utilisateurs, groupes, droits ?

Le
geo cherchetout
Bonsoir,
Utilisateur de Linux (Mandrake 9.2 présentement) depuis environ deux
ans, je souhaiterais comprendre *quelle logique* préside à l'attribution
des droits, des propriétés, à la création des groupes et des utilisateurs.
Mon problème n'est pas de savoir comment on attribue les droits, ni
comment on crée un groupe ou un utilisateur ou comment on change les
droits de celui-ci sur tel ou tel fichier : Cela est expliqué des
milliers de fois partout, et je le fais à l'occasion sans difficulté,
(changer les droits d'accès à un fichier ou répertoire) mais sans jamais
savoir si je ne commets pas quelque erreur plus ou moins dangereuse.
Par exemple, un truc qui m'intrigue est que l'utilisateur geo
n'appartient qu'à deux groupes sur des dizaines et qu'il y a aussi des
dizaines d'utilisateurs déclarés d'origine, que je ne rencontre jamais,
alors que je suis seul à utiliser l'ordinateur
Où peut-on trouver des explications intelligibles sur ces mystères ?
Le sujet étant sûrement trop vaste pour être développé ici, je vous
remercie d'avance pour les liens que vous m'indiquerez.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Philippe Delsol
Le #455851
Bonsoir,
Utilisateur de Linux (Mandrake 9.2 présentement) depuis environ deux
ans, je souhaiterais comprendre *quelle logique* préside à l'attribution
des droits, des propriétés, à la création des groupes et des utilisateurs.


Politique de sécurité (protection des données) et de confidentialité.
Tout ne doit pas être accessible à tout le monde...

Mon problème n'est pas de savoir comment on attribue les droits, ni
comment on crée un groupe ou un utilisateur ou comment on change les
droits de celui-ci sur tel ou tel fichier : Cela est expliqué des
milliers de fois partout, et je le fais à l'occasion sans difficulté,
(changer les droits d'accès à un fichier ou répertoire) mais sans jamais
savoir si je ne commets pas quelque erreur plus ou moins dangereuse.
Par exemple, un truc qui m'intrigue est que l'utilisateur geo
n'appartient qu'à deux groupes sur des dizaines et qu'il y a aussi des
dizaines d'utilisateurs déclarés d'origine, que je ne rencontre jamais,
alors que je suis seul à utiliser l'ordinateur...


Je suppose que vous parlez d'un ordinateur du boulot (?)
Parce que sur un ordinateur perso, il n'y a pas beaucoup de comptes
utilisateur créés par défaut.

Où peut-on trouver des explications intelligibles sur ces mystères ?
Le sujet étant sûrement trop vaste pour être développé ici, je vous
remercie d'avance pour les liens que vous m'indiquerez.


Philippe

geo cherchetout
Le #455846
Le 24.04.2004 08:53, *Philippe Delsol* a écrit fort à propos :

Politique de sécurité (protection des données) et de confidentialité.
Tout ne doit pas être accessible à tout le monde...


D'accord, mais c'est bien vague. C'est un peu comme si, à quelqu'un
désirant étudier la météorologie, on répondait : "Cela sert à prévoir le
temps, c'est utile pour l'agriculture et le tourisme."
Merci quand-même.

Je suppose que vous parlez d'un ordinateur du boulot (?)
Parce que sur un ordinateur perso, il n'y a pas beaucoup de comptes
utilisateur créés par défaut.


Non, quand j'étais en activité mon poste de travail fonctionnait sous
Windows et je ne connaissais à peu près rien d'Unix, c'est-à-dire encore
moins qu'aujourd'hui.
Je parle de mon ordinateur domestique. KUser et l'outil de gestion des
utilisateurs Mandrake me révèlent l'existence de 23 utilisateurs :
root, bin, uucp, operator, games, rpm, daemon, adm, lp, sync, geo,
shutdown, nobody, vcsa, halt, rpc, xfs, rpcuser, gdm, fax, ftp, mail, news
et de 42 groupes :
root, bin, wheel, users, rpm, xgrp, ntools, ctools, mail, news, uucp,
man, floppy, daemon, games, cdrom, pppusers, popusers, slipusers,
slocate, video, wine, utmp, sys, adm, usb, tty, geo, disk, nogroup,
vcsa, lp, rpc, xfs, rpcuser, gdm, fax, ftp, mem, cdwriter, audio, kmem
dont la plupart ne comportent aucun utilisateur.
Geo n'appartient qu'à deux groupes : cdwriter et geo. Heureux et fier de
constater au passage que je constitue un groupe à moi tout seul. (Une
bande de jeunes, sûrement.) ;-)
C'est à se demander comment j'arrive à faire tant de choses.
Ma soif de connaissance reste intacte, désolé de ne pas mieux savoir
l'exprimer...

