Ubuntu-fr

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Kamaris,

J'ai créé un utilisateur lambda (emmanuel) comme prévu. Ensuite, je me suis déconnecté & connecté sur ce nouveau compte, puis ai navigué dans l'arborescence du PC /home/ et ai réalisé que j'avais accès à l'ensemble des fichiers du PC (ceux de l'administrateur "sudo" inclus donc!) !!!.
J'ai alors fait des recherches sur internet et suis tombé sur cette page que j'ai traduite en Français : https://help.ubuntu.com/lts/serverguide … ement.html et ai compris que nativement le compte admin n'avais pas un 750 de chmod. J'ai d'ailleurs essayé ce que cet article proposait, soit changer le DIR_MODE à 0750 dans /etc/adduser.conf, mais cela n'a pas fonctionné, alors je l'ai paramétré directement sur les dossiers et ça a fonctionné. PS: Je ne te l'avais pas encore dit, mais je suis sous Lubuntu.

Merci pour ton éclairage sur les les permissions chown et chmod, mais normalement, je n'aurai rien à faire de ce côté, puisque qu'emmanuel n'aura accès qu'à 2 dossiers dans le /home/ avec des droits différrents (lecture seule pour le vidéos et execution/lecture pour des pdf à imprimer. (Pour les commandes graphiques, je ne savais pas, maintenant, je sais !).

Pour la question 1: je ne l'avais pas encore fait, car effectivement autoriser une permission sur /etc/ pose vraiment des problèmes de sécurité.

Enfin, je comprends que c'est apt qu'il me faut lui autoriser: /usr/bin/apt, /user/bin/apt-get update (j'ai des doutes pour ces 2 là: /usr/lib/apt et /etc/apt ?). Finalement, j'ai donc trouvé les paths d'apt (whereis apt), car "software-center" ne correspond à rien et est gérée de toutes manières par apt. Pour le terminal, je ne pense pas lui en laisser un.
Me reste à trouver:
- comment faire pour qu'emmanuel puisse indiquer son propre mot de passe afin d'installer un logiciel ou pour qu'il puisse obtenir apt update,
- et quelle extension donner au fichier emmanuel qui sera enregistré dans /etc/sudoers (peut-être un simple .txt?)
En tous cas, j'ai fait vraissemblablement une mauvaise manipulation de visudo. J'ai enregistré le fichié et l'ai fermé de suite, ensuite, je ne pouvais plus rien faire, ni même le supprimer en root. Je ferai attention la prochaine fois.

Voilà, j'espère avoir été assez clair. merci en tous cas pour votre investissement.
Cordialement, Teem.

Dernière modification par teem (Le 25/12/2019, à 14:10)

moko138

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Si on ne fait rien, les mises à jour sont automatiques (hebdomadaires, je crois, mais c'est modifiable).

  - -

Voilà, j'espère avoir été assez clair

Je n'ai rien compris, sauf que tu bidouilles dans tous les sens.
J'avais juste demandé :

si emmanuel est un enfant, un ado ou autre,
et si l'ordi est son ordi ou un ordi partagé (familial, par exemple).

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

@moko138: je bidouille, si tu veux ! C'est pas comme ça que l'on apprend? Et puis, je cherche à arriver à ce que je voudrais; ça commence à prendre forme mes bidouillages ! LOL!

Non, emmanuel est un adulte. Oui, ce sera un ordinateur partagé avec chacun son compte perso; donc même sauce pour chacun ! Mais que ce soit un adulte ou un enfant, là n'est pas la question.

Merci pour ton aide.

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

J'ai créé un utilisateur lambda (emmanuel) comme prévu. Ensuite, je me suis déconnecté & connecté sur ce nouveau compte, puis ai navigué dans l'arborescence du PC /home/ et ai réalisé que j'avais accès à l'ensemble des fichiers du PC (ceux de l'administrateur "sudo" inclus donc!) !!!.

Il y a confusion au niveau des termes : sudo n'est pas l'administrateur, c'est une commande permettant d'exécuter des commandes en tant que quelqu'un d'autre.
En particulier en tant que root, qui est « l'administrateur » (terme plutôt windowsien je crois).

