"umask" par défaut à 022 : mais pourquoi ?!

Support Debian
#1

Bonjour à tous

L’umask est positionné à 022 par défaut sous Debian. Ce qui implique que tout fichier créé par un utilisateur est immédiatement visible par n’importe quel autre utilisateur par défaut…

Vous ne trouvez pas ça archi absurde ?? Est-ce que quelqu’un aurait une explication rationnelle à me donner là dessus ?

En effet, si je crée un fichier, il est logique que je puisse tout faire dessus, logique que ceux qui appartiennent au même groupe que le fichier puisse au moins lire le fichier, mais alors je ne vois pas, mais alors vraiment pas, pourquoi le reste du monde devrait pouvoir lire mon fichier par défaut !! Le reste du monde ne devrait rien pouvoir voir par défaut, vous ne trouvez pas ? Si j’ai envie de partager un fichier privé avec la planète entière, je le préciserai au système.

Alors oui je sais, on peut changer l’umask par défaut et je l’ai fait, mais je ne comprends pas pourquoi c’est configuré comme ça.

Merci pour vos réponses

#2

Salut,

Je pense que c’est déjà bien assez compliqué pour un débutant de maîtriser les droits et les umask les plus simples, réservant aux geeks de sécuriser chacun à sa manière.

#3

Ben je suis un peu de l’avis de Cluxter, tout au moins pour les fichiers que l’on crée.

#4

Re,

En théorie un utilisateur “lambda” ne créé de fichiers que chez lui et son dossier n’est pas accessible par les autres utilisateurs. N’est-ce pas suffisant ?

#5

Bonjour,

Utilisateur d’Unix au boulot (AIX et Solaris), nous avons la même valeur pour umask (022).
J’ai rencontré une fois un problème avec la messagerie : le fichier $HOME/.forward permet de rediriger les messages SMTP vers la messagerie de l’entreprise, si on restreint les accès à $HOME, la redirection de messages ne fonctionne plus.

La valeur de umask est peut être conditionnée par le fait que certaines applications doivent pouvoir lire des fichiers de configuration dans le dossier utilisateur ($HOME/.forward, $HOME/.rhost, $HOME/.ssh/, …).

Pour les données privées, je créé un dossier $HOME/prive avec des droits restreints.

#6

Ben si l’umask est à 022, les fichiers sont bien accessibles aux autres utilisateurs… C’est tout l’objet de ma question.

OK c’est ce que je cragnais… Dans ce cas il faudrait que les fichiers cachés des applications soient en lecture seule et que tous les autres n’aient aucun droit (pour les “others”).

Il faudrait que je regarde comment on peut faire ça de manière automatisée, car ça nécessite d’avoir un umask=022 pour les fichiers cachés à la racine de $HOME, et un umask=027 pour tous les autres dans $HOME.

M’enfin ça reste malpropre comme solution je trouve. Idéalement les applications ne devraient pas avoir à accéder à des fichiers privés comme ça, sans droit spécifique, je trouve. Si on souhaite qu’une application puisse accéder à des mails d’un utilisateur pour les rediriger, ce que je ferais serait de créer un groupe spécifique dans lequel j’inclurais l’application en question et le fichier $HOME/.forward, et dans ce cas le umask=027 permet à l’application de fonctionner sans problème. C’est d’ailleurs comme ça que ça fonctionne pour donner à un utilisateur la possibilité de monter les CD-Rom ou de configurer les imprimantes par exemple.

Donc pour l’instant je reste sur l’idée qu’un umask à 022 est un non sens.

D’autres explications peut être ?

#7

[quote=“yap22”]

Pour les données privées, je créé un dossier $HOME/prive avec des droits restreints.[/quote]
C’est une solution.

@ Gérard :
Il s’agit, pour ce que recherche Cluxter, non seulement de ne pas pouvoir modifier un fichier, mais surtout, de ne pas pouvoir le lire.

#8

Re,

Mais normalement un autre utilisateur (sauf root) n’a pas accès a mon /home/gerard, pas même s’il fait partie de mon groupe, ou alors je n’ai rien compris au système des droits ?

gerard@debian:/home$ ll
total 8
drwx------ 49 gerard gerard 4096 21 janv. 17:20 gerard
drwx------ 2 root root 4096 16 août 10:30 lost+found
gerard@debian:/home$

#9

Re,

Confirmation après essai

#10

[quote=“ggoodluck47”]Re,

Mais normalement un autre utilisateur (sauf root) n’a pas accès a mon /home/gerard, pas même s’il fait partie de mon groupe, ou alors je n’ai rien compris au système des droits ?

gerard@debian:/home$ ll
total 8
drwx------ 49 gerard gerard 4096 21 janv. 17:20 gerard
drwx------ 2 root root 4096 16 août 10:30 lost+found
gerard@debian:/home$[/quote]
Oui mais toi, tu es sous Aptosid… ^^

Que te renvoie la commande “umask” ?

EDIT : car je peux te garantir que chez moi (= Debian Squeeze) j’ai accès aux répertoires des autres utilisateurs en lecture seule, j’ai créé une session et j’ai testé.