Rakotomandimby Mihamina
Le #455659
geo cherchetout wrote:
Le 24.04.2004 08:53, *Philippe Delsol* a écrit fort à propos :
Politique de sécurité (protection des données) et de confidentialité.
Tout ne doit pas être accessible à tout le monde...
D'accord, mais c'est bien vague. C'est un peu comme si, à quelqu'un

désirant étudier la météorologie, on répondait : "Cela sert à prévoir le
temps, c'est utile pour l'agriculture et le tourisme."


repartir les gens par groupe fait partie de la politique de securite .
si par exemple vous installez un programme de gravure de CD , et que
vous ne faites pas partie du groupe qui a le droit de graver des CD ,
vous ne le pourrez pas .
Sur un ordinateur personnel , on m'en voit pas l'utilite mais a partir
ou on depasse le seuil de l'utilisateur unique , on se sert de ces choses .
Je trouve tout a fait normal que vous ne saisissiez pas l'utilite de ces
choses si vous n'administrez pas un groupe d'utilisateur .

Je suppose que vous parlez d'un ordinateur du boulot (?)
Parce que sur un ordinateur perso, il n'y a pas beaucoup de comptes
utilisateur créés par défaut.



sur une mandrake , si .

Non, quand j'étais en activité mon poste de travail fonctionnait sous
Windows et je ne connaissais à peu près rien d'Unix, c'est-à-dire encore
moins qu'aujourd'hui.
Je parle de mon ordinateur domestique. KUser et l'outil de gestion des
utilisateurs Mandrake me révèlent l'existence de 23 utilisateurs :


[...]

en utilisant les SUID on exploite l'existence de ces utilisateurs

et de 42 groupes :
[...]

Geo n'appartient qu'à deux groupes : cdwriter et geo.


Par exemple pour utiliser le mixer (dev/mixer) qui appartient au groupe
audio , il vous faudrai appartenir au groupe audio .
... idem pour les groupes dont les noms sont d'ailleurs asez explicites
finalement ...

Heureux et fier de
constater au passage que je constitue un groupe à moi tout seul. (Une
bande de jeunes, sûrement.) ;-)


non , c'est pour que vous puissiez affiner les rwxrwxrwx de vos fichiers
et repertoires personnels .

C'est à se demander comment j'arrive à faire tant de choses.


attention ce n'est pas le comportement de toutes les distributions Linux
que vous dercivez la .
Comprendre ce qui se passe sur votre Mdk c'est bien , mais il ne faidra
pas chercher a revoir certains de ces comportements sur une slackware ,
gentoo ou debian ...

Ma soif de connaissance reste intacte, désolé de ne pas mieux savoir
l'exprimer...


Essayez de vous trouver plusieurs utilisateurs sur votre machine , ou
creez-en un de test qui fout le bordel , vous verrez bien l'utilite
des permissions .
Si votre Mandrake est configuree sur un niveau de securite "paranoiaque"
vous verrez jusqu'ou vous pouvvez casser votre distrib ...
--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://stko.dyndns.info/site_principal/Members/mihamina


Luc
Le #455658
Le Sat, 24 Apr 2004 10:35:25 +0200
geo cherchetout
...
Je parle de mon ordinateur domestique. KUser et l'outil de gestion des
utilisateurs Mandrake me révèlent l'existence de 23 utilisateurs :
root, bin, uucp, operator, games, rpm, daemon, adm, lp, sync, geo,
shutdown, nobody, vcsa, halt, rpc, xfs, rpcuser, gdm, fax, ftp, mail,
news et de 42 groupes :
root, bin, wheel, users, rpm, xgrp, ntools, ctools, mail, news, uucp,
man, floppy, daemon, games, cdrom, pppusers, popusers, slipusers,
slocate, video, wine, utmp, sys, adm, usb, tty, geo, disk, nogroup,
vcsa, lp, rpc, xfs, rpcuser, gdm, fax, ftp, mem, cdwriter, audio, kmem
dont la plupart ne comportent aucun utilisateur.
Geo n'appartient qu'à deux groupes : cdwriter et geo. Heureux et fier de
constater au passage que je constitue un groupe à moi tout seul. (Une
bande de jeunes, sûrement.) ;-)


