Re: debian policy: pourquoi des groupes utilisateurs par defaut?
On Fri, Apr 05, 2002 at 07:10:39AM +0200, Laurent CHARLES wrote: [...] > Et c'est là que le groupe individuel facilite les choses. > On peut se permettre d'avoir un umask par defaut avec 'ug+rwx' sans > compromettre la sécurité, puisque par defaut le groupe est individuel. > Et ainsi, les fichiers créés dans l'espace "famille", qui sont associés au > groupe 'famille' avec les droits d'écriture, sont réellement modifiables > par toute la famille. Merci Laurent pour cette réponse. effectivement, de ce point de vue, je trouve un sens à cette approche. Mais cela dépent du genre de partage que je veux faire, n'est ce pas ? En admettant que je veuille créer un espace groupe (non accessible aux autres) dans lequel les membres du groupe peuvent créer des fichiers qui seront lisibles par le groupe, mais modifiables uniquement par leurs propriétaires, malgré le umask 002 ? OK, Je me réponds à moi même: je crée un répertoire appartenant au groupe avec des droits rwxrwx---, sans le setgid, mais empêchant aux autres d'y accéder, et les membres peuvent y créer des fichiers qui appartiendront par défaut à leur groupe individuel, tout en permettant la lecture par les autres (autres étant ici uniquement les membres du groupe à pouvoir accéder au répertoire). J'espère que j'ai pas faux, là. :-) -- Camille -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
Jeudi 4 Avril 2002 18:14 - Camille Dominique : > On Thu, Apr 04, 2002 at 03:06:40PM +0200, Camille Dominique wrote: > > Alors voilà, je me demande s'il y a une raison particulière pourquoi > > par défaut sur une debian, les utilisateurs sont créés avec leur > > propre groupe. > Je n'ai pas dû être très clair dans ma question, alors je reformule: > > Quel est l'intérêt d'avoir un groupe individuel pour chaque utilisateur? Quel est l'inconvénient d'avoir un groupe individuel pour chaque utilisateur? > Quelle est la config système typique pour laquelle cela présente des > avantages et lesquels? Voici un exemple: Imaginons que je veuille permettre de partager facilement des fichiers avec un groupe, disons ma petite famille pour l'exemple. Il semble logique de créer un groupe "famille" à cet effet. Je crée un repertoire /home/famille. Je ne peux bien sur pas demander à ma fille de faire un 'chgrp famille' suivi d'un 'chmod g+w' sur tous les fichiers qu'elle crée. Le repertoire /home/famille est créé avec le groupe 'famille' ainsi que le bit 'S' (chmod g+S' /home/famille). Ainsi, tout fichier créer dans cet espace prendre le bon groupe, quelquesoit le groupe "courant" de l'utilisateur. On y ajoute les droits 'g+w'. On peut donc y mettre tous les fichiers qu'on veut. Mais avec un umask classique 'u+wrx g+rx' par exemple, il n'y a pas de droits d'écriture pour le groupe sur les fichiers créés. Donc le partage n'est toujours pas "facile". Et c'est là que le groupe individuel facilite les choses. On peut se permettre d'avoir un umask par defaut avec 'ug+rwx' sans compromettre la sécurité, puisque par defaut le groupe est individuel. Et ainsi, les fichiers créés dans l'espace "famille", qui sont associés au groupe 'famille' avec les droits d'écriture, sont réellement modifiables par toute la famille. > Sur d'autres distribs, j'ai vu que le groupe initial des utilisateurs > est "users". Rien n'empêche, comme l'ont noté Pierre Thierry et Rénald > Casagraude, de demander lors de l'installation si l'on veut limiter > l'accès à leur répertoire maison aux seuls utilisateurs en question (u), > ou permettre la lecture au groupe (g), voire les autres qui > n'appartiennent pas au groupe (o). Mandrake (8.1) a aussi choisi cette solution dans son niveau de sécurité "moyen". --Laurent -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
On Fri, 05 Apr, 2002 à 01:15:44AM +0200, Pierre Thierry wrote: > >> Évidemment il ne faut autoriser que les "adduser *** toto"... > > Ça doit être jouable avec sudo > > Non, tu ne pourras pas l'empêcher de faire > $ adduser unautregroupe toto Je pensais à quel que chose du genre : %$USER ALL = /usr/sbin/adduser comment_preciser_tout_utilisateur $USER Je ne vois pas trop comment faire en sorte que le premier argument soit restreint à un utilisateur valide, mais pour se limiter au groupe, sudo hérite l'environnement de l'utilisateur et comme le groupe porte le même nom que l'utilisateur, le recours à $USER doit convenir (sous réserve que l'environnement hérité soit bien celui de l'utilisateur) En attendant mieux : adduser [a-z]* $USER Je viens d'essayer : [EMAIL PROTECTED]:~$ sudo /usr/sbin/adduser proxy laurent Password: Sorry, user laurent is not allowed to execute '/usr/sbin/adduser proxy laurent' as root on goedel Je continue de penser qu'il doit être possible de s'appuyer sur l'environnement pour parfenir à ce but. -- ( >- Laurent PICOULEAU -< ) /~\ [EMAIL PROTECTED]/~\ | \)Linux : mettez un pingouin dans votre ordinateur !(/ | \_|_Seuls ceux qui ne l'utilisent pas en disent du mal. _|_/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
