Ubuntu-fr

teem

Permisions en lecture seule : sur un dossier ou sur les fichiers

Bonjour,

Je souhaiterais créer un fichiers PDF (sur le bureau d'emmanuel) dans lequel des liens hypertextes pointeraient sur des vidéos stockées dans un dossier caché de /home/emmanuel, ne laissant que seul un droit de lecture des vidéos à emmanuel.

1. J'ai donc créé un dossier caché (en root) dans  /home/emmanuel/.dossier (# mkdir .dossier)
2. Sur ce dossier ou sur chaque fichier qu'il contient, j'aimerais accorder que des permissions de lecture (r--) à emmanuel:
    a. Dois-je appliquer les permissions  sur le dossier global ou sur chaque fichier individuellement?
    b. Quelle ligne de commande chown dois-je passer pour root, le groupe et emmanuel?
    b. Est-ce qu'un chmod 644 est la bonne formule pour ce que je désire faire?

Voilà, j'espère avoir été assez clair. Merci d'avance pour votre réponse,
cordialement, Teem.

moko138

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

.
      Les permissions
1) Le dossier (sans son contenu) doit avoir les permissions r-x :
dr-xr-xr-x    soit 555, Sinon son contenu sera inaccessible.

2) Le contenu du dossier doit avoir les permissions r,
dr--r--r--   soit 444.

Donc,
1) Les permissions du dossier seul :

sudo chmod 555 -c /home/emmanuel/dossier

            .
2) Les permissions du contenu du dossier :

sudo chmod 444 -c /home/emmanuel/dossier/*

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

cqfd93

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Bonjour,

Je souhaiterais créer un fichiers PDF (sur le bureau d'emmanuel) dans lequel des liens hypertextes pointeraient sur des vidéos stockées dans un dossier caché de /home/emmanuel, ne laissant que seul un droit de lecture des vidéos à emmanuel.

1. J'ai donc créé un dossier caché (en root) dans  /home/emmanuel/.dossier (# mkdir .dossier)

Pourquoi créer en root un dossier qui doit appartenir à emmanuel ??? Là, emmanuel n'est pas propriétaire.

---

− cqfd93 −

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Bonjour,

@moko138: tout d'abord, merci pour la réponse et la réctivité ! C'est cool.

@cqfd93: pour protéger les vidéos qui sont à l'intérieur du dossier (mon souhait est qu'elles restent dans ce dossier) ; emmanuel ne pourra que les visionner.

Je vous souhaite un bon dimanche,

Cordialement, teem.

PS: comment faut-il faire pour mettre un [résolu] sur le sujet au cas où? Merci.

Dernière modification par teem (Le 22/12/2019, à 13:13)

hcm

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

comment faut-il faire pour mettre un [résolu]

cf la doc.

Dernière modification par hcm (Le 22/12/2019, à 13:25)

---

Ubuntu 22.04.1 LTS - 64 bits / Intel Pentium(R) Dual CPU E2200 @ 2.20GHz × 2 / 2 Go RAM / 1,1 To DD / Carte Graphique Intel G33

moko138

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

cqfd93,
J'avais d'abord réagi comme toi. Mais si emmanuel était propriétaire du dossier, il pourrait en modifier les droits. Or teem a écrit :

Je souhaiterais (...) ne laissant que seul un droit de lecture

  - -

teem,
Teste d'abord.
Ensuite continue d'attendre les avis : il y a plusieurs solutions, de meilleures idées peuvent venir.

Et si dans quelques jours, tu considères que le fil est résolu, alors tu modifieras ton premier message pour modifier le titre.

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

C'est pas terrible de mettre dans /home/user des choses qui n'appartiennent pas à user.
Et c'est pas terrible non plus de faire intervenir root quand ça n'est pas nécessaire.

