Retrait d'utilisateur d'un (ou des) groupe(s) secondaire(s)
26 réponses
stephane.gargoly
Bonjour =C3=A0 tous les utilisateurs et d=C3=A9veloppeurs de Debian :
Quand j'ai cr=C3=A9=C3=A9 un compte utilisateur 'stephane' avec la commande=
adduser, 'stephane' appartient au groupe primaire (ou principal) 'users' (=
GID=3D100) et ne fait partie =C3=A0 aucun groupe secondaire (ou suppl=C3=A9=
mentaire).
Note a : si la commande adduser rattache chaque utilisateur au groupe commu=
n 'users' au lieu de cr=C3=A9er un groupe propre (c'est-=C3=A0-dire 'stepha=
ne' dans cet exemple comme cela aurait d=C3=BB faire par d=C3=A9faut), cela=
s'explique qu'avant de cr=C3=A9er un quelconque compte utilisateur, j'ai m=
odifi=C3=A9 le fichier /etc/adduser.conf de mani=C3=A8re =C3=A0 que cela se=
passe de cette fa=C3=A7on-l=C3=A0 (en positionnant USERGROUPS=3Dno et USER=
S_GID=3D100). Bien s=C3=BBr et en m=C3=AAme temps, j'ai positionn=C3=A9 DIR=
_MODE=3D0700 afin que d'autres utilisateurs (qui appartiennent donc au m=C3=
=AAme groupe que celui de stephane) ne viennent pas pointer leur bout de ne=
z dans ce r=C3=A9pertoire. ;-)
Par la suite et pour diverses raisons, j'ai rattach=C3=A9 'st=C3=A9phane' =
=C3=A0 un groupe suppl=C3=A9mentaire 'lpadmin' gr=C3=A2ce =C3=A0 la command=
e "usermod -G lpadmin -a stephane".
Donc, =C3=A0 ce niveau, 'stephane' appartient au groupe primaire 'users' et=
au groupe secondaire 'lpadmin' et rien d'autre...
Maintenant que je n'ai plus besoin que 'stephane' soit rattach=C3=A9 =C3=A0=
'lpadmin', je souhaite supprimer ce rattachement mais, probl=C3=A8me, je s=
=C3=A8che quelque peu. :-(
J'ai bien consult=C3=A9 le manuel de la commande usermod (avec man usermod)=
mais rien m'indique explicitement comment supprimer l'appartenance d'un ut=
ilisateur =C3=A0 tous les groupes suppl=C3=A9mentaires (mais bien s=C3=BBr =
en conservant son groupe primaire 'users').
Note b : j'ai bien pens=C3=A9 =C3=A0 r=C3=A9utiliser la commande usermod av=
ec l'option '-G' mais, si on veut qu'un utilisateur ne soit plus rattach=C3=
=A9 =C3=A0 aucun groupe suppl=C3=A9mentaire, cela ne marche pas, me semble-=
t'il...
Est-ce que vous avez une piste, une id=C3=A9e ou un conseil =C3=A0 me donne=
r ?
Je vous remercie d'avance pour votre aide. ;-)
Cordialement et =C3=A0 bient=C3=B4t,
St=C3=A9phane.
Une messagerie gratuite, garantie =C3=A0 vie et des services en plus, =C3=
=A7a vous tente ?
Je cr=C3=A9e ma bo=C3=AEte mail www.laposte.net
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1941925610.411829.1374310499235.JavaMail.www@wwinf8309
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/294662756.550522.1374682309606.JavaMail.www@wwinf8227
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/123466804.551095.1374683044953.JavaMail.www@wwinf8227
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
ledubdub
Hello,
Puisque j'ai la responsabilité importante d'être à l'origine de ce "fork" de discussion, je m'en vais répondre à Stéphane.
Le 24/07/2013 18:11, a écrit :
Ensuite, même si les réponses d'Yves (Rutschle) et de Sébastien (NOBILI) sont parfaitement bienvenues, j'attendais surtout une réaction de ledubdub (puisque mon fil de discussion réagissait à son intervention du 22/07/13 à 18:50), ne saurait-ce que pour confirmer l'hypothèse de setuid/setgid ou celle de sudo.
Oui, de mémoire, elle aussi altérée par la forte chaleur, c'était une règle "sudo" qui permettait de modifier le fichier d'un NIS par un simple utilisateur, donc une fois connectée dans ce "vi" c'était la fête du "sleep" ;-)
Cependant, par la suite, ledubdub avait ajouté : "Maintenant que je suis passé de l'autre côté du miroir (c'est-à-dire admin sys) j'évite l'usage de ces bidules.".