RE: debian policy: pourquoi des groupes utilisateurs par defaut?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 >> Évidemment il ne faut autoriser que les "adduser *** toto"... > Ça doit être jouable avec sudo Non, tu ne pourras pas l'empêcher de faire $ adduser unautregroupe toto La seule solution me paraît être un script. Je ne sais pas si on peut faire un script global, puisque je ne suis mais alors pas du tout un Shell-script-guru, mais ce que je sais possible, c'est un shell script en dur dans le squelette d'utilisateur, auquel il n'aurait qu'un droit d'exécution et de lecture, pas d'écriture... Techniquement, le Moine Fou ___ mailto:[EMAIL PROTECTED] PGP Key DH/DSS 0xD9D50D8A -BEGIN PGP SIGNATURE- Version: PGP 7.0.4 iQA/AwUBPKzeoMXtdyDZ1Q2KEQI82QCg3cybyLXWDpG1nLV/RDaFl/wPtPQAnj66 CUszFjObIZKBW68u3PVU4ab7 =yjgX -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
On Thu, 04 Apr, 2002 à 06:54:23PM +0200, Julien Gilles wrote: > Est-il possible de donner à l'utilisateur toto le droit de lancer > "adduser titi toto" ? il me semble que non, mais ça pourrait être > pratique. Évidemment il ne faut autoriser que les "adduser *** toto"... Ça doit être jouable avec sudo -- ( >- Laurent PICOULEAU -< ) /~\ [EMAIL PROTECTED]/~\ | \)Linux : mettez un pingouin dans votre ordinateur !(/ | \_|_Seuls ceux qui ne l'utilisent pas en disent du mal. _|_/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
On Thu, 4 Apr 2002 17:07:27 +0200 Rénald CASAGRAUDE <[EMAIL PROTECTED]> wrote: > On jeudi, avril 4, 2002, at 03:38 , Pierre Thierry wrote: > > > Non, normalement, pendant l'installation de la Debian, il te demande si > > tu souhaites que les répertoires des utilisateurs doivent être lisibles > > ou non par tout le monde... > > A partir de Woody seulement... J'ai une Woody fraichement installée à partir de Cds et je n'ai vu nulle part cette possibilité lors de l'installation... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
Nicolas Ledez <[EMAIL PROTECTED]> a écrit : > Le Thu, Apr 04, 2002 at 06:14:28PM +0200, Camille Dominique a écrit : >> Quel est l'intérêt d'avoir un groupe individuel pour chaque utilisateur? > Un peu plus clairement : Je m`appelle toto. > J`ai mon amis titi sur la meme machine a qui je veux laisser la > possibilistee de lire certain de mes fichiers perso, je demmande a mon > admin de faire un "adduser titi toto" et a partir de la, tout les > fichiers avec un droit du style rw-r- lui seul peut le lire mais pas > les autres. Est-il possible de donner à l'utilisateur toto le droit de lancer "adduser titi toto" ? il me semble que non, mais ça pourrait être pratique. Évidemment il ne faut autoriser que les "adduser *** toto"... -- Julien Gilles -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
Le Thu, Apr 04, 2002 at 06:14:28PM +0200, Camille Dominique a écrit : > Quel est l'intérêt d'avoir un groupe individuel pour chaque utilisateur? Un peu plus clairement : Je m`appelle toto. J`ai mon amis titi sur la meme machine a qui je veux laisser la possibilistee de lire certain de mes fichiers perso, je demmande a mon admin de faire un "adduser titi toto" et a partir de la, tout les fichiers avec un droit du style rw-r- lui seul peut le lire mais pas les autres. -- kron : 2.0.35 -> numero impair, donc version d'essai. j'ai tout de meme appris quelques petites choses, depuis le debut de la semaine, sur linux :) Nicolas Ledez - Virtual Net (www.virtual-net.fr) pgpOVBsmsAiUh.pgp Description: PGP signature
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
On Thu, Apr 04, 2002 at 03:06:40PM +0200, Camille Dominique wrote: > Alors voilà, je me demande s'il y a une raison particulière pourquoi par > défaut sur une debian, les utilisateurs sont créés avec leur propre > groupe. Je n'ai pas dû être très clair dans ma question, alors je reformule: Quel est l'intérêt d'avoir un groupe individuel pour chaque utilisateur? ou bien: Quelle est la config système typique pour laquelle cela présente des avantages et lesquels? Si je veux partager des droits entre plusieurs utilisateurs, je crée un groupe, mettons "compta" par exemple, et j'y ajoute les utilisateurs concernés. Sur d'autres distribs, j'ai vu que le groupe initial des utilisateurs est "users". Rien n'empêche, comme l'ont noté Pierre Thierry et Rénald Casagraude, de demander lors de l'installation si l'on veut limiter l'accès à leur répertoire maison aux seuls utilisateurs en question (u), ou permettre la lecture au groupe (g), voire les autres qui n'appartiennent pas au groupe (o). Je me demande donc pourquoi dans une debian, l'approche par défaut est différente (vu qu'on a l'habitude de trouver dans debian une "bonne raison" à tout ;-) -- Camille -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