J'ai alors fait des recherches sur internet et suis tombé sur cette page que j'ai traduite en Français : https://help.ubuntu.com/lts/serverguide … ement.html et ai compris que nativement le compte admin n'avais pas un 750 de chmod. J'ai d'ailleurs essayé ce que cet article proposait, soit changer le DIR_MODE à 0750 dans /etc/adduser.conf, mais cela n'a pas fonctionné, alors je l'ai paramétré directement sur les dossiers et ça a fonctionné. PS: Je ne te l'avais pas encore dit, mais je suis sous Lubuntu.

Laisse donc les droits système comme ils sont par défaut, tu as déjà assez à faire avec la configuration du compte emmanuel !
Il n'y a pas de problème à ce qu'un simple utilisateur puisse lire les fichiers systèmes, ils sont accessibles aussi bien sur internet, puisqu'il s'agit de logiciels open source.
L'important est que seul root puisse les modifier.

Pour la question 1: je ne l'avais pas encore fait, car effectivement autoriser une permission sur /etc/ pose vraiment des problèmes de sécurité.

Pas seulement de sécurité, mais carrément de fonctionnement : ces droits doivent rester ce qu'ils sont par défaut.

Enfin, je comprends que c'est apt qu'il me faut lui autoriser: /usr/bin/apt, /user/bin/apt-get update (j'ai des doutes pour ces 2 là: /usr/lib/apt et /etc/apt ?). Finalement, j'ai donc trouvé les paths d'apt (whereis apt), car "software-center" ne correspond à rien et est gérée de toutes manières par apt. Pour le terminal, je ne pense pas lui en laisser un.
Me reste à trouver:
- comment faire pour qu'emmanuel puisse indiquer son propre mot de passe afin d'installer un logiciel ou pour qu'il puisse obtenir apt update,
- et quelle extension donner au fichier emmanuel qui sera enregistré dans /etc/sudoers (peut-être un simple .txt?)
En tous cas, j'ai fait vraissemblablement une mauvaise manipulation de visudo. J'ai enregistré le fichié et l'ai fermé de suite, ensuite, je ne pouvais plus rien faire, ni même le supprimer en root. Je ferai attention la prochaine fois.

Ajouter /usr/bin/apt suffit, et tu n'as pas besoin de créer un fichier nommé emmanuel.
Tu ouvres simplement le fichier /etc/sudoers, ce qui peut se faire graphiquement en entrant cette commande (cf. le premier lien wiki ci-dessous)

sudo VISUAL=/usr/bin/leafpad visudo

, et tu mets comme seule ligne pour le user « emmanuel »

emmanuel ALL=(root) /usr/bin/apt

Par la suite, lorsque emmanuel tapera

sudo apt [quelque chose]

la commande sudo se chargera de lui demander son mot de passe utilisateur et de vérifier qu'il a bien les droits de faire ce qu'il veut faire.

Dernière chose : non pas que la doc ubuntu anglaise soit mauvaise, mais plutôt que de la traduire, tu peux taper dans la doc française :
https://doc.ubuntu-fr.org/sudoers
https://doc.ubuntu-fr.org/tutoriel/gest … e_commande
et il y a un moteur de recherche sur le wiki.

teem

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Cool, merci kamaris,

Je suis encore "windosien" pour certains logiciels, effectivement, mais je préfère nettement Linux pour lequel je suis plûtot débutant; mais bon il faut bien commencer un jour !

Je t'assure, depuis l'utilisateur lambda je pouvais acceder au home de root (et de tous finalement) et même modifier les fichiers. C'est pas une blague. Bref, c'est peut-être un truc spécifique à Lubuntu? Oui, je suis d'accord entre les erreurs de compréhension en anglais et les conneries qui se racontent aussi parfois en toutes langues : je vais me diriger vers de la doc plus compréhensible (en français) : mais pour ce cas là, je n'ai trouvé que cette doc en anglais. C'est une doc officielle en plus, donc le problème existe bel et bien...(c'est dommage que les documments ne soient pas toujours datés !