#11

[quote]gerard@debian:/home$ umask
0022
gerard@debian:/home$
[/quote]

Si vous ne me croyez pas faites un essai
Créer un utilisateur
Essayer de vous connecter sur son home en étant vous même utilisateur

Ceci est la base même de tous les UNIX Linus lui même ne l’a pas inventé :slightly_smiling:

#12

[quote=“ggoodluck47”][quote]gerard@debian:/home$ umask
0022
gerard@debian:/home$
[/quote]

Si vous ne me croyez pas faites un essai
Créer un utilisateur
Essayer de vous connecter sur son home en étant vous même utilisateur

Ceci est la base même de tous les UNIX Linus lui même ne l’a pas inventé :slightly_smiling:[/quote]
Et bien je te dis que j’ai testé et que j’arrive à accéder en lecture seule aux fichiers de “cluxter” à partir du compte “zorro”. J’ai créé une session sous Gnome à partir du panel, je me suis déconnecté de “cluxter”, je me suis connecté sous “zorro” en graphique, et j’ai vu les fichiers. Et sous la console, depuis le compte “zorro”, les répertoires qui se trouvent dans “/home” ont chez moi les droits suivants par défaut : “drwxr-wr-x”.

D’ailleurs c’est exactement la même chose sur mon smartphone Nokia N900.

Donc peut être que Aptosid crée par défaut les comptes avec un mask à 077, mais en attendant ce n’est pas comme ça sous Lenny ou sous Squeeze.

#13

gerard@debian:/home$ umask
0022
gerard@debian:/home$

#14

[quote=“ggoodluck47”]gerard@debian:/home$ umask
0022
gerard@debian:/home$
[/quote]
Et ??

Si la commande qui crée un nouvel utilisateur modifie les droits du répertoire “/home/gerard” après coup, on peut très bien se retrouver avec des droits à “drwx------”, ce qui semble être le cas chez toi. Donc OK l’umask est le même que chez moi, mais pas les droits qui ont été appliqués au répertoire “/home/gerard”.

#15

C’est pas trop les applications le problème, vu que quand tu les lances en tant qu’un utilisateur, tu as les droits pour lire les fichiers de conf de l’utilisateur en question…

C’est plutôt nécessaire pour les services, qui tournent sous d’autres utilisateurs. Il y a le cas de la messagerie cité plus haut. Idem pour apache : si tu veux que les utilisateurs puissent gérer un site web, il faut que l’utilisateur d’apache puisse y lire les fichiers…

C’est aussi utile pour partager des fichiers entre utilisateurs. Après, si tu veux empêcher les autres utilisateurs de pouvoir lire un répertoire (ton home ou un autre), il suffit de faire un chmod 700 dessus et c’est plié… Inversement, si tu es en umask 066, et que tu veux partager un dossier avec plusieurs utilisateurs, il te faut chmod à chaque fois que tu créés un fichier dedans pour permettre aux autres de le lire…

#16

Tout à fait, c’est pour ça que je pense qu’un umask 026 ou 027 est plus logique, puisque dans ce cas il suffira d’ajouter l’utilisateur à un groupe et le fichier qu’on souhaite partager à ce même pour que l’utilisateur puisse facilement y accéder. Et si on veut partager tous ses fichiers perso en lecture avec un utilisateur, il suffira d’ajouter l’utilisateur à notre groupe perso.

Ca me paraît bien plus simple de faire comme ça, c’est même pour ça que les groupes existent d’ailleurs.

#17

Salut,

sur mon ordi,

  • que ce soit sur Squeeze (mais c’était pareil lorsqu’elle était en Lenny)
  • ou que ce soit sur Aptosid

l’UMASK est aussi à 0022 par défaut et aucun utilisateur ne peut, avec ses droits d’utilisateur et à partir de sa session(son /home/utilisateur), accéder même en lecture au /home/autre_utilisateur et ne peut en aucun cas accéder à ses dossiers et fichiers.

Ce qui parait conforme aux principes de fonctionnement de Linux sinon ce serait totalement illogique.

Lorsque on essaie d’y accéder, le message “impossible d’accéder dans le dossier /home/autre_utilsateur” apparait au bas de la fenêtre de Dolphin

Doit y avoir un blème qq part.

#18

[quote=“Tophe”]Salut,

sur mon ordi,

  • que ce soit sur Squeeze (mais c’était pareil lorsqu’elle était en Lenny)
  • ou que ce soit sur Aptosid

l’UMASK est aussi à 0022 par défaut et aucun utilisateur ne peut, avec ses droits d’utilisateur et à partir de sa session(son /home/utilisateur), accéder même en lecture au /home/autre_utilisateur et ne peut en aucun cas accéder à ses dossiers et fichiers.

Ce qui parait conforme aux principes de fonctionnement de Linux sinon ce serait totalement illogique.

Lorsque on essaie d’y accéder, le message “impossible d’accéder dans le dossier /home/autre_utilsateur” apparait au bas de la fenêtre de Dolphin

Doit y avoir un blème qq part.[/quote]

Puisque l’on te dit que c’est aptosid qui change les droits des autres utilisateurs quand tu en créé un nouveau :laughing:

#19

Gérard, tu as raison pour les dossiers natifs, les dossiers cachés.
Mais quand “machin” crée un dossier “mes-photos”, par exemple, dans son /home/machin, nativement, ce dossier sera en 755 et “ricardo”, il peut lire ce dossier :wink:
Je suis en Sid classique.
Exemple plus causant sous un gestionnaire de fichier (konqueror).
Cette capture a été prise en tant que “ricardo” sur le /home de “ric” et tu verras que nombreux sont les dossiers “ouverts au monde” en lecture.
Tout est natif, “ric” avait été créé pour faire des essais.

#20

Salut,

Je ne me sers jamais des “graphiques”, j’en suis resté à la console ! C’est peut-être la raison de ma méfiance envers ces interfaces :slightly_smiling:

Mais entre voir qu’ils sont en 755 et pouvoir les consulter ?