due utenti su PC - rendere inaccessibile home primo utente

[Epoxi]

Buongiorno a tutti,


ho aggiunto un secodo utente al pc (saucy 64):
è possibile accedere al desktop con l'utente:
"carlo" (il mio - amministratore)
"eleonora" (il secondo - utente normale)
e l' "ospite"

Ora:
dall'utente "eleonora" è comunque possiblie accedere alla catella home di "carlo" (accedendo alla home di eleonora si può risalire di cartella e acceder poi alla cartella carlo, aprendo e vedcendo i flies (non ho controllato la possibilità di una loro modifica).
Io vorrei evitarlo e rendere la cartella /home/carlo inaccessibile all'utente "eleonora" durante la sua sessione (fare aprire e vedere solo la sua /home/eleonora).

Ho qualche timore a giocare con i permessi. qulacuno può darmi un consiglio prima di cimentarmi?

grazie in anticipo.

[steff]

Infatti, di default è così in ubuntu ma non dovrebbe essere (secondo me) così.
Dovresti risolvere con

Codice: Seleziona tutto

sudo chmod 700 /home/carlo

idem per gli altri account.

Ovviamente l'amministratore può entrare comunque nelle home degli altri, per questo non c'è verso, a parte usare la home cifrata.

[dadexix86]

Ciao!
Quello che ti consiglio innanzitutto di fare, visto che sei alle prime armi, è di creare un nuovo utente Amministratore con cui fare le prove, in modo che la home di quello vecchio non venga intaccata.

Chiamalo "pippo" e dagli i permessi di amministrazione (ovvero inseriscilo negli stessi gruppi di "carlo").
Poi, inizia a modificare i permessi dei vari file contenuti nella sua home.

In particolare ti consiglio di seguire questa guida di AskUbuntu http://askubuntu.com/a/46530/29595 .
Se non sai l'inglese, rispondi chiedendo e te la traduco senza problemi

@steff così facendo la cosa è retroattiva ma non per i nuovi file. Non bisognerebbe anche modificare il file /etc/profile aggiungendo l'umask?
Inoltre, sempre così facendo, non si sballano i permessi di ~/.dmrc, che vuole 6**?

[steff]

@steff così facendo la cosa è retroattiva ma non per i nuovi file. Non bisognerebbe anche modificare il file /etc/profile aggiungendo l'umask?
Inoltre, sempre così facendo, non si sballano i permessi di ~/.dmrc, che vuole 6**?

No, il comando è senza l'opzione -r cioè non recursivo quindi cambia solo i permessi per la cartella /home/utente, può entrare solo il proprietario.

[dadexix86]

Questo presenta però un problema.
È vero che non hai accesso alla cartella home dell'utente, ma puoi inserire in nautilus direttamente il percorso della sottocartella con i permessi vecchi (Ctrl+L, ad esempio /home/utente/Musica) per accederci senza passare dalla cartella /home/utente (che non puoi vedere).

Ho appena provato creando una cartella pippo, sottocartella pluto, file pippo.txt, tutto nella mia home.
Tutto di proprietà di root, poi ho chmod 700 solo la prima cartella.
Come puoi vedere in questa immagine, puoi bypassare la cartella (è Dolphin, ma poco cambia) e puntare direttamente alla sottocartella (che ha ancora i permessi originari, 755).

EDIT: un'ultima nota, il tuo metodo funziona bene con cd- In qualche modo il comando cd scorre ricorsivamente tutte le cartelle, quindi viene bloccato appena ne trova una a cui non può accedere.
Questa cosa non succede invece con i gestori di file "grafici".

[Wilson]

Il che è strano, perché il permesso di esecuzione delle cartelle dovrebbe servire proprio a determinare se si possono "saltare" o meno

ps: comunque i permessi sono facilmente aggirabili riavviando con una live: sarebbe molto meglio usare la home cifrata (facendo attenzione a non perdere la passwd, perché a quel punto i dati non si recuperano più).

[steff]

È vero che non hai accesso alla cartella home dell'utente, ma puoi inserire in nautilus direttamente il percorso della sottocartella con i permessi vecchi (Ctrl+L, ad esempio /home/utente/Musica) per accederci senza passare dalla cartella /home/utente (che non puoi vedere).

Ho appena provato creando una cartella pippo, sottocartella pluto, file pippo.txt, tutto nella mia home.

Non dovrebbe essere possibile e per prova ho fatto la stessa cosa (con dolphin che non ho nautilus)., e non posso vedere nulla delle sottocartelle... il x nei permessi sta per entrare in una cartella (se è una cartella, altrimenti per eseguibile) e se non puoi entrare in una directory non puoi neanche entrare nelle sue sottodirectory.

Però leggo sul wiki di arch che per escludere file manager grafici andrebbe tolto r non x, però io ho tolto entrambi e non posso entrare con dolphin.

[Wilson]

Se ho capito bene, la R permette di elencare i contenuti (letteralmente leggere la directory), mentre la x di accedere ai contenuti.

Quindi se hai la x ma non la r dovrebbe succedere quanto descritto da dadexix86 (dovrebbe essere configurata così qualche parte di /var, credo), mentre se hai la r ma non la x dovresti poter leggere l'elenco ma non poter aprire nulla, indipendentemente dai permessi dei singoli contenuti.

ps: come detto prima: ovviamente tutto ciò descrive solo il comportamento di un sistema che consideri quei permessi, con una live (o agendo come root) è tutto ignorato (o almeno aggirabile banalmente).

[dadexix86]

Mh... anche a me perplime, dopo un riavvio funziona come dovrebbe! (ovvero come descritto da steff)