je me suis aperçu qu'un user pouvait virer un fichier ayant les droits
root:root 644 de son propre home (il suffit de répondre 'o' quand
la question de détruire un fichier protégé en écriture est posée.)
j'ai crû que c'était un effet de bord du montage de la partition /home
avec le switch 'user_xattr', mais il n'est est rien.
sudo est installé, mais aucun droit user n'est configuré.
j'en conclus que j'ai sûrement dû merdouiller quelque part, mais
je ne vois absolument pas où?
JY
--
It was Penguin lust... at its ugliest.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Yves F. Barbier
Jean-Yves F. Barbier a écrit :
Salut liste,
je me suis aperçu qu'un user pouvait virer un fichier ayant les droits root:root 644 de son propre home (il suffit de répondre 'o' quand la question de détruire un fichier protégé en écriture est posée.)
j'ai crû que c'était un effet de bord du montage de la partition /home avec le switch 'user_xattr', mais il n'est est rien.
sudo est installé, mais aucun droit user n'est configuré.
j'en conclus que j'ai sûrement dû merdouiller quelque part, mais je ne vois absolument pas où?
Ok, ça parait "normal" vu que rm prend en compte les droits du directory pour les droits d'effacement; seulement c'est quand même très étrange que cela soit aussi valable pour un fichier appartenant à root:root
Si quelqu'un a un link vers une doc plus poussée, il sera le bienvenu.
-- Finagle's First Law: If an experiment works, something has gone wrong.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier a écrit :
Salut liste,
je me suis aperçu qu'un user pouvait virer un fichier ayant les droits
root:root 644 de son propre home (il suffit de répondre 'o' quand
la question de détruire un fichier protégé en écriture est posée.)
j'ai crû que c'était un effet de bord du montage de la partition /home
avec le switch 'user_xattr', mais il n'est est rien.
sudo est installé, mais aucun droit user n'est configuré.
j'en conclus que j'ai sûrement dû merdouiller quelque part, mais
je ne vois absolument pas où?
Ok, ça parait "normal" vu que rm prend en compte les droits du directory
pour les droits d'effacement; seulement c'est quand même très étrange
que cela soit aussi valable pour un fichier appartenant à root:root
Si quelqu'un a un link vers une doc plus poussée, il sera le bienvenu.
--
Finagle's First Law: If an experiment works, something has gone wrong.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
je me suis aperçu qu'un user pouvait virer un fichier ayant les droits root:root 644 de son propre home (il suffit de répondre 'o' quand la question de détruire un fichier protégé en écriture est posée.)
j'ai crû que c'était un effet de bord du montage de la partition /home avec le switch 'user_xattr', mais il n'est est rien.
sudo est installé, mais aucun droit user n'est configuré.
j'en conclus que j'ai sûrement dû merdouiller quelque part, mais je ne vois absolument pas où?
Ok, ça parait "normal" vu que rm prend en compte les droits du directory pour les droits d'effacement; seulement c'est quand même très étrange que cela soit aussi valable pour un fichier appartenant à root:root
Si quelqu'un a un link vers une doc plus poussée, il sera le bienvenu.
-- Finagle's First Law: If an experiment works, something has gone wrong.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Sylvain Sauvage
Jean-Yves F. Barbier, mardi 11 août 2009, 02:51:54 CEST
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier, mardi 11 août 2009, 02:51:54 CEST
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
steve
[snip]
Analogie : si une personne qui a ton n° de compte en Suisse le perd ou l’efface et que tu ne l’as pas : pouf, a plus pognon.
Limite ça..
Bonne journée, steve
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
[snip]
Analogie : si une personne qui a ton n° de compte en Suisse le
perd ou l’efface et que tu ne l’as pas : pouf, a plus pognon.
Limite ça..
Bonne journée,
steve
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Analogie : si une personne qui a ton n° de compte en Suisse le perd ou l’efface et que tu ne l’as pas : pouf, a plus pognon.
Limite ça..
