Autorisations de Groupe des Dossiers d'un compte Leopard

[FrançoisMacG]

J'ai installé Leopard 10.5.5 il y a six semaines (clean install sur un MB Pro unibody), et créé plusieurs Comptes d'Utilisateur :
à cette époque, les Dossiers "standard" de mon Compte (Documents, Images, Nouveau Dossier) étaient accessibles en lecture aux autres Comptes du Staff,
ce qui permettait de lire mes fichiers professionnels-comptables-très personnels depuis (et dès) le Finder des autres Comptes (par la barre latérale : Rechercher toutes les Images/Documents)…

J'ai alors modifié les autorisations de ces dossiers, par la fenêtre de leurs Informations,
et le choix était limité (= lecture+écriture/Lecture seule/écriture seule, sans autre possibilité),
aussi j'ai choisi Ecriture seule, en appliquant à tous les éléments inclus (et en devant le refaire après chaque ajout de nouveaux fichiers confidentiels…).

Ce soir, en 10.5.6, je constate qu'aucun groupe n'apparaît plus dans la fenêtre des Infos de ces dossiers (la ligne Groupe a disparu, et ne restent que User=Moi rwx et Everyone=accès interdit), et cela, sur tous mes Comptes :
est-ce devenu le comportement par défaut dans Leopard ?,
mes bidouilles auraient-elles fait disparaître la ligne Groupe dans les autorisations de ces dossiers ?,
ou l'origine est-elle encore autre ?

Ma question est de curiosité (et perplexité), puisque mes images et documents ne peuvent enfin plus du tout être lus (voire écrits…) dans les autres sessions, et que rien ne s'est détraqué par ailleurs. :hein:

 

[FrançoisMacG]

Le sujet n'a pas (encore ?) intéressé grand monde…

Les autorisations "normales" sur un Dossier de la racine d'un Compte sous Leopard semblent être, d'après la capture d'osxfacile :
Moi = lecture +écriture / Everyone = Accès interdit /… sans mention aucune de Staff !

C'est ce que je retrouve donc maintenant dans mon Mac, à l'exception d'un seul dossier sur tous mes Comptes, qui persiste à avoir Staff en écriture : "Doc Travail"

mbpro:~ perso$ ls -l /Users/prof
total 0
drwx------+ 3 prof staff 102 1 déc 19:33 Desktop
drwxr-xr-x@ 22 prof staff 748 27 déc 19:04 Doc Travail
drwx------+ 4 prof staff 136 1 déc 19:33 Documents
drwx------+ 4 prof staff 136 1 déc 19:33 Downloads
drwx------+ 26 prof staff 884 3 déc 12:16 Library
drwx------+ 3 prof staff 102 1 déc 19:33 Movies
drwx------+ 3 prof staff 102 1 déc 19:33 Music
drwx------+ 4 prof staff 136 1 déc 19:33 Pictures
drwxr-xr-x+ 5 prof staff 170 1 déc 19:33 Public
drwxr-xr-x+ 5 prof staff 170 1 déc 19:33 Sites
mbpro:~ perso$

Après lecture de Discussions Apple, j'y ai interdit la lecture à Everyone et effacé Staff,
puisque les options [Accès interdit à Staff] et [re-création de Staff après effacement] ne sont apparemment pas possibles
(les paramétrages de Staff dans les Informations ne comportent pas l'interdiction de l'accès, et on peut éventuellement créer un User du nom de Staff, mais c'est tout, a priori).

Mes questions restent posées : :mouais:
- Staff doit-il ne jamais apparaître spontanément sur les Dossiers racine personnels comme Documents-Images ?
- pourquoi Staff est-il apparu dans les Permissions de ces Dossiers racine ?
- comment en a-t-il disparu ? (peut-être, d'après les dates, grâce à la mise à jour Combo 10.5.6)

Et puis, c'est quoi ces chiffres dans la réponse du terminal : 102, 136, 170, … ? :hein:

 

[Aldo92]

je tombe sur ton fil ,mais je reste perplexe ...que veux tu faire ?Enlever les droits aux groupes(g)aux autres (o)?Apparemment c'est fait...non!
-Sur ton dernier post tu sembles te servir de "terminal"...alors je ne vois pas où est le PB
-Si Staff n'apparaît pas comment connaître les permissions
-Le premier chiffre aprés les droits représente le nombre de liens symboliques;le second
(prof staff 748 )indique le nombre de blocs de 512 octects occupé par les fichiers.

