Devant créer de nouveaux utilisateurs sur un MacMINI intel sous Snow
Leopard, et manquant de place sur son disque interne, je m'interroge (et
vous avec) sur la meilleure manière de déporter *certains* utilisateurs
sur un disque externe USB.
Suffit-il, après avoir créé l'utilisateur sur le disque interne, de
copier à la main son dossier sur le disque externe et de le remplacer
dans /Utilisateurs par un alias ?
Quid des autorisations du disque externe ? J'imagine qu'il ne doit
évidemment pas avoir "ignorer les autorisations de ce volume" coché,
mais y a-t-il d'autres « Partages et permissions » à mettre en oeuvre
que - par défaut - système (Lecture et écriture), admin (lecture et
écriture), everyone (lecture seulement) ? Les autorisations du dossier
se font-elles toutes seules quand on fait la copie depuis le compte
administrateur ?
Vaut-il mieux ne déporter (et remplacer par des aliases) que les
dossiers "gourmands" ? (quelle qu'en soit la raison) *à partir* du
compte dans lequel on a ouvert une session ?
Dans tous les cas, que se passe-t-il quand, au boot, le disque est
temporairement hors-ligne ?
Dans le cadre d'une sauvegarde TimeMachine, le dossier d'alias est-il vu
comme "vrai" et son contenu se trouve-t-il sauvegardé automatiquement
avec le reste (tant qu'on ne l'a pas exclu de la sauvegarde) ?
> La question qui se pose est alors la suivante : sécurité.
Pour la gestion du/des site(s) entre autres ?
Non. Je voulais juste dire ce que j'ai développé à la suite : << Si tu souhaites que les utilisateurs d'un site n'accèdent pas aux autres sites, alors il te faut... >>
La sécurité pour la gestion, c'est celle de ton ordi (et de ton compte). Et je suppose que de ce côté tout est en ordre.
effectivement et ça laisse un tout petit avantage "par défaut" à ma solution... qui marche quand même, note-le bien. J'utilise pour le choix de mes mots de passe une routine aléatoire que je ne trouvais pas mal :
openssl rand -base64 8
Ce qui veux dire que tu les stockes quelque part (dans le trousseau sans doute).
mais peut-être as-tu mieux ?
Non.
Je me suis toujours demandé le niveau de sécurité que cela procurait...
Tout à fait convenable àmha. Le seul point faible serait le mot de passe de cession qui permet de les retrouver par l'intermédiaire du trousseau, car je suppose que le dit mdp est plus facile à retenir. Mais bon. Tant que tu ne laisses pas trainer des indications permettant de le retrouver (comme Barack sur Twitter) et que tu n'est toi-même pas trop en vu, je ne pense pas qu'il y ait trop de risque. ;-)
-- JiPaul. / /--/--// Jean-Paul Blanc |/| L | quelquepart en (somewhere in) /|| = ||| FRANCE
Gerald <Gerald@alussinan.org> wrote:
> La question qui se pose est alors la suivante : sécurité.
Pour la gestion du/des site(s) entre autres ?
Non. Je voulais juste dire ce que j'ai développé à la suite :
<< Si tu souhaites que les utilisateurs d'un site n'accèdent pas aux
autres sites, alors il te faut... >>
La sécurité pour la gestion, c'est celle de ton ordi (et de ton compte).
Et je suppose que de ce côté tout est en ordre.
effectivement et ça laisse
un tout petit avantage "par défaut" à ma solution... qui marche quand
même, note-le bien. J'utilise pour le choix de mes mots de passe une
routine aléatoire que je ne trouvais pas mal :
openssl rand -base64 8
Ce qui veux dire que tu les stockes quelque part (dans le trousseau sans
doute).
mais peut-être as-tu mieux ?
Non.
Je me suis toujours demandé le niveau de
sécurité que cela procurait...
Tout à fait convenable àmha. Le seul point faible serait le mot de passe
de cession qui permet de les retrouver par l'intermédiaire du trousseau,
car je suppose que le dit mdp est plus facile à retenir. Mais bon. Tant
que tu ne laisses pas trainer des indications permettant de le retrouver
(comme Barack sur Twitter) et que tu n'est toi-même pas trop en vu, je
ne pense pas qu'il y ait trop de risque. ;-)
--
JiPaul.
/ /--/--//\ Jean-Paul Blanc
|/| L |\ quelquepart en (somewhere in)
/|| = |||\ FRANCE
> La question qui se pose est alors la suivante : sécurité.
Pour la gestion du/des site(s) entre autres ?
