PARTAGE et PERMISSIONS

dedelacrapule

Membre enregistré
3 Septembre 2007
5
0
Bonjour

Je travail dans le secteur public avec un MAC pro - mac Os 10.8.5.

J'ai une sécession prénom-nom avec des droits administrateur. Il y a aussi une sécession admin qui est aussi administrateur.

Mon chef pendant mes absences, avec la sécession "Admin" vient sur mon poste de travaille :mouais: et fouille dans tout mes dossiers même celui qui est nommé "Dossier Personnel de Nom":mad:. Afin de me mettre en difficulté ce dernier fait même disparaitre des mails, des fichiers de certain dossier important :mad:.

Comment puis-je faire pour me protéger et lui bloquer l'accès à certains dossiers?

Merci pour votre aide

Dédé
 
si vous etres tous les deux admis c'est difficile
la seule chose que tu puisses faire c'est crypter dans des containers verrouillés par mot de passe
mais même là ca n'empêchera pas un admi fouineur de jeter ces containers ( même sans les ouvrir)
et je ne plaisanterai pas trop avec ce genre de choses etant donné que quasi toute structure a des chartes ou réglements d'utilisation des machines à usage professionnel
( qui peut faire quoi etc etc)
dans certains cas contrevenir entraine sanctions, certaines assez mahousses ( du genre " viré pour faute")
 
@Pascal: Effectivement le cryptage est une solution mais je ne peux pas le faire car de la charte Informatique de mon établissement me l'interdit. Mais la charte interdit aussi d'aller fouiner dans un dossier étiqueté "personnel".
 
Mais la charte interdit aussi d'aller fouiner dans un dossier étiqueté "personnel".
et bien dans ce cas agir par rapport au comportement hors charte du chef
bon , concretement ca pourrait aussi avoir comme conséquence que tu finisses dans un service placard ou avec une "promo"( pour action éthique)....pas terrible
 
Vu le contexte : Rien de perso sur le Mac professionnel!
Comme ça pas d'embrouille...
surtout que dans la plupart des cas les directions ( ou service informatique) ont le droit de fouiner le materiel pro des employés mis à leur disposition par l'employeur pour ...travailler
(c'est parfois ecrit en tout petit en alinéa 2478 B...)
 
Il y a un détail qui me chiffonne : une session admin ne peut pas fouiner dans une autre session, ni en virer des éléments (il n'y a que le compte Root qui puisse le faire).
Ou alors, il faut connaître le mot de passe de la session qu'on veut violer (ou pouvoir profiter de l'ouverture de la session par un propriétaire oublieux de la fermer/verrouiller en quittant le Mac).

Je ne sais pas si une seconde session admin peut se connecter en Root une fois qu'un mot de passe a été choisi par une première session admin (il est probable que la seconde puisse effacer le mot de passe de la première puis en déterminer un nouveau),
mais se connecter en Root permet de changer le mot de passe de la session violée.


Certes, si le Mac est en réseau, les administrateurs du réseau ont accès à tout
(mais ceux-là savent normalement que la loi interdit à l'employeur d'ouvrir un dossier portant la mention Personnel).
 
:coucou: François.

Pour ma part, ce que j'aimerais savoir c'est : comme Dédé sait-il que son chef (qui a lui-même une session-admin sur le Mac Pro et dont, par conséquent, l'utilisation du Mac n'est pas suspecte en soi puisque ce n'est pas un ordinateur réservé à un seul utilisateur) fouine dans les dossiers de sa session-admin perso à l'occasion de ses séances devant le Mac? Par conjecture inductive (ce fichier a disparu de mon dossier - comme ce n'est pas moi le responsable, ce ne peut être que l'autre)? Par attestation entre quatre_z_yeux (moi, ton chef, j'ai été voir dans ton dossier etc.)?