En fait, si l'occasion devait se présenter de donner l'autorisation de création de compte à un "utilisateur" même chevronné, je passerais volontiers à un LDAP plutôt qu'à un "root" temporaire.
Pourquoi ? Plusieurs hypothèses : 1. Soit ledubdub ignore comment supprimer la possibilité (pour un simple utilisateur) d'utiliser Vim (ou un outil l'utilisant) avec les privilèges "administrateurs" (ce que soit par sudo ou par setuid/setgid) mais cela me surprendrait de la part d'un administrateur système.
Modifier et exporter la variable EDITOR et la déclarer à "rvim" puis lancer "vigr"
2. Soit ledubdub reste très méfiant, même aprés avoir apporté les corrections comme je l'ai dit dans l'hypothése précédent.
Je reste méfiant, même si c'est corrigeable ! Si j'ai été capable de trouver cette astuce il y a 12 ans, d'autres en sont capables maintenant !
3. Soit il y a autre chose (bogue ?).
Maintenant, quand j'ai lancé ce fil, soit c'est à cause de la canicule - je supporte la chaleur mais il y a des limites -, soit j'ai trop gavé des glaces au chocolat ou à la vanille - il n'y a aucun risque pourtant - ou soit c'est psychologique, mais ma confiance envers Vim a très légèrement (et très temporairement) vacillé.
Ma confiance en "vi" est toujours meilleure que celle que j'ai envers l'interface chaise-clavier !
Une dernière chose : Yves, ta dernière sortie sur le pal (réservé aux adminitrateurs laxistes ou bordèliques) m'a beaucoup plu (en plus, ça nous change de la guillotine, de la chaise électrique ou du poleton d'execution)... ;-)
Peut-être aussi le "tit monday", non ?
Cordialement et à bientôt,
Pareil
Stéphane.
LeDub
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Hello,
Puisque j'ai la responsabilité importante d'être à l'origine de ce
"fork" de discussion, je m'en vais répondre à Stéphane.
Le 24/07/2013 18:11, stephane.gargoly@laposte.net a écrit :
Ensuite, même si les réponses d'Yves (Rutschle) et de Sébastien (NOBILI) sont parfaitement bienvenues, j'attendais surtout une réaction de ledubdub (puisque mon fil de discussion réagissait à son intervention du 22/07/13 à 18:50), ne saurait-ce que pour confirmer l'hypothèse de setuid/setgid ou celle de sudo.
Oui, de mémoire, elle aussi altérée par la forte chaleur, c'était une
règle "sudo" qui permettait de modifier le fichier d'un NIS par un
simple utilisateur, donc une fois connectée dans ce "vi" c'était la fête
du "sleep" ;-)
Cependant, par la suite, ledubdub avait ajouté : "Maintenant que je suis passé de l'autre côté du miroir (c'est-à-dire admin sys) j'évite l'usage de ces bidules.".
En fait, si l'occasion devait se présenter de donner l'autorisation de
création de compte à un "utilisateur" même chevronné, je passerais
volontiers à un LDAP plutôt qu'à un "root" temporaire.
Pourquoi ? Plusieurs hypothèses :
1. Soit ledubdub ignore comment supprimer la possibilité (pour un simple utilisateur) d'utiliser Vim (ou un outil l'utilisant) avec les privilèges "administrateurs" (ce que soit par sudo ou par setuid/setgid) mais cela me surprendrait de la part d'un administrateur système.
Modifier et exporter la variable EDITOR et la déclarer à "rvim" puis
lancer "vigr"
2. Soit ledubdub reste très méfiant, même aprés avoir apporté les corrections comme je l'ai dit dans l'hypothése précédent.
Je reste méfiant, même si c'est corrigeable ! Si j'ai été capable de
trouver cette astuce il y a 12 ans, d'autres en sont capables maintenant !
3. Soit il y a autre chose (bogue ?).
Maintenant, quand j'ai lancé ce fil, soit c'est à cause de la canicule - je supporte la chaleur mais il y a des limites -, soit j'ai trop gavé des glaces au chocolat ou à la vanille - il n'y a aucun risque pourtant - ou soit c'est psychologique, mais ma confiance envers Vim a très légèrement (et très temporairement) vacillé.
Ma confiance en "vi" est toujours meilleure que celle que j'ai envers
l'interface chaise-clavier !
Une dernière chose : Yves, ta dernière sortie sur le pal (réservé aux adminitrateurs laxistes ou bordèliques) m'a beaucoup plu (en plus, ça nous change de la guillotine, de la chaise électrique ou du poleton d'execution)... ;-)
Peut-être aussi le "tit monday", non ?
