Attention : Le /home des utilisateurs n’est pas privé sous Debian

By | 31 octobre 2013

Par défaut, sous Debian, les utilisateurs peuvent lire le répertoire personne (/home/user) des autres utilisateurs.

Pour faire le test:

  1. Créez un nouvel utilisateur « A », connectez vous avec lui, créez des nouveaux fichiers dans son home (/home/A).
  2. Connectez vous avec un autre utilisateur « B » et tenter de lire les nouveaux fichiers que vous avez créé dans /home/A. Ca marche !

La raison de ce comportement provient de la commande adduser, appelée pour créer un nouvel utilisateur, qui par défaut sous Debian configure le dossier des utilisateur en lecture pour tous ! De plus chaque fichier créer par un utilisateur est par défaut lisible par tous (facepalm)

Pour fixer ça , lancez # dpkg-reconfigure adduser et choississez Non

Pour vos compte utilisateurs existants, vous pouvez modifier les droits par :

# chmod 750 /home/userA

La question qui me reste sur les lèvres, c’est pourquoi ce réglage de merde par défaut ????

J'aime(0)Ferme-la !(0)

4 thoughts on “Attention : Le /home des utilisateurs n’est pas privé sous Debian

  1. antistress

    Salut, tu as regardé si le bogue était rapporté ou signalé sur les forums ?

    J'aime(0)Ferme-la !(0)
  2. Tuxicoman Post author

    C'est un comportement connu par l'équipe Debian et conservé pour garder le comportement historique.

    Des explications sont données sur http://www.debian.org/doc/manuals/securing-debian-howto/ch4.en.html § 4.11.13.1 Limiting access to other user's information

    J'aime(0)Ferme-la !(0)
  3. Aymeric

    Ensuite il ne faut pas se tromper de commande lors de la création d'un nouvel utilisateur : 'adduser' sera bien configuré, mais pas 'useradd' :D

    J'aime(0)Ferme-la !(0)
  4. Pingback: Dossier partagé entre utilisateurs sous Linux | Tuxicoman

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.