Donc pour ton problème, il serait peut-être mieux de créer un user nommé « videos », qui serait naturellement administrateur des videos qui se trouvent dans son home (pas besoin de recourir à root pour administrer les vidéos).
Et pour que quelqu'un puisse accéder à ses vidéos, il suffirait d'ajouter ce quelqu'un au groupe « videos ».
Pour ajouter cet utilisateur :

sudo useradd -m videos

Ensuite tu lui mets un mot de passe :

sudo passwd videos

Tu ouvres si nécessaire l'accès à son home aux membres de son groupe :

sudo chmod g+xr /home/videos/

Et enfin tu ajoutes qui de droit à son groupe :

sudo usermod -aG videos user

où « user » est à remplacer par qui tu veux (emmanuel en l'occurrence).

Après pour mettre les vidéos dans le home de videos, tu peux le faire depuis son compte, si il a accès aux médias où se trouvent les vidéos, ou bien via sudo, mais il faudra ensuite modifier le propriétaire des vidéos.
Reste aussi à vérifier que le groupe videos a bien accès en lecture (et en lecture seulement) aux vidéos, mais normalement par défaut ça doit être bon (il doit y avoir des droits 644 dans /home/videos).

Dernière modification par kamaris (Le 22/12/2019, à 21:18)

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

@cqfd93: Je pense que moko138 a bien compris ce que je voulais. je souhaite juste qu'emmanuel puisse lire les vidéos.
PS: Cependant, je me demande si: à partir du moment ou emmanuel sais se connecter en root, toute "la protection" ne disparait-elle pas?...

Alors dans ce cas, il faut que j'étudie la solution que propose Kamaris...(merci) : qui pourrait aller si root ne peut pas entrer dans le dossier d'un groupe.

C'est compliqué ces permissions! Lol! Mais passionnant!

Merci pour vos commentaires, je ne ferme pas le Post de suite @cqfd93... Bonne soirée à tous.

moko138

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Ah oui ! Ce sera beaucoup mieux ainsi !  [à la façon de kamaris]
Merci kamaris ! 

Dernière modification par moko138 (Le 22/12/2019, à 19:35)

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

moko138

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

teem,
L'utilisateur root peut tout.

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Plus je réfléchis et plus je me dis que j'aurais dû expliquer mon besoin autrement...

Je récapitule:
1. je souhaite mettre des vidéos tutorielles d'Ubuntu dans l'ordinateur d'emmanuel.
2. Cependant, je souhaite qu'emmanuel puisse seulement les lire (pas les sortir de leur dossier),
3. Si j'installe et protège le dossier des vidéos en tant que root (dans son ordinateur), je pense qu'il pourra y avoir accès simplement en se connectant en root (sudo -s), donc ça ne va pas !
4. Sinon, effectivement, je dois pouvoir (comme dit Kamaris) créer un autre utilisateur nommé par exemple 'utilisateur_vidéos' dont son compte servira de base pour le stockage du dossier et des vidéos. Ensuite, je devrais pouvoir donner des droits de lecture seule : aux autres utilisateurs (y compris l'administrateur du PC: emmanuel). Car effectivement, le mot de passe de session (que seul ''utilisateur_vidéos' connaitrait): protégerait le dossier.

Est-ce que mon explication vous éclaire mieux et surtout, quelle serait la solution pour résoudre mon besoin?
Merci d'avance, teem.

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Si l'utilisateur emmanuel peut accéder aux droits root, ta demande de restriction des droits n'a pas de sens : il peut faire tout ce qu'il veut.
Il faudrait stocker les données sur un autre ordi dont il ne serait pas administrateur, et auquel il se connecterait en lecture seule, mais ça devient peut-être un peu compliqué…

Dernière modification par kamaris (Le 22/12/2019, à 20:15)

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

@Kamaris merci, car ce que tu proposes me convient mieux effectivement. (désolé moko138). Je ne savais pas qu'un utilisateur pouvais partager son /home/; mais après recherche, effectivement il y a beaucoup d'options possible pour la commande usermod avec le G obligé pour le groupe. (voir cette page pour ceux que cela intéresserait : http://manpages.ubuntu.com/manpages/bio … mod.8.html )

Ma seule question concerne la permission 644 que je mets visblement sur /home/vidéos; donc si je comprends bien, je n'ai pas besoin de mettre des permissions spéciales sur chaque vidéo, puisque le dossier les protègera?