Cordialement et à bientôt,
Pareil
Stéphane.
LeDub
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/51F006AD.4020005@yahoo.fr
Puisque j'ai la responsabilité importante d'être à l'origine de ce "fork" de discussion, je m'en vais répondre à Stéphane.
Le 24/07/2013 18:11, a écrit :
Ensuite, même si les réponses d'Yves (Rutschle) et de Sébastien (NOBILI) sont parfaitement bienvenues, j'attendais surtout une réaction de ledubdub (puisque mon fil de discussion réagissait à son intervention du 22/07/13 à 18:50), ne saurait-ce que pour confirmer l'hypothèse de setuid/setgid ou celle de sudo.
Oui, de mémoire, elle aussi altérée par la forte chaleur, c'était une règle "sudo" qui permettait de modifier le fichier d'un NIS par un simple utilisateur, donc une fois connectée dans ce "vi" c'était la fête du "sleep" ;-)
Cependant, par la suite, ledubdub avait ajouté : "Maintenant que je suis passé de l'autre côté du miroir (c'est-à-dire admin sys) j'évite l'usage de ces bidules.".
En fait, si l'occasion devait se présenter de donner l'autorisation de création de compte à un "utilisateur" même chevronné, je passerais volontiers à un LDAP plutôt qu'à un "root" temporaire.
Pourquoi ? Plusieurs hypothèses : 1. Soit ledubdub ignore comment supprimer la possibilité (pour un simple utilisateur) d'utiliser Vim (ou un outil l'utilisant) avec les privilèges "administrateurs" (ce que soit par sudo ou par setuid/setgid) mais cela me surprendrait de la part d'un administrateur système.
Modifier et exporter la variable EDITOR et la déclarer à "rvim" puis lancer "vigr"
2. Soit ledubdub reste très méfiant, même aprés avoir apporté les corrections comme je l'ai dit dans l'hypothése précédent.
Je reste méfiant, même si c'est corrigeable ! Si j'ai été capable de trouver cette astuce il y a 12 ans, d'autres en sont capables maintenant !
3. Soit il y a autre chose (bogue ?).
Maintenant, quand j'ai lancé ce fil, soit c'est à cause de la canicule - je supporte la chaleur mais il y a des limites -, soit j'ai trop gavé des glaces au chocolat ou à la vanille - il n'y a aucun risque pourtant - ou soit c'est psychologique, mais ma confiance envers Vim a très légèrement (et très temporairement) vacillé.
Ma confiance en "vi" est toujours meilleure que celle que j'ai envers l'interface chaise-clavier !
Une dernière chose : Yves, ta dernière sortie sur le pal (réservé aux adminitrateurs laxistes ou bordèliques) m'a beaucoup plu (en plus, ça nous change de la guillotine, de la chaise électrique ou du poleton d'execution)... ;-)
Peut-être aussi le "tit monday", non ?
Cordialement et à bientôt,
Pareil
Stéphane.
LeDub
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Yves Rutschle
On Wed, Jul 24, 2013 at 06:11:49PM +0200, wrote:
J'interviens à nouveau dans ce fil car je pense que je dois apporter quelques eclaircissements (et lever des éventuels malentendus)...
Mon seul reproche à ton intervention, c'est qu'elle rend les débutants enclins à yoyoter sur de la sécu, alors que ce qu'il fallait qu'ils retiennent (plutôt que "vim"), c'est "si y'a un 's' dans ta ligne qui commence par chmod, arrêtes-toi".
Maintenant, quand j'ai lancé ce fil, soit c'est à cause de la canicule - je supporte la chaleur mais il y a des limites -, soit j'ai trop gavé des glaces au chocolat ou à la vanille - il n'y a aucun risque pourtant - ou soit c'est psychologique, mais ma confiance envers Vim a très légèrement (et très temporairement) vacillé.
On peut lancer des shells de nombreuses applications: d'emacs, par exemple, c'est sûr. De la calculatrice de Windows aussi, si je me souviens bien.
Le problème n'est pas tellement là, c'est que dès lors qu'un outil est setuid root, il devient critique et on doit réfléchir profondément à ce qu'il peut faire.
[Attention, rien de ce qui suit ne doit être pris sérieusement]
Au contraire, vi est bon pour la sécurité car souvent l'attaquant n'arrive pas à sauvegarder le fichier!
Une dernière chose : Yves, ta dernière sortie sur le pal
Je me suis oublié: en France, on condamne au secam.
poleton d'execution
Une sorte de apache-mpm-prefork-suexec?