Finalement, je constate quandd même que j'ai trop tendance à me compliquer la vie..., c'est plus simple que je ne pensais ! Cool que sudo gère l'histoire du mot de passe..., sinon j'aurais choisi sans mot de passe: mais c'est pas conseillé.

Bonne journée Kamaris et encore merci pour ton soutien.

Dernière modification par teem (Le 25/12/2019, à 16:08)

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Non, il n'y a rien de particulier à lubuntu dans ce domaine.
Je pense que tu continues à faire une confusion entre sudo et root, comme il apparait notamment dans tes messages #21 et #26.

Le compte root (désactivé par défaut sous ubuntu et ses dérivés, comme il est dit en préambule dans la doc anglaise que tu cites) ne correspond pas à un utilisateur sudo qu'il faudrait créer, et qui aurait ses fichiers dans /home/sudo.
Il a ses fichiers dans /root, et ce répertoire n'est pas accessible en lecture pour les simples utilisateurs.
Si tu crées un utilisateur nommé sudo, il n'aura par défaut rien de différent d'un utilisateur nommé emmanuel ou tartempion : sudo n'est ici qu'un nom comme un autre.
Et si jamais tu peux modifier des fichiers appartenant à root en tant que simple utilisateur, c'est que tu es passé par sudo, et que tu n'es donc plus simple utilisateur.

Sinon j'ai commencé à tester un peu ce que je t'ai dit dans une machine virtuelle xubuntu (pas de différence notable avec lubuntu pour ce qui nous occupe), et il s'avère qu'autoriser apt dans /etc/sudoers ne suffit pas pour installer des logiciels depuis la logithèque (gnome-software).
Par contre, ce que je t'ai dit en #29 permet bien à emmanuel d'utiliser apt en ligne de commande, et seulement apt.
Donc l'idée est là, mais pour la logithèque il faut y regarder d'un peu plus près : j'essaierai de voir ça plus tard.

kamaris

Re : Permisions en lecture seule : sur un dossier ou sur les fichiers

Bon, j'ai regardé un peu plus cette histoire de gnome-software.
Ce qu'il faut utiliser pour gérer les droits dans ce genre d'applications n'est pas /etc/sudoers, puisqu'on ne va en fait pas passer par sudo, mais polkit : https://doc.ubuntu-fr.org/policykit
J'y avais déjà été confronté, mais je m'étais empressé de l'oublier, car je n'aime pas beaucoup ce genre de trucs (je pense d'ailleurs que je vais m'empresser de l'oublier cette fois encore…)

Toujours est-il que, en s'inspirant de la doc citée, pour donner à emmanuel les droits d'installer et de supprimer des logiciels via la logithèque, il suffit de créer le fichier /var/lib/polkit-1/localauthority/50-local.d/permission-software-center.pkla, avec le contenu suivant

[software-center install]
Identity=unix-user:emmanuel
Action=org.freedesktop.packagekit.package-install
ResultAny=no
ResultInactive=no
ResultActive=auth_self_keep

[software-center remove]
Identity=unix-user:emmanuel
Action=org.freedesktop.packagekit.package-remove
ResultAny=no
ResultInactive=no
ResultActive=auth_self_keep

Peut-être y a-t-il une manière plus condensée d'écrire cela, mais j'ai bien l'impression qu'il faut une entrée par « Action », avec toute la redondance que ça implique.
En tout cas comme ça ça marche pour les deux autorisations.
Pour renseigner les lignes « Action », j'ai regardé ce que m'indiquait la logithèque lorsque j'essayais d'installer / supprimer des logiciels (en cliquant sur détails dans la fenêtre qui s'ouvre), mais la doc dit que l'on peut trouver une liste des actions possibles dans /usr/share/polkit-1/actions/.
Les autres lignes je n'y ai pas touché, à part pour mettre emmanuel en unix-user bien sûr.

Voilà, je te laisse fouiller plus avant, mais avec polkit pour les applications graphiques (qui l'utilisent), et /etc/sudoers pour les lignes de commande, je pense que tu as ce qu'il te faut comme outils pour régler finement les privilèges accordés à tes utilisateurs.

Dernière modification par kamaris (Le 25/12/2019, à 20:55)