On jeudi, avril 4, 2002, at 03:38 , Pierre Thierry wrote: Non, normalement, pendant l'installation de la Debian, il te demande si tu souhaites que les répertoires des utilisateurs doivent être lisibles ou non par tout le monde... A partir de Woody seulement... -R -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
jeudi 4 avril 2002, 15:06:40, Camille a écrit : > Alors voilà, je me demande s'il y a une raison particulière pourquoi par > défaut sur une debian, les utilisateurs sont créés avec leur propre > groupe. ma réponse n'est qu'une interprétation ... ça me semble plus pratique lorsque tu ajoutes des utilisateurs pour chaque démon et que tu n'as plus qu'a ajouter tes vrai utilisateurs dans les bons groupes. de la même manière, si un ensemble d'utilisateurs utilise exclusivement un ensemble de progs (exemple con : les gens de la compta utilise GnuCash et ils sont les seuls) il me parait plus propre de mettre le dit programme propriété de l'utilisateur du group ... (dans l'exemple compta.compta) A+ Tom -- Thomas Clavier http://www.tcweb.dyndns.org . _/_/_/_/_/ _/_/ Centre d'expertise RGO. _/ _/ DATACEP Nord ._/ _/ +33 3 28 52 53 02 - +33 6 09 25 59 67 . _/ _/_/
RE: debian policy: pourquoi des groupes utilisateurs par defaut?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 > les répertoires maison sont créés avec 0755 Non, normalement, pendant l'installation de la Debian, il te demande si tu souhaites que les répertoires des utilisateurs doivent être lisibles ou non par tout le monde... Intimement, le Moine Fou ___ mailto:[EMAIL PROTECTED] PGP Key DH/DSS 0xD9D50D8A -BEGIN PGP SIGNATURE- Version: PGP 7.0.4 iQA/AwUBPKxXScXtdyDZ1Q2KEQJ9WgCfYduHPkU69pbFKSd9W1uMGz+tWw8An0Co DssCe2ddBIf2UYkgwIq8jyMG =0Ni/ -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
On Thu, Apr 04, 2002 at 03:22:36PM +0200, Nicolas ROMAN wrote: > C'est pas une histoire de confidentialité/sécurité, rapport aux > permissions des fichiers ? ben non, je ne pense pas, car les répertoires maison sont créés avec 0755 comme droits par défault (ce qu'on peut également modifier). extrait de man adduser.conf: DIR_MODE If set to a valid value (e.g. 0755 or 755), directories created will have the specified permissions. Otherwise 0755 is used as default. > J'espère avoir aidé... merci quand même... -- Camille -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debian policy: pourquoi des groupes utilisateurs par defaut?
On Thu, 4 Apr 2002 15:06:40 +0200 "Camille Dominique" <[EMAIL PROTECTED]> wrote: > bonjour, Salut, > > par défaut sur une debian, les comptes de nouveaux utilisateurs sont > créés avec un groupe utilisateur comme groupe initial. Par exemple, > l'utilisateur "paul" sera créé avec le groupe "paul" comme groupe > initial. > > On peut modifier ce comportement en donnant l'option-qui-va-bien à la > commande "adduser", ou en modifiant "/etc/adduser.conf", en y mettant > > USERGROUPS=no > > Alors voilà, je me demande s'il y a une raison particulière pourquoi par > défaut sur une debian, les utilisateurs sont créés avec leur propre > groupe. > > Je n'ai rien trouvé dans le debian-policy ou le debian-guide. > Quelqu'un sait? C'est pas une histoire de confidentialité/sécurité, rapport aux permissions des fichiers ? J'espère avoir aidé... nicolas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
debian policy: pourquoi des groupes utilisateurs par defaut?
bonjour, par défaut sur une debian, les comptes de nouveaux utilisateurs sont créés avec un groupe utilisateur comme groupe initial. Par exemple, l'utilisateur "paul" sera créé avec le groupe "paul" comme groupe initial. On peut modifier ce comportement en donnant l'option-qui-va-bien à la commande "adduser", ou en modifiant "/etc/adduser.conf", en y mettant USERGROUPS=no Alors voilà, je me demande s'il y a une raison particulière pourquoi par défaut sur une debian, les utilisateurs sont créés avec leur propre groupe. Je n'ai rien trouvé dans le debian-policy ou le debian-guide. Quelqu'un sait? -- Camille -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
