le 10/09/2018, à 13:46

Re : le /home visible des autres utilisateurs

#17 Le 10/09/2018, à 13:49

Re : le /home visible des autres utilisateurs

#18 Le 10/09/2018, à 15:06

Re : le /home visible des autres utilisateurs

#19 Le 10/09/2018, à 15:18

Re : le /home visible des autres utilisateurs

#20 Le 10/09/2018, à 16:00

Re : le /home visible des autres utilisateurs

#21 Le 10/09/2018, à 16:40

Re : le /home visible des autres utilisateurs

#22 Le 10/09/2018, à 16:41

Re : le /home visible des autres utilisateurs

#23 Le 10/09/2018, à 16:45

Re : le /home visible des autres utilisateurs

#24 Le 10/09/2018, à 16:47

Re : le /home visible des autres utilisateurs

#25 Le 10/09/2018, à 17:18

Re : le /home visible des autres utilisateurs

Pied de page des forums