Bonne journée, steve
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier
Sylvain Sauvage a écrit : ...
Non, ce n’est pas « très étrange ». Moi, ça me paraît « très logique » ;oP
L’utilisateur n’efface pas le fichier et ses données, il efface _un_ « lien » (en fait, le nom mais je vais dire lien parce que l’appel système, c’est unlink(2)) vers le fichier. Ce lien est bien à lui : il a les droits sur la liste de liens qu’est le répertoire (d’où le terme répertoire/directory : liste de noms, adresses…).
ok, donc dts dir > dts file
Bon, si ce lien est le dernier sur le fichier : pouf, a plus fichier. Mais ce n’est pas la faute à l’utilisateur, c’est la faute à root qui lui a filé le seul lien vers ses données.
a peut comprendre vu priorité, mais a dvient très chibavant si root veut imposer un fichier sans possibilité de changement NI effacement par ledit user.
Si je comprends bien, la seule possibilité de faire cela, c'est de passer par les ACLs étendus en montant ma partoche avec le switch 'user_xattr', et en positionnant '+a' sur le fichier.
(ah, j'crois q'j'a ben compris piskeul test y s'est ben passé:)
ça reste (malgré toutes tes explications claires) 'logiquement' un peu déroutant, vu que root est censé être dieu tout puissant à bord.
Analogie : si une personne qui a ton n° de compte en Suisse le perd ou l’efface et que tu ne l’as pas : pouf, a plus pognon.
a ben naaan, ça, ça reste privé (et puis y'a pas que la Suisse qui soit un paradis bancaire; mais est pas pour ça qu'a plus ed'pognon sur eul'compte:)
man 2 unlink man 2 link man 7 symlink etc.
ok, merci, j'y vois un chtit peu plus clair
JY -- The opulence of the front office door varies inversely with the fundamental solvency of the firm.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Sylvain Sauvage a écrit :
...
Non, ce n’est pas « très étrange ». Moi, ça me paraît « très
logique » ;oP
L’utilisateur n’efface pas le fichier et ses données, il
efface _un_ « lien » (en fait, le nom mais je vais dire lien
parce que l’appel système, c’est unlink(2)) vers le fichier. Ce
lien est bien à lui : il a les droits sur la liste de liens
qu’est le répertoire (d’où le terme répertoire/directory : liste
de noms, adresses…).
ok, donc dts dir > dts file
Bon, si ce lien est le dernier sur le fichier : pouf, a plus
fichier. Mais ce n’est pas la faute à l’utilisateur, c’est la
faute à root qui lui a filé le seul lien vers ses données.
a peut comprendre vu priorité, mais a dvient très chibavant
si root veut imposer un fichier sans possibilité de changement NI
effacement par ledit user.
Si je comprends bien, la seule possibilité de faire cela, c'est de passer
par les ACLs étendus en montant ma partoche avec le switch 'user_xattr',
et en positionnant '+a' sur le fichier.
(ah, j'crois q'j'a ben compris piskeul test y s'est ben passé:)
ça reste (malgré toutes tes explications claires) 'logiquement' un peu
déroutant, vu que root est censé être dieu tout puissant à bord.
Analogie : si une personne qui a ton n° de compte en Suisse le
perd ou l’efface et que tu ne l’as pas : pouf, a plus pognon.
a ben naaan, ça, ça reste privé (et puis y'a pas que la Suisse qui soit un
paradis bancaire; mais est pas pour ça qu'a plus ed'pognon sur eul'compte:)
man 2 unlink
man 2 link
man 7 symlink
etc.
ok, merci, j'y vois un chtit peu plus clair
JY
--
The opulence of the front office door varies inversely with the fundamental
solvency of the firm.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Non, ce n’est pas « très étrange ». Moi, ça me paraît « très logique » ;oP
L’utilisateur n’efface pas le fichier et ses données, il efface _un_ « lien » (en fait, le nom mais je vais dire lien parce que l’appel système, c’est unlink(2)) vers le fichier. Ce lien est bien à lui : il a les droits sur la liste de liens qu’est le répertoire (d’où le terme répertoire/directory : liste de noms, adresses…).
ok, donc dts dir > dts file
Bon, si ce lien est le dernier sur le fichier : pouf, a plus fichier. Mais ce n’est pas la faute à l’utilisateur, c’est la faute à root qui lui a filé le seul lien vers ses données.
a peut comprendre vu priorité, mais a dvient très chibavant si root veut imposer un fichier sans possibilité de changement NI effacement par ledit user.
