Leopard : faille de sécurité accès comptes Users ?

K

kidcreole

Membre confirmé
11 Septembre 2002
76
0
Bonjour,

Je viens de m'apercevoir que sur mon Mac Intel sous Leopard, tous les comptes Utilisateurs et leurs sous-dossiers sont accessibles en lecture/écriture ???

J'ai bien créé un compte administrateur et plusieurs comptes "utilisateur standard". Je pensais mes fichiers à l'abri.
Sauf que mon amie qui a un compte utilisateur standard m'a montré qu'en ouvrant sa session, elle peut, via le Finder, se balader dans les comptes Utilisateurs (y compris le mien qui suis Admin) et faire ce qu'elle veut.

Après vérification en faisant Pomme-I sur mon dossier Utilisateur, je vois qu'il est en lecture-écriture pour moi, "staff" et "everyone".

Est-ce une faille de sécurité dans Léopard ?
Merci pour votre aide!
 
Je ne sais pas si c'est une faille de sécurité mais c'est un peu léger.

Auparavant, le défaut était de créer des fichiers pour soi et son groupe homonyme. Avec Leopard, on crée par défaut les fichiers pour soi et le groupe staff, lequel regroupe l'ensemble des utilisateurs "humains" de la machine. Effectivement, je ne vois pas de bonne raison à avoir changé de stratégie.

Pour autant, cela doit pouvoir se changer.
 
[... quelques instants plus tard ...]

C'est même assez simple (plus simple qu'avant, je crois) à modifier, comme indiqué ici.

Bien entendu, la prudence est de mise : il se peut que telle ou telle petite fonctionnalité soit touchée par cette modification.
 
Wait a minute ! Mr Bompi.

Tu ne parles pas de la même chose. Le comportement décrit n'est absolument pas normal sur Leopard.

Un compte utilisateur à les droits suivants :

monnomabrege -> lecture et écriture
staff -> lecture seulement
everyone -> lecture seulement

A l'intérieur de ce compte, les dossiers Bureau, Documents, Bibliothèque, Séquences, Musique, Images, Téléchargements, ont les droits d'accès suivants :
monnomabrege -> lecture et écriture
everyone -> accès interdit

Les dossiers Sites et Public :
momnomabrege -> lecture et écriture
staff -> lecture seulement
everyone -> lecture seulement

De ce fait, il est impossible pour un utilisateur standard d'aller consulter et modifier le contenu de la session des autres utilisateurs.

De même, lorsque j'ajoute un dossier dans ma "maison", je veille à lui donner les mêmes droits limités que "Documents".

Je faisais déjà cela avec Tiger, où créer un nouveau dossier directement dans la "maison" le laissait déjà par défaut totalement accessible en lecture.

En conclusion :

Il n'y a pas une faille dans la gestion utilisateur de Leopard, il y a une faille sur cette machine, sans doute due à une manipulation malencontreuse.
Il faut faire attention aux droits des dossiers qu'on créé et à leur emplacement dans l'architecture. Nous travaillons sur un système unix et non pas playscool.
 
Moonwalker a dit:
Wait a minute ! Mr Bompi.

Tu ne parles pas de la même chose. Le comportement décrit n'est absolument pas normal sur Leopard.

...

Les dossiers Sites et Public :
momnomabrege -> lecture et écriture
staff -> lecture seulement
everyone -> lecture seulement

De ce fait, il est impossible pour un utilisateur standard d'aller consulter et modifier le contenu de la session des autres utilisateurs.


...
Cliquez pour agrandir...

Effectivement, il ne devrait pas y avoir d'écriture autorisée pour staff ni pour everyone.

Mais le masque par défaut est 0022 ce qui implique que, pour un utilisateur inattentif, s'il crée un dossier et des fichiers dans sa maison, ces fichiers et dossier seront accessibles en lecture ... Il faut donc en effet revenir derrière pour remettre des droits appropriés.

Décidément, avec Leopard, la sécurité est étrange (entre ça et le pare-feu bizarroïde).
 
En résumé, les Dossiers de Comptes sont par défaut en lecture (seule) à partir des Préférences Système de chaque session,
mais pas leur contenu (sauf Sites et Public).

La lecture-écriture accordée à Staff-20 serait une autorisation inscrite systématiquement au préalable pour pouvoir déplacer le fichier dans un autre Compte, mais pas pour y permettre l'accès à partir d'un autre Compte : c'est bien ça ? :mouais:
 
staff c'est en lecture seulement.

Créé un dossier sans titre sur ton bureau et tu verras.

En résumé : les dossiers par défaut d'une session sont en accès interdit pour tous les autres, sauf Sites et Public pour des raisons bien compréhensibles (ils sont destinées à être consultés). De fait, pour accéder à ces derniers, il faut que la "maison" soit au moins dans les mêmes droits.

Les dossiers et fichiers que tu créés sont en lecture et écriture pour toi et en lecture seulement pour staff et everyone. C'est le masque par défaut. A ta charge de leur attribuer des droits particuliers.
 
C'est quand même assez trompeur : on dit assez souvent par ici que l'environnement d'un utilisateur est protégé mais ce n'est vrai que de ce qui est préparé par OS X à la création d'un compte. Changer le masque par défaut d'un utilisateur doit être un peu difficile (sous Tiger et Panther, j'ai le lointain souvenir d'avoir trouvé ça tordu).