Non. Je voulais juste dire ce que j'ai développé à la suite : << Si tu souhaites que les utilisateurs d'un site n'accèdent pas aux autres sites, alors il te faut... >>
La sécurité pour la gestion, c'est celle de ton ordi (et de ton compte). Et je suppose que de ce côté tout est en ordre.
effectivement et ça laisse un tout petit avantage "par défaut" à ma solution... qui marche quand même, note-le bien. J'utilise pour le choix de mes mots de passe une routine aléatoire que je ne trouvais pas mal :
openssl rand -base64 8
Ce qui veux dire que tu les stockes quelque part (dans le trousseau sans doute).
mais peut-être as-tu mieux ?
Non.
Je me suis toujours demandé le niveau de sécurité que cela procurait...
Tout à fait convenable àmha. Le seul point faible serait le mot de passe de cession qui permet de les retrouver par l'intermédiaire du trousseau, car je suppose que le dit mdp est plus facile à retenir. Mais bon. Tant que tu ne laisses pas trainer des indications permettant de le retrouver (comme Barack sur Twitter) et que tu n'est toi-même pas trop en vu, je ne pense pas qu'il y ait trop de risque. ;-)
-- JiPaul. / /--/--// Jean-Paul Blanc |/| L | quelquepart en (somewhere in) /|| = ||| FRANCE
Gerald
JiPaul wrote:
Tout à fait convenable àmha. Le seul point faible serait le mot de passe de cession qui permet de les retrouver par l'intermédiaire du trousseau, car je suppose que le dit mdp est plus facile à retenir.
En fait non : pour les sessions comme pour le trousseau ce sont des mdp "durs" (créés par la routine) que j'ai appris par coeur. Du coup je ne les change jamais ce qui est un inconvénient. Le stockage des autres mdp se fait dans un fichier placé dans un dossier crypté, lui aussi, avec le mdp de session "habituelle" (dur) que j'utilise tous les jours et que j'espère ne pas oublier suite à un AIT :-( (accident ischémique transitoire)
Je ne saurais trop faire l'éloge de la possibilité de créer des dossier cryptés "sparseimage" depuis Utilitaire de disque. Je ne sais pas depuis quand c'est possible (Leopard ?) mais c'est vraiment magique et beaucoup plus souple que de crypter tout le compte avec FileVault. On rappelle que ces images-disques ont le gros avantage de grossir ou maigrir en fonction du volume de données qu'elles contiennent. Le seul inconvénient est que chaque modification représente un surcroît de boulot pour TimeMachine (qui re-sauvegarde l'ensemble de l'image), ce qui peut se résoudre en partie en ayant plusieurs petites images "thématiques" au lieu d'une grosse. Pour que leur utilisation soit efficace il ne faut évidemment pas en stocker le mdp dans le trousseau.
Note que si on ne peut se passer d'inscrire ses mdp sur un papier (au début, pendant l'apprentissage par exemple), il y a toujours possibilité de les coder sommairement en rot-13 ou de décaler d'un pas un caractère connu de soi seul (ou en ajouter un). Ne pouvant savoir en quoi le mdp est inopérant, l'éventuel voleur serait quand même dans la misère.
que tu ne laisses pas trainer des indications permettant de le retrouver (comme Barack sur Twitter) et que tu n'est toi-même pas trop en vu, je ne pense pas qu'il y ait trop de risque. ;-)
À quoi il faudrait ajouter le très faible intérêt de venir pirater "mes" données personnelles protégées ;-) Tu parles d'une affaire :-)
Mais en cas de vol de machine (comme en cas d'effraction du domicile d'ailleurs), le problème n'est pas tant de la nature de ce qui a été "touché" par le voleur que de l'incertitude de ce qu'il ait fait, volé ou pas, utilisé ou pas. Il y a un côté "viol" au niveau du ressenti dans cette incertitude, très supérieur à la réalité du délit. De ce point de vue, je comprends l'ire de Barack et des victimes du hacker et c'est la principale raison d'un minimum de prudence et d'hygiène.
-- Gérald
JiPaul <blanc@empty.org> wrote:
Tout à fait convenable àmha. Le seul point faible serait le mot de passe
de cession qui permet de les retrouver par l'intermédiaire du trousseau,
car je suppose que le dit mdp est plus facile à retenir.