 

[FrançoisMacG]

je tombe sur ton fil ,mais je reste perplexe ...que veux tu faire ?Enlever les droits aux groupes(g)aux autres (o)?Apparemment c'est fait...non!
-Sur ton dernier post tu sembles te servir de "terminal"...alors je ne vois pas où est le PB
-Si Staff n'apparaît pas comment connaître les permissions

Mon but est que le contenu de mes Dossiers racine personnels (Images, Mes Docs, …) soit inaccessible en lecture aux autres Comptes de mon Mac.

Le comportement par défaut de mon Mac est de donner une autorisation en lecture à Staff sur tout nouveau Dossier racine d'un Compte,
et aussi à tout nouveau fichier inscrit dans les Dossiers racine (y compris ceux où j'ai réussi à ôter cette autorisation) : mon précédent post montrait un nouveau Dossier racine (Doc travail) qui a pris l'autorisation en lecture pour Staff à sa création,
et depuis, je me suis aperçu que tout nouveau fichier inscrit dans les Dossiers racine (où j'ai retiré l'autorisation de lecture à Staff) reste lisible à Staff par défaut à sa création.

Ma première question est donc de savoir si c'est le comportement normal de votre Leopard, ou si cette "anomalie" m'est propre : ailleurs, j'ai expliqué que j'avais induit une panade d'UID, et il est possible que cette "anomalie" soit une conséquence de cette panade.
= vos fichiers image et texte sont-ils accessibles en lecture à Staff, et donc à tous les autres Comptes de votre Mac ??
= vos autorisations sont-elles celles d'osxfacile (staff inapparent, everyone en accès interdit) ??

J'ai tenté de corriger cette anomalie en passant par les Informations des Dossiers racine et en appliquant à tous les éléments inclus, mais tout nouveau fichier inscrit dans ces Dossiers garde l'autorisation en lecture pour Staff.
Et je parierais qu'un "sudo chmod 700" aboutirait au même résultat…
Ma seule parade sera de réappliquer périodiquement les autorisations modifiées à tous les éléments inclus : ce n'est pas une impasse, mais c'est laborieux !

Et je ne me souviens pas avoir supprimé moi-même le groupe Staff dans le panneau des Informations : l'ai-je fait ? ou est-ce le Système (ou la Combo, ou la mise à jour 10.5.6) qui l'a fait ?
C'est ma deuxième question.
Et la réponse me semble être que ce n'est pas moi : en effet, je n'ai bidouillé les Informations que dans mon Compte alors que tous les autres Comptes aussi ont vu changer les autorisations de leurs Dossiers racine.
Alors, si je savais ce qui a corrigé l'anomalie de mes autorisations, je pourrais le réappliquer périodiquement (ou, rêvons un peu, une fois pour toutes).

-Le premier chiffre aprés les droits représente le nombre de liens symboliques;le second (prof staff 748 )indique le nombre de blocs de 512 octects occupé par les fichiers.

Merci.

 

[FrançoisMacG]

J'ai ouvert une Discussion chez Apple, et j'ai ma réponse :

- mes autorisations actuelles sont les bonnes (Documents-Images-Bibliothèque d'accès réservé au proprio du Compte = pas de lecture pour les autres) : seuls Sites et Public sont ouverts aux autres
- les précédentes étaient donc erronnées : la correction a dû se faire lors de la Combo…
- les nouveaux fichiers créés en accès lecture à Staff et Everyone sont protégés de cette lecture dès qu'ils sont inclus dans un des dossiers précédents :
la lecture de leurs Informations montrent toujours le même paramétrage (755 au lieu du 700 que je cherchais absolument à obtenir),
mais leur accès en lecture est interdit dès qu'ils sont inclus dans ces dossiers (et la modification de leurs Autorisations est inutile !).

La loi files normally inherit the access permissions of the enclosing folder ne veut pas dire (comme je le croyais) que les Autorisations du fichier changent à son inclusion dans un dossier,
mais signifie que c'est le chemin d'accès au fichier qui est barré par les Autorisations du dossier parent.

 

[FrançoisMacG]

Le cafouillage des autorisations qui accordait le droit d'écriture à Staff sur tous les dossiers de tous les autres Comptes me paraît aujourd'hui avoir été causé par mon choix de modifier l'uid d'un Compte en fin d'installation.

J'ai fini par m'en dépêtrer en réinstallant mon Mac à partir de sa sauvegarde Time Machine : ça a restitué les bonnes autorisations à Macintosh HD.