Attention : Le /home des utilisateurs n’est pas privé sous Debian

Par défaut, sous Debian, les utilisateurs peuvent lire le répertoire personne (/home/user) des autres utilisateurs.

Pour faire le test:

  1. Créez un nouvel utilisateur « A », connectez vous avec lui, créez des nouveaux fichiers dans son home (/home/A).
  2. Connectez vous avec un autre utilisateur « B » et tenter de lire les nouveaux fichiers que vous avez créé dans /home/A. Ca marche !

La raison de ce comportement provient de la commande adduser, appelée pour créer un nouvel utilisateur, qui par défaut sous Debian configure le dossier des utilisateur en lecture pour tous ! De plus chaque fichier créer par un utilisateur est par défaut lisible par tous (facepalm)

Pour fixer ça , lancez # dpkg-reconfigure adduser et choississez Non

Pour vos compte utilisateurs existants, vous pouvez modifier les droits par :

# chmod 750 /home/userA

La question qui me reste sur les lèvres, c’est pourquoi ce réglage de merde par défaut ????

4 thoughts on “Attention : Le /home des utilisateurs n’est pas privé sous Debian

  1. Aymeric

    Ensuite il ne faut pas se tromper de commande lors de la création d’un nouvel utilisateur : ‘adduser’ sera bien configuré, mais pas ‘useradd’ :D

Laisser un commentaire