En fait non : pour les sessions comme pour le trousseau ce sont des mdp
"durs" (créés par la routine) que j'ai appris par coeur. Du coup je ne
les change jamais ce qui est un inconvénient. Le stockage des autres mdp
se fait dans un fichier placé dans un dossier crypté, lui aussi, avec le
mdp de session "habituelle" (dur) que j'utilise tous les jours et que
j'espère ne pas oublier suite à un AIT :-( (accident ischémique
transitoire)
Je ne saurais trop faire l'éloge de la possibilité de créer des dossier
cryptés "sparseimage" depuis Utilitaire de disque. Je ne sais pas depuis
quand c'est possible (Leopard ?) mais c'est vraiment magique et beaucoup
plus souple que de crypter tout le compte avec FileVault. On rappelle
que ces images-disques ont le gros avantage de grossir ou maigrir en
fonction du volume de données qu'elles contiennent. Le seul inconvénient
est que chaque modification représente un surcroît de boulot pour
TimeMachine (qui re-sauvegarde l'ensemble de l'image), ce qui peut se
résoudre en partie en ayant plusieurs petites images "thématiques" au
lieu d'une grosse. Pour que leur utilisation soit efficace il ne faut
évidemment pas en stocker le mdp dans le trousseau.
Note que si on ne peut se passer d'inscrire ses mdp sur un papier (au
début, pendant l'apprentissage par exemple), il y a toujours possibilité
de les coder sommairement en rot-13 ou de décaler d'un pas un caractère
connu de soi seul (ou en ajouter un). Ne pouvant savoir en quoi le mdp
est inopérant, l'éventuel voleur serait quand même dans la misère.
que tu ne laisses pas trainer des indications permettant de le retrouver
(comme Barack sur Twitter) et que tu n'est toi-même pas trop en vu, je
ne pense pas qu'il y ait trop de risque. ;-)
À quoi il faudrait ajouter le très faible intérêt de venir pirater "mes"
données personnelles protégées ;-) Tu parles d'une affaire :-)
Mais en cas de vol de machine (comme en cas d'effraction du domicile
d'ailleurs), le problème n'est pas tant de la nature de ce qui a été
"touché" par le voleur que de l'incertitude de ce qu'il ait fait, volé
ou pas, utilisé ou pas. Il y a un côté "viol" au niveau du ressenti dans
cette incertitude, très supérieur à la réalité du délit. De ce point de
vue, je comprends l'ire de Barack et des victimes du hacker et c'est la
principale raison d'un minimum de prudence et d'hygiène.
Tout à fait convenable àmha. Le seul point faible serait le mot de passe de cession qui permet de les retrouver par l'intermédiaire du trousseau, car je suppose que le dit mdp est plus facile à retenir.
En fait non : pour les sessions comme pour le trousseau ce sont des mdp "durs" (créés par la routine) que j'ai appris par coeur. Du coup je ne les change jamais ce qui est un inconvénient. Le stockage des autres mdp se fait dans un fichier placé dans un dossier crypté, lui aussi, avec le mdp de session "habituelle" (dur) que j'utilise tous les jours et que j'espère ne pas oublier suite à un AIT :-( (accident ischémique transitoire)
Je ne saurais trop faire l'éloge de la possibilité de créer des dossier cryptés "sparseimage" depuis Utilitaire de disque. Je ne sais pas depuis quand c'est possible (Leopard ?) mais c'est vraiment magique et beaucoup plus souple que de crypter tout le compte avec FileVault. On rappelle que ces images-disques ont le gros avantage de grossir ou maigrir en fonction du volume de données qu'elles contiennent. Le seul inconvénient est que chaque modification représente un surcroît de boulot pour TimeMachine (qui re-sauvegarde l'ensemble de l'image), ce qui peut se résoudre en partie en ayant plusieurs petites images "thématiques" au lieu d'une grosse. Pour que leur utilisation soit efficace il ne faut évidemment pas en stocker le mdp dans le trousseau.
Note que si on ne peut se passer d'inscrire ses mdp sur un papier (au début, pendant l'apprentissage par exemple), il y a toujours possibilité de les coder sommairement en rot-13 ou de décaler d'un pas un caractère connu de soi seul (ou en ajouter un). Ne pouvant savoir en quoi le mdp est inopérant, l'éventuel voleur serait quand même dans la misère.
que tu ne laisses pas trainer des indications permettant de le retrouver (comme Barack sur Twitter) et que tu n'est toi-même pas trop en vu, je ne pense pas qu'il y ait trop de risque. ;-)
À quoi il faudrait ajouter le très faible intérêt de venir pirater "mes" données personnelles protégées ;-) Tu parles d'une affaire :-)
Mais en cas de vol de machine (comme en cas d'effraction du domicile d'ailleurs), le problème n'est pas tant de la nature de ce qui a été "touché" par le voleur que de l'incertitude de ce qu'il ait fait, volé ou pas, utilisé ou pas. Il y a un côté "viol" au niveau du ressenti dans cette incertitude, très supérieur à la réalité du délit. De ce point de vue, je comprends l'ire de Barack et des victimes du hacker et c'est la principale raison d'un minimum de prudence et d'hygiène.
-- Gérald
Patrick Stadelmann
In article <1jfwj69.18rcijs1md9eyoN%, (Gerald) wrote:
Je ne saurais trop faire l'éloge de la possibilité de créer des dossier cryptés "sparseimage" depuis Utilitaire de disque. Je ne sais pas depuis quand c'est possible (Leopard ?)
Ca remonte au moins à Panther
mais c'est vraiment magique et beaucoup plus souple que de crypter tout le compte avec FileVault. On rappelle que ces images-disques ont le gros avantage de grossir ou maigrir en fonction du volume de données qu'elles contiennent. Le seul inconvénient est que chaque modification représente un surcroît de boulot pour TimeMachine (qui re-sauvegarde l'ensemble de l'image)
Le format "sparse bundle" permet d'éviter cet inconvénient.
Patrick -- Patrick Stadelmann
In article <1jfwj69.18rcijs1md9eyoN%Gerald@alussinan.org>,
Gerald@alussinan.org (Gerald) wrote:
Je ne saurais trop faire l'éloge de la possibilité de créer des dossier
cryptés "sparseimage" depuis Utilitaire de disque. Je ne sais pas depuis
quand c'est possible (Leopard ?)
Ca remonte au moins à Panther
mais c'est vraiment magique et beaucoup
plus souple que de crypter tout le compte avec FileVault. On rappelle
que ces images-disques ont le gros avantage de grossir ou maigrir en
fonction du volume de données qu'elles contiennent. Le seul inconvénient
est que chaque modification représente un surcroît de boulot pour
TimeMachine (qui re-sauvegarde l'ensemble de l'image)
Le format "sparse bundle" permet d'éviter cet inconvénient.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1jfwj69.18rcijs1md9eyoN%, (Gerald) wrote:
Je ne saurais trop faire l'éloge de la possibilité de créer des dossier cryptés "sparseimage" depuis Utilitaire de disque. Je ne sais pas depuis quand c'est possible (Leopard ?)
Ca remonte au moins à Panther
mais c'est vraiment magique et beaucoup plus souple que de crypter tout le compte avec FileVault. On rappelle que ces images-disques ont le gros avantage de grossir ou maigrir en fonction du volume de données qu'elles contiennent. Le seul inconvénient est que chaque modification représente un surcroît de boulot pour TimeMachine (qui re-sauvegarde l'ensemble de l'image)
Le format "sparse bundle" permet d'éviter cet inconvénient.
Patrick -- Patrick Stadelmann
laurent.pertois
Patrick Stadelmann wrote:
Oui, les couches Unix ne savent pas suivre les alias. Sinon, on peut aussi modifier le chemin vers le home directement dans les préférences système, via le menu contextuel sur le compte en question. Je ne sais pas si c'est préférable ou pas.
Bah, au moins ça change au bon endroit et c'est plus propre. Il n'y a que des logiciels écrits avec les pieds voulant absolument aller dans /Users/ton_nom qui vont couiner. Du coup, pour eux, on peut toujours combiner les deux techniques.
Mais celles que tu mentionnes est la méthode officielle.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Oui, les couches Unix ne savent pas suivre les alias. Sinon, on peut
aussi modifier le chemin vers le home directement dans les préférences
système, via le menu contextuel sur le compte en question. Je ne sais
pas si c'est préférable ou pas.
Bah, au moins ça change au bon endroit et c'est plus propre. Il n'y a
que des logiciels écrits avec les pieds voulant absolument aller dans
/Users/ton_nom qui vont couiner. Du coup, pour eux, on peut toujours
combiner les deux techniques.
Mais celles que tu mentionnes est la méthode officielle.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Oui, les couches Unix ne savent pas suivre les alias. Sinon, on peut aussi modifier le chemin vers le home directement dans les préférences système, via le menu contextuel sur le compte en question. Je ne sais pas si c'est préférable ou pas.
Bah, au moins ça change au bon endroit et c'est plus propre. Il n'y a que des logiciels écrits avec les pieds voulant absolument aller dans /Users/ton_nom qui vont couiner. Du coup, pour eux, on peut toujours combiner les deux techniques.
Mais celles que tu mentionnes est la méthode officielle.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