Sous Unix/Linux, un utilisateur n'a quasiment aucun droit sauf sur ses
propres fichiers. Si un utilisateur veut lire une disquette (chose simple
sur d'autres systèmes) et bien il doit avoir les droits de lecture sur
/dev/fd0. Seules les personnes qui appartiennent au groupe floppy ou
"root" peuvent lire ou ecrire sur la disquette. Donc le fait d'appartenir
à un groupe te donne en fait des droits supplementaires sur des périphs
ou des commandes. Dans ton cas, tu appartiens au groupe cdwriter
pour te permettre, sans doute d'utiliser un logiciel de gravure et
d'accéder au péripherique idoine. Les groupes root "root" "wheel"
et "bin" sont des groupes "administratifs", le groupe game permet
d'utiliser les programmes présents dans "/usr/games" (par défaut,
on ne rigole pas avec une machine *NIX ;-)), etc.... De plus, sous
linux, lorsqu'on crée un utilisateur, on crée un groupe du même
nom pour plus de sécurité.

...
Ma soif de connaissance reste intacte, désolé de ne pas mieux savoir
l'exprimer...



J'espère que cela répond à ta question
Cdlt

geo cherchetout
Le #455656
Le 24.04.2004 21:38, *Rakotomandimby Mihamina* a écrit fort à propos :

repartir les gens par groupe fait partie de la politique de securite .
si par exemple vous installez un programme de gravure de CD , et que
vous ne faites pas partie du groupe qui a le droit de graver des CD ,
vous ne le pourrez pas .


Ce n'est peut-être pas le meilleur exemple pour illustrer la notion de
sécurité, mais je comprends bien qu'on fixe des limites aux utilisateurs
pour des raisons de sécurité et l'idée de constituer des groupes me
semble logique.

en utilisant les SUID on exploite l'existence de ces utilisateurs


Merci pour cet os que je n'ai pas encore rongé sérieusement. J'ai
souvent du mal à faire le lien entre des lectures indigestes et ce qui
se passe dans la machine.

Par exemple pour utiliser le mixer (dev/mixer) qui appartient au groupe
audio , il vous faudrai appartenir au groupe audio .


Ce groupe est vide et pourtant geo utilise le mixer, écoute de la
musique ou utilise la téléphonie "over IP". Cet exemple ne facilite pas
la compréhension et il y en a beaucoup d'autres dans le même genre.

.... idem pour les groupes dont les noms sont d'ailleurs asez explicites
finalement ...


Euh, vvvoui, certains...

constater au passage que je constitue un groupe à moi tout seul


non , c'est pour que vous puissiez affiner les rwxrwxrwx de vos fichiers
et repertoires personnels .


Ne suffit-il pas pour cela d'en être le propriétaire ?
J'ai rencontré hier un cas bizarre : Je ne pouvais pas supprimer un
fichier m'appartenant que j'avais mis à l'abri dans un répertoire de mon
home (une copie d'un fichier de configuration de Mozilla). J'avais
pourtant apparemment tous les droits sur ce fichier. Il m'a fallu passer
root pour m'en débarrasser. Je me demande parfois si tout peut
s'expliquer rationnellement. ;-)
C'est ce qui m'a décidé à poster ici, mais j'y pensais depuis un certain
temps.

Essayez de vous trouver plusieurs utilisateurs sur votre machine , ou
creez-en un de test qui fout le bordel , vous verrez bien l'utilite
des permissions .


Merci bien. Je me suis déjà fourré dans des situations périlleuses dont
j'ai eu assez de mal à sortir. Je ne vais pas le faire exprès !

Je vais donc rouvrir quelques chapitres que j'avais négligés parce que
je ne comprenais pas ce que je lisais. Cela tourne autour des mots
sticky bit, SUID, SGID, sudo, et quelques autres.


