régler finement les permissions sur un DD externe

[fabrice]

Bonjour,
Je suis sur un Mac Pro OS 10.6.8, avec plusieurs disques internes, et deux comptes, un administrateur, et un standard.
Ce que je veux faire, c'est interdire l'accès du compte "standard' à des dossiers qui se trouvent sur les disques internes. Pour le disque de démarrage, c'est simple, les dossiers du compte admin sont interdits d'accès au compte standard.
Pour les autres disques internes, il n'est pas possible de régler les accès par la fenêtre d'infos sur le disque à partir du finder. En effet, pour les autres utilisateurs possédant un compte, l'accès le plus restrictif proposé est "lecture seule". J'ai trouvé une solution plus fine en utilisant le terminal. Il suffit avec la commande "cd" d'aller se positionner sur le répertoire du disque contenant les dossiers à interdire, et de faire la command "chmod 700" sur ces dossiers. Cela retire tous les droits aux utilisateurs faisant partie du groupe et à tous les autres ("g" et "o" en unix). A partir de là, les dossiers en question sont bien interdits en lecture / écriture quand on se logue sur le compte standard. Il y a le petit signe "interdit" sur les icones des dossiers.
J'ai donc essayé de faire la même chose sur un disque externe HFS+ connecté en Firewire. Mais cela ne marche pas. Supposons que l'on ait monté le disque sur la session du compte standard, et que l'on bascule sur une session de l'autre compte, alors le contenu des dossiers restent visibles, malgré les droits d'accès mis en "700".
Quelqu'un a une explication de ce comportement différent entre disques internes et externes, et surtout une solution pour aboutir à ce que je veux faire ?

 

[Anonyme]

En effet, pour les autres utilisateurs possédant un compte, l'accès le plus restrictif proposé est "lecture seule".

Bonsoir,

à tout hasard : tu ne peux pas supprimer l'utilisateur standard, dans la liste ?

Sélection et clic sur "-" ?
Avec everyone en accès interdit.

(je n'ai pas de config identique pour tester, alors désolé si la réponse n'apporte rien)

 

[fabrice]

Non, cela ne marche pas, mais tu m'as fait progresser dans la compréhension du problème.

Ce qui se passe pour les DD internes comme externes, c'est que le propriétaire (le "u" unix) devient "standard" à la place de "admin" quand on passe sur la session standard. Et donc on ne peut pas le supprimer dans la fenêtre finder des permissions. (je pense que l'autre compte passe alors dans le groupe "staff").
Par contre, quand on regarde les infos des dossiers interdits sur les disques internes, on ne voit pas la fenêtre d'info standard, mais une fenêtre où tout est grisé dans la section permissions, avec le message "ce disque dispose de préférences personnalisées" ou qq chose d'approchant. Et c'est cela qui empêche le compte "standard" de bidouiller ces dossiers.
Par contre, cela n'est pas le cas sur le disque externe, malgré la modification des permissions avec chmod.
J'ai donc l'impression que c'est au moment du montage du disque, qu'il se passe quelque chose de différent sur les disques internes et externes. Peut-être quelque chose fait au moment du formattage des disques.

 

[FrançoisMacG]

Staff est le groupe qui contient tous les utilisateurs du Mac : admin comme standard.

Le propriétaire affiché d'un disque externe est l'utilisateur de la session : il peut y lire et y écrire.

Les disques externes de data ont une option qui permet d'Ignorer les permissions de ce volume (dans les permissions en bas des Informations).

On peut verrouiller les autorisations d'un disque externe, ou de certains de ses dossiers, avec la commande :
chfags uchg /chemin/de/l'élément (ça donne un accès Personnalisé),
mais on les déverrouille presqu'aussi aisément avec sudo chflags nouchg.

Le mieux sur un disque externe me semble être une image-disque chiffrée (qu'on réalise avec Utilitaire de Disque) : on y enferme parfaitement ses fichiers confidentiels.

Et en 10.8, FileVault permet de chiffrer tout le disque.

 

[fabrice]

Merci pour tes indications, qui m'ont fait progresser. Voici ce que j'ai trouvé :
- jouer sur la prise en compte ou pas des autorisations ne mène à rien, car effectivement quand le disque monte, le "user" devient le compte loggé
- avec chflags uchg, cela verrouille les modifications d'un dossier, y compris pour l'utilisateur qui a lancé la commande, mais cela n'empêche pas d'ouvrir les dossiers et sous-dossiers par l'utilisateur loggé (que ce soit admin ou standard), en fait il faudrait trouver une commande qui verrouille le propriétaire du dossier à un nom d'utilisateur précis, et pas sur les autorisations "ugo" habituelles
- par contre j'ai trouvé une solution partielle avec chflags hidden, qui a défaut de verrouiller l'accès, dissimule le dossier (non visible dans le finder). Et c'est plus pratique que la solution qui consiste à renommer "dossier" en ".dossier" avec la commande mv
- la solution image disque, j'y ai pensé, mais ce n'est pas très pratique quand il s'agit de gros volumes de données
- filevault : oui, c'est sûrement le mieux, mais j'ai un peu peur du bug qui rendrait les données innacessibles

 

[FrançoisMacG]

Choisis une image-disque de faible densité (.sparsebundle) : elle ne pèsera rien au départ, et elle grossira au fur et à mesure que tu la rempliras.
Et quand tu détermineras le mot de passe dans ton Utilitaire de Disque, demande à l'enregistrer dans ton Trousseau d'accès : le déverrouillage se fera automatiquement au double-clic dans ta session.


chflags hidden ne fait que rendre invisible, et ne verrouille pas l'accès.