En plus, ici, il y a une modification du comportement qui est étrange.

Il faudrait faire un essai avec un autre compte : si c'est pareil, c'est que la configuration générale a été changée. Sinon, c'est que cela ne concerne que le compte principal. Ça permettrait d'orienter les recherches.
 
Moonwalker a dit:
Nota : il y a une fonction sur le disque d'installation de Leopard (du coté des reset mot de passe) pour rétablir les droits sur les comptes utilisateurs.
Cliquez pour agrandir...

Et cette fonction efface la lecture pour Staff et Everyone sur les fichiers nouvellement créés ?
(je suis encore en 10.4, et je ne peux vérifier moi-même)

Et quand on change un fichier de Session, l'umask change-t-il alors ?
 
FrançoisMacG a dit:
Et cette fonction efface la lecture pour Staff et Everyone sur les fichiers nouvellement créés ?
(je suis encore en 10.4, et je ne peux vérifier moi-même)

Et quand on change un fichier de Session, l'umask change-t-il alors ?
Cliquez pour agrandir...

Mais pourquoi voudrais-tu que cela modifie des choses qui ne sont pas prévue ? :heu:

Le masque est normal. Les droits, c'est à toi de les modifier si tu le désires. C'est la même chose sur Tiger.

Ce qui est décrit dans le post de kidcreole ne l'est pas si on peut accéder aux dossiers Documents, Séquences, etc... depuis une session standard.

Transférer un fichier ou un dossier, en le clissant dans la boîte de dépôt par exemple ne change pas ses droits. Là aussi, c'est un comportement identique à ce qu'on a connu sur Tiger.
 
Bon, je viens de créer un nouveau compte pour lequel tout est nickel : les autres users ne peuvent accéder à ses dossiers et documents.
Etant donné que les comptes pour lesquels le problème s'est présenté viennent d'une migration Tiger vers Leopard (G4/500 mhz vers Imac Intel), il s'agit peut-être d'une défaillance dans Leopard.
Merci à tous pour votre aide.

Kidcreole
 
Moonwalker a dit:
Mais pourquoi voudrais-tu que cela modifie des choses qui ne sont pas prévue ? :heu:

Le masque est normal. Les droits, c'est à toi de les modifier si tu le désires. C'est la même chose sur Tiger.
Cliquez pour agrandir...

J'ai bien compris la fonction du masque. ;)

Ce que je te demandais, c'est à quoi correspond exactement la "fonction sur le disque d'installation de Leopard (du coté des reset mot de passe) pour rétablir les droits sur les comptes utilisateurs". :confused:
 
FrançoisMacG a dit:
J'ai bien compris la fonction du masque. ;)

Ce que je te demandais, c'est à quoi correspond exactement la "fonction sur le disque d'installation de Leopard (du coté des reset mot de passe) pour rétablir les droits sur les comptes utilisateurs". :confused:
Cliquez pour agrandir...
Ah! Ça.

C'est pour les ACL justement. Du coup, je suppose que ça rétablirait les droits sur les dossiers principaux (Documents, Séquences, etc.). J'évoquais la possibilité mais je n'ai jamais utilisé car je n'installe pas souk dans les droits d'accès de ma session. La question reste à éclaircir. ;)

Quoiqu'il en soit, je ne pense pas que cela agisse sur des dossiers que tu aurais créés et ajoutés dans ~/

Le problème de kidcreole vient de trouver son explication => migration Tiger/Leopard.
 
Pourtant il semble bien que le masque était déjà 0022 sous Tiger.
 
bompi a dit:
Pourtant il semble bien que le masque était déjà 0022 sous Tiger.
Cliquez pour agrandir...

Il y a parfois des choses étranges avec les droits lors de la migration. :rolleyes:

J'ai vécu cela avec Time Machine. Après récupération de l'ensemble de mon iMac, les droits sur Macintosh HD étaient passés de système-admin-everyone à système-wheel-everyone. :confused:
 
Moonwalker a dit:
J'ai vécu cela avec Time Machine. Après récupération de l'ensemble de mon iMac, les droits sur Macintosh HD étaient passés de système-admin-everyone à système-wheel-everyone. :confused:
Cliquez pour agrandir...

Idem pour moi après une restauration du Mac avec Time Machine: je viens de constater le même changement en cherchant à régler un autre problème. J'ai rajouté admin, et supprimé wheel.
 

Sujets similaires

brubru
macOS Sonoma Comment supprimer le message "Souhaitez-vous vraiment supprimer...."
Réponses
3
Affichages
433
macOS
brubru
brubru
Imperatrice Sissi
macOS Ventura C'est quoi "system, wheel, everyone". J'ai des problèmes de permissions.
Réponses
3
Affichages
2K
macOS
baron
B
furiet
10.15 Catalina partage de fichiers entre El Capitan et Catalina
Réponses
4
Affichages
1K
macOS
furiet
furiet
The Jibest
10.6 Snow Leopard Démarrage impossible suite à une modification des autorisations de toute la partition
Réponses
1
Affichages
598
macOS
The Jibest
The Jibest
L
10.13 High Sierra Impossible d'ouvrir le dossier “Library” (problème d'autorisation)
Réponses
11
Affichages
7K
macOS
duclorenzo
D
Haut Bas