Luc
Le #455445
Le Sun, 25 Apr 2004 00:58:58 +0200
geo cherchetout ...
Mais dans la réalité les choses semblent se passer différemment. Tu
cites l'exemple du groupe floppy. Chez moi ce groupe est vide et
pourtant, comme simple utilisateur, j'utilise les disquettes sans
difficulté particulière.
C'est vrai, c'est un mauvais exemple: pour accéder au fichier, on monte

la disquette. Généralement "le commun des utilisateurs" est autorisé a le
faire (option "users" dans /etc/fstab) et tu obtiens les droits de
lecture/écriture. Je pensais plus a l'utilisation de commande comme "dd"
qui accède directement au device: si tu tapes la commande
dd if=/dev/fd0 of=disk.img (copie brute d'une disquette)
Tu ne peux le faire que si tu appartiens au groupe floppy.

Comme le dit P. Delsol, on peut donner des droits en positionnant le suid
bit sur une commande. Par exemple, lorsqu'on exécute la commande (à
condition d'appartenir au groupe dip) /usr/sbin/ppd (rwsr-xr--), on
obtient les droits du propriétaire (root). on peut donc déclencher la
connexion internet sans être root.

Désolé pour tous ces exemples, mais je trouve ça plus parlant.
Cdlt

Rakotomandimby Mihamina
Le #455444
geo cherchetout wrote:

Ce groupe est vide et pourtant geo utilise le mixer, écoute de la
musique ou utilise la téléphonie "over IP". Cet exemple ne facilite
pas la compréhension et il y en a beaucoup d'autres dans le même
genre.


Sur une machine ou un seul utilisateur se logge a la fois ,
/dev/mixer et /dev/audio (/dev/dsp) appartiennent
a l'utilisateur encours (c'est somme toute assz logique)

J'ai mal choisi l'exepmle , mais bon ... essayez de comprendre aussi de
votre cote :-P




--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://stko.dyndns.info/site_principal/Members/mihamina

Jacques L'helgoualc'h
Le #455441
Rakotomandimby Mihamina [...]

Sur une machine ou un seul utilisateur se logge a la fois ,
/dev/mixer et /dev/audio (/dev/dsp) appartiennent
a l'utilisateur encours (c'est somme toute assz logique)


Si l'utilisateur à distance lance en boucle l'intégrale Obispo,
le voisin risque d'utiliser le marteau.
--
Jacques L'helgoualc'h

thierry escola
Le #455221
geo cherchetout wrote:
...

Ne suffit-il pas pour cela d'en être le propriétaire ?
J'ai rencontré hier un cas bizarre : Je ne pouvais pas supprimer un
fichier m'appartenant que j'avais mis à l'abri dans un répertoire de mon
home (une copie d'un fichier de configuration de Mozilla). J'avais
pourtant apparemment tous les droits sur ce fichier. Il m'a fallu passer
root pour m'en débarrasser. Je me demande parfois si tout peut
s'expliquer rationnellement. ;-)
C'est ce qui m'a décidé à poster ici, mais j'y pensais depuis un certain
temps.


salut,

jamais je n'ai entendu parler d'un fichier qu'on ne pouvait pas pas
supprimer en en étant propriétaire (à part sous microsoft windows XP)
peux-tu reproduire la situation ? si oui, ça serait intéressant.

Thierry
--
http://members.fortunecity.fr/tagada/

geo cherchetout
Le #454998
Le 26.04.2004 07:46, *thierry escola* a écrit fort à propos :

jamais je n'ai entendu parler d'un fichier qu'on ne pouvait pas pas
supprimer en en étant propriétaire (à part sous microsoft windows XP)
peux-tu reproduire la situation ? si oui, ça serait intéressant.


Tentant de reproduire le phénomène aujourd'hui, je découvre la cause de
mon erreur :
Mon profil Mozilla à sauvegarder était bien la propriété de geo, qui
peut en supprimer n'importe quel fichier. Mais j'avais effectué la copie
de ce répertoire (dans un autre répertoire de geo) en tant que root. De
ce fait le dossier était devenu la propriété de root. La fatigue aidant,
je tentais sans doute de supprimer l'un après avoir visualisé les
propriétés de l'autre.
Je suis quand-même surpris de ce changement de propriétaire qui
intervient aussi bien lors de copie en ligne de commande qu'en utilisant
Konqueror. Encore une découverte. Pourvu que je m'en souvienne !
Merci de m'avoir proposé ce petit exercice.
Root est vraiment un tyran monstrueux, non ?

Publicité
Poster une réponse
Anonyme