IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Administration système Discussion :

Question de sécurité la commande umask :


Sujet :

Administration système

  1. #1
    Membre du Club
    Homme Profil pro
    Ingénieur
    Inscrit en
    Avril 2020
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur
    Secteur : Conseil

    Informations forums :
    Inscription : Avril 2020
    Messages : 88
    Points : 48
    Points
    48
    Par défaut Question de sécurité la commande umask :
    Bonjour,

    La commande umask -print permet d'afficher le mask des droits.
    Par défaut cette valeur vaut 002
    Les droits des fichiers ordinaire sont 666 à la création - 002 = 644
    Les droits des fichiers répertoire sont 777 à la création - 002 = 774
    J'aimerai changer de façon pérenne la valeur de umask = 066 pour des raisons de sécurité.
    Soit :
    - pour un fichier ordinaire 666 - 066 = 600
    - pour un répertoire 777 - 066 = 711
    Cela me semble beaucoup plus pertinent.

    J'ai cherché sur internet, ils disent qu'on ne peut pas changer de façon pérenne la valeur de umask ?
    Y a pas un petit moyen de contournement ?
    Je croyais qu'on avait le contrôle total sur un système linux ?

    Merci pour vos réponses.

  2. #2
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 822
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 822
    Points : 44 116
    Points
    44 116
    Par défaut
    c'est dans /etc/logins.def

  3. #3
    Expert éminent sénior
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    Juillet 2012
    Messages
    1 518
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : Juillet 2012
    Messages : 1 518
    Points : 11 360
    Points
    11 360
    Par défaut
    Citation Envoyé par chrtophe Voir le message
    c'est dans /etc/logins.def
    C'est nécessaire mais non suffisant d'après Red-Hat * :

    26. Managing the umask

    26.1. Displaying the current value of the umask
    26.2. Displaying the default bash umask
    26.3. Setting the umask using symbolic values
    26.4. Setting the umask using octal values
    26.5. Changing the default umask for the non-login shell
    26.6. Changing the default umask for the login shell
    26.7. Changing the default umask for a specific user
    26.8. Setting default permissions for newly created home directories
    You can change the permission modes for home directories of newly created users by modifying the /etc/login.defs file (.../...)
    Source : Chapter*26.*Managing the umask Red Hat Enterprise Linux 8 | Red Hat Customer Portal

    * A vérifier si les commandes et emplacements sont les mêmes pour la famille Ubuntu-Debian par exemple


    Citation Envoyé par zephyre Voir le message
    Je croyais qu'on avait le contrôle total sur un système linux ?
    Oui mais c'est vite fait de faire "n 'importe quoi" et de se retrouver en carafe même pour des experts; prends le temps d'étudier les documentations de type « hardening Linux » comme conseillé ci-dessous :
    File permissions

    Each file is assigned an owner and a group and a set of file permissions. The Linux kernel uses file permissions as a first layer to see if a user is granted access to a particular file or directory. It also defines what type of access is granted, such as read-only access or more. Although there are several combinations possible, it is not fine-grained. To define a more detailed kind of access, file ACLs can be used.

    • Grant access to normal files with 640 and 750 for directories, or more strict.
    • Don't use chmod 777
    Source : Linux security and system hardening checklist - Linux Security Expert

  4. #4
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 822
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 822
    Points : 44 116
    Points
    44 116
    Par défaut
    C'est nécessaire mais non suffisant, ci-après la revue complète par Red-Hat *
    Honnêtement je sais pas, jamais utilisé.
    il y a bien un /etc/login.def dans Debian.

  5. #5
    Membre éprouvé
    Homme Profil pro
    Architecte cybersécurité
    Inscrit en
    Avril 2014
    Messages
    500
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Architecte cybersécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2014
    Messages : 500
    Points : 1 167
    Points
    1 167
    Par défaut
    Hello,

    En vérité, il y a 99.99999% de chances que ton umask soit géré par PAM, peu importe ta distribution (Redhat/Debian...)

    https://linux.die.net/man/8/pam_umask

    Redhat parle en effet dans le lien de changer l'umask via le shell mais c'est beaucoup moins professionnel que via PAM

Discussions similaires

  1. [Sécurité] question de sécurité
    Par aymen85 dans le forum Langage
    Réponses: 6
    Dernier message: 26/06/2007, 17h56
  2. [Sécurité] Question de sécurité
    Par jc_cornic dans le forum Langage
    Réponses: 5
    Dernier message: 22/12/2006, 10h27
  3. Réponses: 5
    Dernier message: 22/09/2006, 04h13
  4. [Sécurité] Diverses questions de sécurité
    Par altadeos dans le forum Langage
    Réponses: 3
    Dernier message: 07/08/2006, 01h09
  5. Question difficile.(sécurité ACCESS)
    Par Jahprend dans le forum Sécurité
    Réponses: 11
    Dernier message: 09/06/2006, 16h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo