"umask" par défaut à 022 : mais pourquoi ?!

Support Debian
#21

dpkg-reconfigure adduser

répondre à la question par OUI ou NON.
Ce réglage affectera les $HOME produits à l’avenir , les fichiers d’ores et déjà présents sur les anciens $HOME ne seront pas affectés.

#22

[quote=“ricardo”]Gérard, tu as raison pour les dossiers natifs, les dossiers cachés.
Mais quand “machin” crée un dossier “mes-photos”, par exemple, dans son /home/machin, nativement, ce dossier sera en 755 et “ricardo”, il peut lire ce dossier :wink:
Je suis en Sid classique.
[/quote]
Je viens de vérifier à nouveau et cela ne change rien pour moi :
sur mon ordi,

  • que ce soit sur Squeeze (mais c’était pareil lorsqu’elle était en Lenny)
  • ou que ce soit sur Aptosid

l’UMASK est à 0022 par défaut et aucun utilisateur ne peut, avec ses droits d’utilisateur et à partir de sa session(son /home/utilisateur), accéder même en lecture au /home/autre_utilisateur et ne peut en aucun cas accéder à ses dossiers et fichiers.
Que ce soit avec Dolpnin ou Konquerror
Qu’ils soient cachés ou pas, natifs ou créés, les droits sont en 755

On voit bien le dossier “home” de chaque utilisateur dans /home/ mais on peut accéder qu’au sien.
Lorsque on essaie d’accéder au /home d’un autre utilisateur, le message “impossible d’accéder dans le dossier /home/autre_utilsateur” apparait.

Je n’installe que de manière classique et je ne modifie rien d’important par la suite.
À part une histoire de groupe dans kusers lors de la création des utilisateurs je ne vois absolument pas.

#23

La commande « universelle » pour créer un utilisateur sous GNU/Linux est : useradd.
Par défaut, elle ne créé pas le dossier de l’utilisateur, sauf si on utilise l’option -m (dans ce cas le dossier est en 700, donc innaccessible aux autres utilisateurs).
Lorsque l’on créé un utilisateur avec useradd, un groupe du même nom est créé, qui sera le groupe par défaut de l’utilisateur (à moins d’utiliser l’option -g).

La commande adduser varie en fonction des distributions :
Sous archlinux, tous les utilisateurs sont dans le groupe « users » et le home est en 700.
Sous slackware, tous les utilisateurs sont dans le groupe « users » et le home est en 711 (on peut alors accéder à un dossier dont on connait le chemin, mais pas lister le home)
Sous debian, un groupe est créé comme avec useradd, et le home est en 755. Comme le montre etxeberrizahar, on peut lui dire de créer le home en 700. D’après vos posts, ça doit être pareil sous apsoid…

[quote=“Cluxter”]Et si on veut partager tous ses fichiers perso en lecture avec un utilisateur, il suffira d’ajouter l’utilisateur à notre groupe perso.
[/quote]
Sauf que tu ne veux pas forcément partager tous tes fichiers avec certains utilisateurs, mais certains fichiers avec certains utilisateurs et d’autres fichiers avec d’autres…
Tu gardes ton groupe perso pour toi et ton home en 700. Les dossiers partagés peuvent être en dehors du home, avec des groupes définis auxquels on ajoute les utilisateurs qui doivent y avoir accès. On met ses dossiers en setgid pour que les fichiers créés dans ce dossier appartiennent automatiquement au groupe du dossier…
Tout les membres du groupe peuvent alors lire et modifier les fichiers du dossier en question… Tu peux faire un chmod sur tes fichiers si tu ne veux les partager qu’en lecture (ou simplement garder une copie dans ton home auquels les autres n’auront pas accès).
(voir l’exemple de /usr/local/bin sous debian, qui se partage entre membres du groupe staff).

#24

En fait, par défaut c’est bien 755, mais après la manipulation proposée par etxeberrizahar (dpkg-reconfigure adduser) ça passe en 751 (option DIR_MODE dans /etc/adduser.conf, si l’on souhaite mettre autre chose). EDIT : sur Debian Squeeze je précise, peut-être est-ce différent sur les dérivés de Debian.

#25

Je viens de m’apercevoir que je me suis trompé à propos d’useradd. Le dossier créé avec est en 755 par défaut. Sauf si on change la valeur de UMASK dans /etc/login.defs (ce qui est le cas sous archlinux, d’où mon erreur).

Attention, cette valeur est lue aussi par login(1), si on veut utiliser un umask différent pour le shell il faudra le mettre dans /etc/profile :

#26

Merci pour vos réponses, je ne suis donc pas fou ou le seul dans ce cas !

Je viens de retester avec “adduser” et j’ai bien les droits à 755 sur le répertoire du nouvel utilisateur. Et la commande “# dpkg-reconfigure adduser” était bien positionnée sur “Oui”.

N’empêche que je ne trouve pas ça très secure… Je trouve que ça aurait été plus logique de faire l’inverse, ie. empêcher la lecture par défaut pour le reste du monde.

Et c’est pareil pour l’umask, le mettre à 022 au lieu de 027 ne me semble pas malin.

En attendant on ne sait toujours pas pourquoi la team de Debian a fait un tel choix, donc si quelqu’un en sait plus, n’hésitez pas :wink:

[quote]Tu gardes ton groupe perso pour toi et ton home en 700. Les dossiers partagés peuvent être en dehors du home, avec des groupes définis auxquels on ajoute les utilisateurs qui doivent y avoir accès. On met ses dossiers en setgid pour que les fichiers créés dans ce dossier appartiennent automatiquement au groupe du dossier…
Tout les membres du groupe peuvent alors lire et modifier les fichiers du dossier en question… Tu peux faire un chmod sur tes fichiers si tu ne veux les partager qu’en lecture (ou simplement garder une copie dans ton home auquels les autres n’auront pas accès).[/quote]
C’est une solution, mais si on souhaite que chaque utilisateur garde ses fichiers dans son “/home” et n’écrive pas ailleurs (pour X raisons), dans ce cas il faut autoriser l’accès du “/home/user” à un groupe en lecture seule, puis créer un répertoire comme tu l’as dit dans ce home. Après ça dépend des besoins en fait.

Ce n’est pas ce que j’ai dit.

#27

Ben je pense que Kna a parfaitement décrit tout :023
@ Gérard : un fichier en 755 est obligatoirement visible de tous

#28

salut.

juste une question: on peut bien changer la valeur umask par défaut dans le fichier /etc/profile?

#29

J’allais dire qu’ils ont suivi le comportement des coreutils. Mais en recherchant, useradd ne fait pas parti des coreutils, mais des « shadow tools », qui semblent développés par… debian !
pkg-shadow.alioth.debian.org/

Je pense que ce choix est fait, comme on en parlait au début du topic, pour permettre facilement d’utiliser des services qui doivent pouvoir lire dans le dossier de l’utilisateur. Par exemple, le userdir d’apache fonctionne « out-of-the-box » une fois activé.

[quote=“Cluxter”]C’est une solution, mais si on souhaite que chaque utilisateur garde ses fichiers dans son “/home” et n’écrive pas ailleurs (pour X raisons), dans ce cas il faut autoriser l’accès du “/home/user” à un groupe en lecture seule, puis créer un répertoire comme tu l’as dit dans ce home. Après ça dépend des besoins en fait.
[/quote]
Disons que la logique par défaut, c’est que chaque dossier personnel est… personnel, mais que chaque utilisateur peut lire, mais pas écrire dans les dossiers des autres.
Ainsi, c’est suffisant pour les partages en lecture seule, et ça n’empêche pas de protéger un dossier dont on veut interdire la lecture (un utilisateur peut chmod ses propres dossiers).
EDIT : d’ailleurs, certaines applications le font pour leurs dossiers/fichiers. Par exemple ~/.ssh est en 700.
Pour les partages en lecture/écriture, il n’ont a priori rien à faire dans un répertoire personnel, et c’est là que les groupes trouvent leur utilité.

Maintenant, comme tu le dis, ça dépend des besoins, et tout ça est configurable. L’essentiel est que chacun puisse l’adapter à ses besoins et c’est le cas. Note que si tu as besoin d’avoir une gestion plus fine des droits utilisateurs, tu peux utiliser les ACL : lea-linux.org/documentations/ind … on_des_ACL

[quote=“marcastro”]juste une question: on peut bien changer la valeur umask par défaut dans le fichier /etc/profile?
[/quote]
Oui !

Passer par /etc/login.defs peut être un choix intéressant, vu que c’est lu par tous les shadow-utils (useradd, login,…). À tester !

#30

[quote=“marcastro”]salut.

juste une question: on peut bien changer la valeur umask par défaut dans le fichier /etc/profile?[/quote]
Oui, sur mon serveur j’ai mis ça par exemple :

022 pour root, 027 pour le reste.

#31

En principe, root peut TOUT faire, alors pourquoi le restreindre ?

#32

Il n’est pas restreint. Cela fait juste en sorte que tout fichier créé par root est lisible par le groupe root et tous les autres utilisateurs (je conserve la configuration par défaut pour root en fait). Je ne change l’umask que pour les autres utilisateurs : lorsqu’ils créeront des fichiers, par défaut ils ne seront lisibles que par eux et leur groupe.

#33

[quote][quote=“marcastro”]juste une question: on peut bien changer la valeur umask par défaut dans le fichier /etc/profile?
[/quote]
Oui !

Passer par /etc/login.defs peut être un choix intéressant, vu que c’est lu par tous les shadow-utils (useradd, login,…). À tester ![/quote]
Quelle est la différence entre ces 2 fichiers ?

[quote]En principe, root peut TOUT faire, alors pourquoi le restreindre ?
En principe, root peut TOUT faire, alors pourquoi le restreindre ?
[/quote]
Il ne restreint rien, il se simplifie la vie. Faire un chmod sur chaque fichier créé s’avère vite fastidieux.