Comme d'habitude, la vérité était ailleurs.
Pour définir un umask spécifique à un utilisateur donné, et qui
s'appliquera à toutes ses connexions:
- ssh (testé)
- scp
- sftp (testé)
- sshfs (testé)
il faut:
- ajouter le module pam_umask.so en tête de /etc/pam.d/sshd
session optional pam_umask.so
- ajouter l'umask désiré dans l'enregistrement GECOS de l'utilisateur
chfn -o "umask=0113" username
Références: https://bbs.archlinux.org/viewtopic.php?id=248228
http://blog.networkpresence.co/?p=5629
Et voilà le résultat, après quelques tests:
-rw-rw-r-- 1 bot data-team 0 Nov 11 21:19 test113.sftp
drw-rwSr-- 2 bot data-team 4.0K Nov 11 21:24 test113.dir.sftp
-rw-r--r-- 1 bot data-team 0 Nov 11 15:51 toto.test
drw-rwSr-- 2 bot data-team 4.0K Nov 11 19:34 toto113.dir.ssh
drw-rwSr-- 2 bot data-team 4.0K Nov 11 20:59 toto113.dir.sshfs
-rw-rw-r-- 1 bot data-team 0 Nov 11 20:58 toto113.sshfs
-rw-rw-r-- 1 bot data-team 0 Nov 11 15:58 toto113.ssh
Tous les fichiers et dossiers créés le sont avec le même umask, quelque
soit le moyen de connexion, sauf toto.test, créé avant l'application de
la nouvelle config.
Le S sur le groupe signale le bit SETGID activé sur les dossiers, pour
imposer à tout nouveau dossier ou fichier un groupe identique à celui de
son répertoire parent. Ainsi, on s'assure que tout utilisateur membre du
groupe peut faire le ménage dans les fichiers créés par n'importe quel
autre utilisateur... pourvu que l'umask soit à 0113 !
C'est la lecture plus scrupuleuse du man de pam_umask qui m'a fait
suivre la piste de l'enregistrement GECOS:
The PAM module tries to get the umask value from the following
places in the following order:
• umask= entry in the user's GECOS field
• umask= argument
• UMASK entry from /etc/login.defs (influenced by USERGROUPS_ENAB in
/etc/login.defs)
• UMASK= entry from /etc/default/login
Super content que ça existe (Wikipedia dit que GECOS remonte aux années
70, même si l'ajout de l'umask dans un de ses champs doit être plus
récente) et étonné que ça ne soit pas plus couramment utilisé.
Bye,
--
Frederic Dumas
[email protected]
_______________________________________________
gull mailing list
[email protected]
https://forum.linux-gull.ch/mailman/listinfo/gull