Il y a un détail qui me chiffonne : une session admin ne peut pas fouiner dans une autre session, ni en virer des éléments (il n'y a que le compte Root qui puisse le faire).
Ou alors, il faut connaître le mot de passe de la session qu'on veut violer (ou pouvoir profiter de l'ouverture de la session par un propriétaire oublieux de la fermer/verrouiller en quittant le Mac).

Je ne sais pas si une seconde session admin peut se connecter en Root une fois qu'un mot de passe a été choisi par une première session admin (il est probable que la seconde puisse effacer le mot de passe de la première puis en déterminer un nouveau),
mais se connecter en Root permet de changer le mot de passe de la session violée.

Je te confirme qu'un admin, à partir de sa session, peut lancer l'«Utilitaire d'annuaire» (/Système/Bibliothèque/CoreServices), s'authentifier comme admin par son mot-de-passe, et à partir de là, au menu 'Édition', sélectionner le sous-menu : 'Modifier le mot-de-passe root' et accéder à la fenêtre de saisie suivante :

298558_original.png

Comme tu le constates, pas besoin d'avoir connaissance du mot-de-passe root actif pour le modifier, il suffit de saisir simplement un nouveau mot-de-passe (ça se passe comme dans la 'Recovery HD', pour modifier le mot-de-passe d'un compte de l'OS : pas bessoin de connaître l'ancien).

À partir d'une session root ouverte, il suffit alors comme tu le dis d'aller au répertoire /Utilisateurs, pour


  • entrer dans le répertoire global de n'importe quel autre utilisateur (ce qui est possible à tous sous les OSX récents, car le répertoire est en 755, afin qu'un membre du staff ou même n'importe qui puisse théoriquement avoir accès au dossier 'Public') ;

  • mais ce qui change, c'est que les sous-répertoires de l'utilisateur (= 'Documents', 'Images', 'Desktop' etc.) qui, normalement, portent le sens interdit pour quiconque n'est pas le propriétaire => permissions en 700, à part le dossier 'Public' d'accès ouvert en lecture à staff et everyone = 755 - pour root sont l'équivalent de ses propres dossiers (en permissions rwx consignées nulle part).

❊​

Mais il n'est en rien obligé de passer par une session graphique root pour pouvoir fouiller dans les dossier d'un autre utilisateur-admin. Car, étant donné que les dossiers verrouillés portent des permissions --- (0) pour le groupe par défaut qui est staff, il suffit dans le «Terminal» de commander :

Bloc de code:
sudo chmod 770 /Users/dedelacrapule/Desktop

par exemple, et son dossier 'Desktop' devient consultable en clair et éditable pour un membre du staff, càd. un 'ayant_compte' quelconque (du groupe restreint admin, néanmoins ici, pour avoir pu passer la commande sudo). Après quoi un :

Bloc de code:
sudo chmod 700 /Users/dedelacrapule/Desktop

rétablit ni vu ni connu le sens interdit pour staff sur le dossier.

❈

[☞ d'où la question (facétieuse) : le chef préfère-t-il GUI ou commande? Tennis ou écriture? Session root ou «Terminal»? (NB. Un logiciel comme «PathFinder» permet les même manœuvres que dans le «Terminal» par des biais plus graphiques : d'où question subsidiaire : le chef utilse-t-il «PathFinder»?]

❉
 
Dernière édition par un modérateur:
Il y a encore bien plus simple.
Dans le Terminal, taper
Bloc de code:
sudo -s
On est alors dans un shell ouvert pour le compte root et faire ce que l'on veut.

Petites précisions :
a) le compte root existe nécessairement ; c'est un fondement du système donc : il est là.
b) par défaut, il ne peut être utilisé pour ouvrir une session en mode graphique, pour deux raisons : on ne lui a pas attribué de mot de passe (mode texte) et le système bloque une session graphique root.

Ainsi, "activer le compte root" est généralement employé dans un sens impropre. Le compte root est actif. On ne peut cependant pas l'utiliser directement.

Quant à l'utilisation de sudo : il permet de passer outre ces limitations et d'ouvrir un shell en tant que root.