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Le plus simple est de mettre les mêmes droits sur le répertoire et ce qu'il contient, modulo le droit d'exécution pour le répertoire.
Tu peux faire ça :

sudo chmod -R u=rwX,g=rX,o= /home/videos

Ça mettra des droits de lecture/écriture au propriétaire, lecture au groupe et rien aux autres (750 pour les répertoires, 640 pour les fichiers).
Évite aussi de mettre des caractères accentués dans les noms d'utilisateur (videos et pas vidéos).

Mais encore une fois, si emmanuel a accès aux droits root, tout ça ne sert à rien.
Il faut soit que tu lui enlèves ses droits d'admin en éditant le fichier /etc/sudoers, soit que tu mettes les vidéos ailleurs que sur son ordi.

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Merci Kamaris; effectivement root peut avoir tous les droits, cependant il faut déjà savoir manipuler la ligne de commande..., comme tu sais le faire. Pour un utilisateur lambda, mettre les vidéos en lecture seule chez un autre utilisateur c'est déjà pas évident à deviner !

Ensuite, je pourrais bien sûr mettre emmanuel comme simple utilisateur au moment de l'installation d'Ubuntu, mais mon éthique personnelle m'en empêche! Puisque l'ordinateur appartient à emmanuel, c'est à lui que reviennent les droits en root.

NB: Merci pour les caractères accentués, je crois que les espaces aussi sont à éviter sinon, il faut des \ . ("videos" ou "uservideos" iraient très bien).

Oui, effectivement j'avais pensé au dossier partage/serveur mais c'est une solution assez compliquée si je commençais à faire de l'hébergement. Toutefois, j'y pense quand même à l'auto-hébergement..., mais je n'ai pas encore le niveau requis. Resterait la solution d'héberger ces vidéos sur un site internet (paramétrant le .htaccess), un cluster en Linux ou un cloud comme aws S3 avec des protections par mots de passe. J'adore les aspects sécuritaires, mais bon, j'ai pas encore trouvé la solution idéale. 

Merci en tous cas pour tes éclairages, j'ai appris usermod aujourd'hui ! Bonne soirée à toi. teem.

Dernière modification par teem (Le 22/12/2019, à 21:11)

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Ah là, quant au choix à faire entre éthique personnelle et volonté de restreindre les droits d'emmanuel, je ne veux pas m'en mêler !
Pour les caractères admissibles dans les noms d'utilisateur, tu dois avoir une indication dans

man useradd

Chez moi j'ai :

Les noms d'utilisateur doivent commencer par une lettre minuscule ou un tiret bas (« underscore »), et seuls des lettres minuscules, des chiffres, des « underscore », ou des tirets peuvent suivre. Ils peuvent se terminer par un signe dollar. Soit, sous la forme d'une expression rationnelle : [a-z_][a-z0-9_-]*[$]?
Les noms d'utilisateur sont limités à 16 caractères.

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Merci pour ta dernière réponse., mais ça commence sérieusement à se compliquer pour moi...!

Sinon (plus simple?), serait-il possible de faire les mêmes permissions (exclusives à emmanuel) sur un dossier gravé sur un CDrom  ou sur une clé usb ; puisque tu parles d'ordinateur externe/support externe?

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Le cdrom est physiquement en lecture seule, à moins d'être réinscriptible, donc à la limite oui.
Mais pour la clef non : même objection qu'auparavant.

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

@kamaris,

Merci pour l'info cdrom, j'étais arrivé à la même conclusion. Pour la clé USB, si je l'a créée sur un autre ordinateur en root et que je mets des permissons sur un groupe: cela devrait aller puisque je créérai le groupe (pour l'accès au dossier) dans l'ordinateur emmanuel...

Cependant, plus je réfléchis et plus je pense mettre emmanuel comme "Utilisateur simple" et me garder les droits d'admin & root ! Un coup de canif dans mon "éthique", mais qui me simplifie beaucoup les choses (surtout en cas de hack de l'utilisateur !) ; tout peut devenir un argument valable finalement.

