[gull] [Résolu] sshfs - droits distant

Frederic Dumas f.dumas at ellis.siteparc.fr
Wed Nov 11 21:56:52 CET 2020 

Comme d'habitude, la vérité était ailleurs.


Pour définir un umask spécifique à un utilisateur donné, et qui 
s'appliquera à toutes ses connexions:

  - ssh (testé)
  - scp
  - sftp (testé)
  - sshfs (testé)


il faut:

  - ajouter le module pam_umask.so en tête de /etc/pam.d/sshd

    session optional pam_umask.so


  - ajouter l'umask désiré dans l'enregistrement GECOS de l'utilisateur

    chfn -o "umask=0113" username


Références: https://bbs.archlinux.org/viewtopic.php?id=248228
             http://blog.networkpresence.co/?p=5629


Et voilà le résultat, après quelques tests:

-rw-rw-r--  1 bot data-team    0 Nov 11 21:19  test113.sftp
drw-rwSr--  2 bot data-team 4.0K Nov 11 21:24  test113.dir.sftp
-rw-r--r--  1 bot data-team    0 Nov 11 15:51  toto.test
drw-rwSr--  2 bot data-team 4.0K Nov 11 19:34  toto113.dir.ssh
drw-rwSr--  2 bot data-team 4.0K Nov 11 20:59  toto113.dir.sshfs
-rw-rw-r--  1 bot data-team    0 Nov 11 20:58  toto113.sshfs
-rw-rw-r--  1 bot data-team    0 Nov 11 15:58  toto113.ssh


Tous les fichiers et dossiers créés le sont avec le même umask, quelque 
soit le moyen de connexion, sauf toto.test, créé avant l'application de 
la nouvelle config.

Le S sur le groupe signale le bit SETGID activé sur les dossiers, pour 
imposer à tout nouveau dossier ou fichier un groupe identique à celui de 
son répertoire parent. Ainsi, on s'assure que tout utilisateur membre du 
groupe peut faire le ménage dans les fichiers créés par n'importe quel 
autre utilisateur... pourvu que l'umask soit à 0113 !


C'est la lecture plus scrupuleuse du man de pam_umask qui m'a fait 
suivre la piste de l'enregistrement GECOS:


> The PAM module tries to get the umask value from the following 
> places in the following order:
> 
> •   umask= entry in the user's GECOS field
> •   umask= argument
> •   UMASK entry from /etc/login.defs (influenced by USERGROUPS_ENAB in /etc/login.defs)
> •   UMASK= entry from /etc/default/login


Super content que ça existe (Wikipedia dit que GECOS remonte aux années 
70, même si l'ajout de l'umask dans un de ses champs doit être plus 
récente) et étonné que ça ne soit pas plus couramment utilisé.


Bye,


--
Frederic Dumas
f.dumas at ellis.siteparc.fr

More information about the gull mailing list