Forum Linux.debian/ubuntu Sécurité d'un compte utilisateur sur Debian?

Posté par tuxicoman (site web personnel) le 27 octobre 2013 à 16:37. Licence CC By‑SA.

Étiquettes :

oct.

2013

Lorsque je crée un nouveau compte utilisateur dans Debian Jessie depuis le panneau de paramètres de gnome, le dossier /home/user est accessible en lecture et execution à tous !

root@pc:/home# ls -l
drwxr-xr-x 19 user user 4096 oct. 27 16:29 user

C'est quoi ce bordel?

# c'est le reglage par defaut

Posté par NeoX le 27 octobre 2013 à 17:17. Évalué à 6.

et ca doit etre le cas sur pas mal de distrib
mais ca doit pouvoir se regler quelques parts pour mettre 700 plutot que 755
- [^] # Re: c'est le reglage par defaut
  
  Posté par JGO le 27 octobre 2013 à 17:52. Évalué à 6. Dernière modification le 27 octobre 2013 à 17:56.
  Tiens j'avais jamais remarqué non plus… man useradd indique que ça se change dans le fichier /etc/login.defs :
```
$ cat /etc/login.defs
# UMASK is also used by useradd and newusers to set the mode of new home
# directories.
# 022 is the default value, but 027, or even 077, could be considered
# better for privacy. There is no One True Answer here: each sysadmin
# must make up her mind.
UMASK           022
```
  - [^] # Re: c'est le reglage par defaut
    
    Posté par tuxicoman (site web personnel) le 27 octobre 2013 à 19:09. Évalué à 2.
    Moi j'ai ça :
```
# The ERASECHAR and KILLCHAR are used only on System V machines.
# 
# UMASK is the default umask value for pam_umask and is used by
# useradd and newusers to set the mode of the new home directories.
# 022 is the "historical" value in Debian for UMASK
# 027, or even 077, could be considered better for privacy
# There is no One True Answer here : each sysadmin must make up his/her
# mind.
#
# Prefix these values with "0" to get octal, "0x" to get hexadecimal.
#
ERASECHAR   0177
KILLCHAR    025
UMASK       022
```
- [^] # Re: c'est le reglage par defaut
  
  Posté par JJD le 27 octobre 2013 à 18:34. Évalué à 4.
  
  Il me semblait que la question de l'accès en lecture pour tous était posée au moment de l'installation mais je peux me tromper (et ça peut varier en fonction du niveau de détail sur lequel est paramétré debconf).
  Quoi qu'il en soit, ça ce règle comme dit précédemment en modifiant login.defs si on utilise directement useradd, mais ce n'est pas la méthode préconisée (useradd est considéré comme un utilitaire bas niveau et on passera plutôt par adduser, voire par un application graphique).
  
  Je pense qu'il est préférable de modifier le fichier /etc/adduser.conf (pour avoir un maximum de contrôle sur la façon dont les nouveaux utilisateurs sont créés) ou de reconfigurer le paquet adduser (en appelant "dpkg-reconfigure adduser" ou en passant par synaptic) : il suffit de répondre non à la question posée (le répertoire reste lisible au groupe mais, par défaut, il est créé un groupe par utilisateur).
  - [^] # Re: c'est le reglage par defaut
    
    Posté par tuxicoman (site web personnel) le 27 octobre 2013 à 19:07. Évalué à 1. Dernière modification le 27 octobre 2013 à 19:07.
    
    C'est quand même vraiment bizarre de laisser l'accès à du répertoire utilisateur à tous en lecture par défaut. Windows ne fait plus ça depuis windows NT je crois.
    - [^] # Re: c'est le reglage par defaut
      
      Posté par NeoX le 27 octobre 2013 à 19:31. Évalué à 4.
      
      C'est quand même vraiment bizarre de laisser l'accès à du répertoire utilisateur à tous en lecture par défaut. Windows ne fait plus ça depuis windows NT je crois.
      
      pourtant sous windows XP l'utilisateur est administrateur par defaut
      sauf si on decide le contraire
      
      et j'ai commencé à ne plus pouvoir entrer dans les dossiers utilisateurs qu'a partir de win7 quand l'utilisateur est restreint par defaut.
      mais s'il est admin il suffit de cliquer sur OK pour entrer dans le dossier de l'utilisateur
      - [^] # Re: c'est le reglage par defaut
        
        Posté par tuxicoman (site web personnel) le 27 octobre 2013 à 19:44. Évalué à 2.
        
        Seulement le premier utilisateur je crois, pas tous.
  - [^] # Re: c'est le reglage par defaut
    
    Posté par JGO le 27 octobre 2013 à 19:43. Évalué à 2. Dernière modification le 27 octobre 2013 à 19:47.
    
    (useradd est considéré comme un utilitaire bas niveau et on passera plutôt par adduser, voire par un application graphique).
    
    Ah pardon je ne connaissais pas adduser, j'utilise gentoo et le manuel officiel utilise useradd.
    
    Mais là je ne comprends pas le cas d'utilisation d'une application graphique. Si c'est une machine professionnelle il vaut mieux passer par un script qui automatise la tâche récurrente (le script appelle useradd) plutôt qu'une application graphique qui fait perdre du temps. Si c'est une machine perso, avec typiquement 1-3 utilisateurs créés sur une installation fraiche une fois toutes les x années, ben on peut se permettre de taper useradd (et même de lire la page de manuel), quel est le problème ?
# Historique

Posté par Kerro le 27 octobre 2013 à 21:19. Évalué à 7.

C'est quoi ce bordel?

C'est ainsi depuis que /home existe.
# dpkg-reconfigure adduser

Posté par syntaxerror le 28 octobre 2013 à 00:54. Évalué à 2.

C'est paramétrable à l'installation, ensuite tu peux le reconfigurer:

dpkg-reconfigure adduser

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.