Merci pour tes réponses, ainsi qu'aux autres participants. Cordialement, teem.

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Non non, pour la clef tu peux tourner les choses comme tu veux, à partir du moment où un utilisateur a accès aux droits root, il pourra en faire ce qu'il veut.
Par ailleurs, si tu mets sur cette clef un système de fichiers windows comme on fait généralement (genre fat32), ton réglage des droits ne sera de toutes façons pas permanent, car ces systèmes de fichiers ne connaissent pas les droits unix (les droits apparents quand on monte la clef sous linux ne sont qu'une émulation par le pilote concerné).

Une condition nécessaire pour faire ce que tu veux (en local) est bien de restreindre les droits d'emmanuel.
Par contre tu peux faire ça de manière assez fine en éditant le fichier /etc/sudoers.
Tu dois par exemple pouvoir lui permettre d'exécuter certaines commandes en root, comme apt pour l'installation de nouveau programmes ou les mises à jour, sans pour autant lui permettre de tout faire.
Tout ça est à tester, je ne le pratique pas tous les jours et je dis ça de mémoire, à ce stade ce ne sont que des indications.
Pour plus de détails, voir man sudoers.

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Super, la première partie a été très facile, création du dossier dans /home/, partagé en lecture seule, tout fonctionne. Je pense même en créer un second avec des droits d'exécutions pour impressions de documents. Cependant, le truc qui m'a le plus posé de problème..., était de comprendre qu'il fallait que je mette des permissions restrictives sur le /home/sudo/ ! Je pensais que c'était natif d'emblé sous Ubuntu au moment de la création d'un utilisateur: mais non ! (via l'arborescence tout le monde a accès à tout l'ordinateur, même un simple utilisateur ! ).

Ce que tu proposes dans ton dernier message est plus difficile à réaliser, mais peut-être que je m'y prend mal.
NB: mes questions sont soulignées pour les retrouver plus facilement...

Mon but est d'autoriser 3 permissions (Installation de logiciels via la logithèque, autorisation de mettre à jour ubuntu et autorisation de créer/supprimer des dossiers/fichiers en passant par Nautilus : le tout avec le mot de passe personnel qu'utilise emmanuel; pour ce dernier, je me demande si cela est possible?)
J'ai fait des essais, mais cela ne fonctionne pas:
Question 1: je me demande si mon erreur n'est pas de ne pas avoir changé les permissions de /etc/sudoers.d/ avec un "chown -R emmanuel", dont les droits sont nativement en "root" ?
Question 2: j'ai bien lu la doc "wiki sudoers d'Ubuntu" qui conseille:
a) d'éditer le fichier sudoer avec visudo,
b) de le nommer comme bon nous semble (pour ma part "sudoers.tmp", nom natif du fichier de visudo),
c) mais j'ai des difficultés à trouver les paths (chemins absolus) en tapant "whereis sofware-center" , comme le conseille la doc  par exemple et dont le terminal me retourne: "sofware-center :" ; chose avec laquelle je ne peux pas faire grand chose, car ce n'est pas un chemin absolu !

Aurais-tu une idée STP, ou quelqu'un d'autre ?
D'avance, merci Teem.

Dernière modification par teem (Le 25/12/2019, à 09:30)

moko138

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Mon but est d'autoriser 3 permissions (Installation de logiciels via la logithèque, autorisation de mettre à jour ubuntu et autorisation de créer/supprimer des dossiers/fichiers en passant par Nautilus : le tout avec le mot de passe personnel qu'utilise emmanuel; pour ce dernier, je me demande si cela est possible?)

STOP !

/!\ JAMAIS de sudo nautilus en session installée !
Ni de sudo + aucune autre appli en mode graphique.
En cas de tentation, se reporter à
https://doc.ubuntu-fr.org/utilisateurs/ … privileges,
page où Roschan répertorie des alternatives valides.

Sinon, on va vite te retrouver dans un fil "ça ne marche plus".