Si je comprends bien, la seule possibilité de faire cela, c'est de passer par les ACLs étendus en montant ma partoche avec le switch 'user_xattr', et en positionnant '+a' sur le fichier.
(ah, j'crois q'j'a ben compris piskeul test y s'est ben passé:)
ça reste (malgré toutes tes explications claires) 'logiquement' un peu déroutant, vu que root est censé être dieu tout puissant à bord.
Analogie : si une personne qui a ton n° de compte en Suisse le perd ou l’efface et que tu ne l’as pas : pouf, a plus pognon.
a ben naaan, ça, ça reste privé (et puis y'a pas que la Suisse qui soit un paradis bancaire; mais est pas pour ça qu'a plus ed'pognon sur eul'compte:)
man 2 unlink man 2 link man 7 symlink etc.
ok, merci, j'y vois un chtit peu plus clair
JY -- The opulence of the front office door varies inversely with the fundamental solvency of the firm.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Vincent Danjean
Jean-Yves F. Barbier wrote:
ça reste (malgré toutes tes explications claires) 'logiquement' un peu déroutant, vu que root est censé être dieu tout puissant à bord.
root n'est rien par rapport au noyau qui lui-même s'écrase bien gentiment face à un hyperviseur.
man 2 unlink man 2 link man 7 symlink etc.
ok, merci, j'y vois un chtit peu plus clair
Il y a quelques années, Linux avec le concept de "Kernel security level" où parfois root ne pouvait pas lui-même changer des fichiers immuables (utile pour éviter des dégats après une compromission partielle de la machine). Cf par exemple http://docstore.mik.ua/orelly/other/puis3rd/0596003234_puis3-chp-20-sect-2.html
Bref, root est loin d'être tout puissant sur une machine correctement sécurisée.
A+ Vincent
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier wrote:
ça reste (malgré toutes tes explications claires) 'logiquement' un peu
déroutant, vu que root est censé être dieu tout puissant à bord.
root n'est rien par rapport au noyau qui lui-même s'écrase bien gentiment
face à un hyperviseur.
man 2 unlink
man 2 link
man 7 symlink
etc.
ok, merci, j'y vois un chtit peu plus clair
Il y a quelques années, Linux avec le concept de "Kernel security level"
où parfois root ne pouvait pas lui-même changer des fichiers immuables
(utile pour éviter des dégats après une compromission partielle de la
machine). Cf par exemple
http://docstore.mik.ua/orelly/other/puis3rd/0596003234_puis3-chp-20-sect-2.html
Bref, root est loin d'être tout puissant sur une machine correctement
sécurisée.
A+
Vincent
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
ça reste (malgré toutes tes explications claires) 'logiquement' un peu déroutant, vu que root est censé être dieu tout puissant à bord.
root n'est rien par rapport au noyau qui lui-même s'écrase bien gentiment face à un hyperviseur.
man 2 unlink man 2 link man 7 symlink etc.
ok, merci, j'y vois un chtit peu plus clair
Il y a quelques années, Linux avec le concept de "Kernel security level" où parfois root ne pouvait pas lui-même changer des fichiers immuables (utile pour éviter des dégats après une compromission partielle de la machine). Cf par exemple http://docstore.mik.ua/orelly/other/puis3rd/0596003234_puis3-chp-20-sect-2.html
Bref, root est loin d'être tout puissant sur une machine correctement sécurisée.
A+ Vincent
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