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Wed, Jul 24, 2013 at 06:11:49PM +0200,
stephane.gargoly@laposte.net wrote:
J'interviens à nouveau dans ce fil car je pense que je
dois apporter quelques eclaircissements (et lever des
éventuels malentendus)...
Mon seul reproche à ton intervention, c'est qu'elle rend les
débutants enclins à yoyoter sur de la sécu, alors que ce
qu'il fallait qu'ils retiennent (plutôt que "vim"), c'est
"si y'a un 's' dans ta ligne qui commence par chmod,
arrêtes-toi".
Maintenant, quand j'ai lancé ce fil, soit c'est à cause de la canicule - je supporte la chaleur mais il y a des limites -, soit j'ai trop gavé des glaces au chocolat ou à la vanille - il n'y a aucun risque pourtant - ou soit c'est psychologique, mais ma confiance envers Vim a très légèrement (et très temporairement) vacillé.
On peut lancer des shells de nombreuses applications:
d'emacs, par exemple, c'est sûr. De la calculatrice de
Windows aussi, si je me souviens bien.
Le problème n'est pas tellement là, c'est que dès lors qu'un
outil est setuid root, il devient critique et on doit
réfléchir profondément à ce qu'il peut faire.
[Attention, rien de ce qui suit ne doit être pris
sérieusement]
Au contraire, vi est bon pour la sécurité car souvent
l'attaquant n'arrive pas à sauvegarder le fichier!
Une dernière chose : Yves, ta dernière sortie sur le pal
Je me suis oublié: en France, on condamne au secam.
poleton d'execution
Une sorte de apache-mpm-prefork-suexec?
Y.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130724183801.GA30838@naryves.com
J'interviens à nouveau dans ce fil car je pense que je dois apporter quelques eclaircissements (et lever des éventuels malentendus)...
Mon seul reproche à ton intervention, c'est qu'elle rend les débutants enclins à yoyoter sur de la sécu, alors que ce qu'il fallait qu'ils retiennent (plutôt que "vim"), c'est "si y'a un 's' dans ta ligne qui commence par chmod, arrêtes-toi".
Maintenant, quand j'ai lancé ce fil, soit c'est à cause de la canicule - je supporte la chaleur mais il y a des limites -, soit j'ai trop gavé des glaces au chocolat ou à la vanille - il n'y a aucun risque pourtant - ou soit c'est psychologique, mais ma confiance envers Vim a très légèrement (et très temporairement) vacillé.
On peut lancer des shells de nombreuses applications: d'emacs, par exemple, c'est sûr. De la calculatrice de Windows aussi, si je me souviens bien.
Le problème n'est pas tellement là, c'est que dès lors qu'un outil est setuid root, il devient critique et on doit réfléchir profondément à ce qu'il peut faire.
[Attention, rien de ce qui suit ne doit être pris sérieusement]
Au contraire, vi est bon pour la sécurité car souvent l'attaquant n'arrive pas à sauvegarder le fichier!
Une dernière chose : Yves, ta dernière sortie sur le pal
Je me suis oublié: en France, on condamne au secam.
poleton d'execution
Une sorte de apache-mpm-prefork-suexec?
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/895766236.461117.1374697221696.JavaMail.www@wwinf8228
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Yves Rutschle
On Wed, Jul 24, 2013 at 10:20:21PM +0200, wrote:
> Poleton d'execution ? Je voulais dire bien sûr : "peloton d'execution". > J'espère que c'est à quoi est promis à celui qui a fait cette faute... o:-) Heu, je voulais dire "J'espère que ce n'est pas à quoi est promis à celui qui a fait cette faute... o:-)"
Ça marche toujours pas :D
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Wed, Jul 24, 2013 at 10:20:21PM +0200, stephane.gargoly@laposte.net wrote:
> Poleton d'execution ? Je voulais dire bien sûr : "peloton d'execution".
> J'espère que c'est à quoi est promis à celui qui a fait cette faute... o:-)
Heu, je voulais dire "J'espère que ce n'est pas à quoi est promis à celui qui a fait cette faute... o:-)"
Ça marche toujours pas :D
Y.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130724211731.GC30838@naryves.com
> Poleton d'execution ? Je voulais dire bien sûr : "peloton d'execution". > J'espère que c'est à quoi est promis à celui qui a fait cette faute... o:-) Heu, je voulais dire "J'espère que ce n'est pas à quoi est promis à celui qui a fait cette faute... o:-)"
Ça marche toujours pas :D
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/