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Cependant, le truc qui m'a le plus posé de problème..., était de comprendre qu'il fallait que je mette des permissions restrictives sur le /home/sudo/ ! Je pensais que c'était natif d'emblé sous Ubuntu au moment de la création d'un utilisateur: mais non ! (via l'arborescence tout le monde a accès à tout l'ordinateur, même un simple utilisateur ! ).

Je ne comprends pas ce que tu veux dire : tu as créé un utilisateur dont le nom est sudo ?
Pourquoi ? Que penses-tu que ce nom ait de spécial ?

Mon but est d'autoriser 3 permissions (Installation de logiciels via la logithèque, autorisation de mettre à jour ubuntu et autorisation de créer/supprimer des dossiers/fichiers en passant par Nautilus : le tout avec le mot de passe personnel qu'utilise emmanuel; pour ce dernier, je me demande si cela est possible?)

Oui, c'est tout à fait possible, c'est même ça le principe de la commande sudo : emmanuel sera autorisé, en rentrant son mot de passe utilisateur, à exécuter certaines commandes avec les droits root.
Cependant, comme te l'a dit moko138 ci-dessus, il ne faut pas lancer Nautilus, ou toute autre application graphique, avec sudo.
Pour autoriser un utilisateur à « créer/supprimer des dossiers/fichiers » dans un répertoire donné, il faut utiliser les commandes chown et chmod pour lui donner les droits de le faire sans qu'il ait besoin d'invoquer sudo. Il pourra alors le faire aussi bien via Nautilus qu'en ligne de commande.
Sachant qu'en principe, un simple utilisateur n'a pas à avoir de droits d'écriture en dehors de son home et des médias amovibles (éventuellement).

J'ai fait des essais, mais cela ne fonctionne pas:
Question 1: je me demande si mon erreur n'est pas de ne pas avoir changé les permissions de /etc/sudoers.d/ avec un "chown -R emmanuel", dont les droits sont nativement en "root" ?

Surtout pas ! Par ailleurs, si emmanuel pouvait écrire dans ce type d'endroits, comment pourrais-tu lui restreindre ses droits ? Il n'aurait qu'à annuler tes modifications sans même avoir besoin d'invoquer sudo !

Question 2: j'ai bien lu la doc "wiki sudoers d'Ubuntu" qui conseille:
a) d'éditer le fichier sudoer avec visudo,
b) de le nommer comme bon nous semble (pour ma part "sudoers.tmp", nom natif du fichier de visudo),
c) mais j'ai des difficultés à trouver les paths (chemins absolus) en tapant "whereis sofware-center" , comme le conseille la doc  par exemple et dont le terminal me retourne: "sofware-center :" ; chose avec laquelle je ne peux pas faire grand chose, car ce n'est pas un chemin absolu !

Pour tester, il faut que je regarde ça dans un machine virtuelle (je ne suis pas sous ubuntu), et je ne peux pas le faire tout de suite.
Mais disons que basiquement, tu n'as pas à ajouter la logithèque à /etc/sudoers, car elle s'exécute avec les droits de simple utilisateur.
Ça n'est qu'au moment de l'installation / mise à jour de logiciels que les droits root deviennent nécessaire.
Or cette installation / mise à jour se fait par la commande apt : c'est cette commande qu'il faut que tu autorises dans /etc/sudoers.
D'une manière générale, comme indiqué plus haut par moko138 et moi-même, tu ne dois pas ajouter d'applications graphiques à /etc/sudoers.

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

@moko138: trop tard, mais comme j'avais fait une sauvegarde, je réinstalle ! Je disrais que mon soucis est venue plutôt de visudo ! Trop ,de paramètres ont compromis mes droits root !

@kamaris, je te réponds dans un instant....

moko138

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Il faut bien comprendre que, autant agir dans son home ou dans ses périphériques amovibles est normal, autant agir dans les fichiers-système doit rester exceptionnel.
  Si le mot de passe est demandé, ce n'est pas pour rien ! Ce n'est pas seulement une question d'autorisation, c'est aussi une invitation à une vigilance accrue !

Il serait peut-être temps que tu nous dises :
si emmanuel est un enfant, un ado ou autre,
et si l'ordi est son ordi ou un ordi partagé (familial, par exemple).

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw