Problèmes d'autorisations

[Macoupc]

edit : Bon, je me suis plongé plus longuement dans les posts la citation macfixit plombe tout quand même)
et j'ai réussi à obtenir ça dans le terminal sur un fichier "bloqué" dans le dossier "documents"

CODE

MBP:~ yoann$ ls -l /Users/yoann/Documents/arbre\ de\ ouf.png
-rwxrwxr-x@ 1 yoann  yoann  1429711 14 déc  2006 /Users/yoann/Documents/arbre de ouf.png

Sachant que je ne veux pas faire de dégâts dans mon système, est-ce que qu'une bonne âme pourrait me guider un peu plus ? Je ne vois pas dans quel "groupe" je suis... Il me semble que c'est "yoann"

CODE

MBP:~ yoann$ dscl . -read Groups/yoann
AppleMetaNodeLocation: /Local/Default
GeneratedUID: 794D038D-FAE3-4FBC-80DB-49A299CF91CE
Password: *
PrimaryGroupID: 501
RecordName: yoann
RecordType: dsRecTypeStandard:Groups
MBP:~ yoann$

après je suis paumé,

CODE

-bash: syntax error near unexpected token `('

Merci de votre aide

Ce message a été modifié par Macoupc - 15 Nov 2007, 15:05.

[footix82]

Voila j'ai fait des captures d'écran que voici :




Dans le dernier terminal, sur le ls -l je ne sait pas comment supprimer le "+" (-rwxr-x---+ 1 footix footix ...) qui me demande les mots de passe pour déplacer supprimer.

[footix82]

...

Ce message a été modifié par footix82 - 21 Nov 2007, 09:35.

[darenzana]

@footix82: le '+' indique que des droits étendus (autorisations ou interdictions) sont appliqués. Avant d'essayer de les supprimer, il faut savoir ce que sont ces droits. Pour les lister, il faut utiliser la commande 'ls -le comme je l'ai demandé colle le résultat ici, et on va réfléchir à la légitimité de ces droits.

@Macoupc: le groupe propriétaire du fichier "/Users/yoann/Documents/arbre de ouf.png" est 'yoann' d'après le résultat de ta première commande.
Au vu du résultat de ta 2eme commande, l'enregistrement du groupe 'yoann' n'a pas de clef "RealName", ce qui explique pourquoi le Finder t'indique (Inconnu) dans les propriétés de ce fichier.
Pour corriger le problème, il faut donc ajouter la clef RealName aux informations du groupe, en utilisant la commande:

CODE

sudo dscl . -create Groups/yoann RealName yoann

[footix82]

Hello,

Après avoir récupéré la propriété de mes fichiers avec un chown récursif, j'ai essayé de changer les droits pour ne plus à avoir à mettre un mot de passe à chaque déplacement/suppression de répertoire (les fichiers sont ok). Tous mes fichiers (répertoires compris) ont mon compte en lecture/écriture, nobody en écriture seulement (boite de dépôt) et everyone en accès interdit.

J'ai donc fait un man chmod pour arriver à la commande

CODE

sudo chmod -a "group:everyone deny, delete" lenomdurepertoire

et je n'ai plus de pb sur le répertoire. Je cherche donc à savoir d'une part si c'est propre et si oui comment rendre la commande récursive, car j'ai pas trouvé.

Ci-dessous l'exemple d'un ls -le sur un dossier, que je croyais avoir posté...



J'en déduis qu'il faut un truc du genre chmod +a "group:footix allow delete, write, read" lenomdurepertoire ?

Merci pour ton aide !

Footix

Ce message a été modifié par footix82 - 23 Nov 2007, 13:07.

[darenzana]

Ok, j'ai compris ton problème, et je pense avoir trouvé la cause.

Le probleme: Comme tu l'as remarqué, il y a, sur tous tes fichiers et répertoires, une ACL "everyone deny delete", qui indique que personne, ni meme le propriétaire du fichier, ne peut effacer ce fichier ou répertoire.

La cause: Cette ACL est normalement positionnée uniquement sur les répertoires suivants, dans le répertoire home de chaque utilisateur : Desktop, Documents, Dowloads, Library, Movies, Music, Pictues, Sites, et le home lui-même. C'est probablement un "garde-fou" mis en place pour que l'utilisateur n'efface pas un de ces répertoires essentiels lors d'une fausse manipulation. Je suppose que tu as utilisé la fenêtre infos du Finder pour modifier les permissions sur un de ces répertoires, et utilisé l'option "Appliquer aux éléments inclus". J'ai fait le test, dans ce cas le Finder "recopie" bêtement les droits du répertoire sélectionné à l'ensemble des fichiers et répertoires contenus, donc tout le monde se retrouve avec un "everyone deny delete", ne permettant plus qu'aux administrateurs d'effacer ces fichiers.

Pour résoudre le problème, la comande que tu proposes peut marcher, mais il vaut mieux supprimer l'ACL "deny delete" la ou elle est inutile, ce qui te rendra effectivement le droit de faire ce que tu veux des fichiers qui t'appartienent

Donc je te propose la commande suivante:
Dans le terminal, tappes "cd" sans arguments, pour te placer a la racine de ton home.
ensuite, on va utiliser chmod en mode recursif pour supprimer l'ACL qui nous embête, sur l'ensemble du contenu de ton home:

CODE

chmod -R -a "everyone deny delete" .

ce qui signifie:
-a on supprime une entrée de l'ACL
everyone deny delete l'entree a supprimer
-R mode récursif: appliquer au répertoire en argument, et a tous ses sous répertoires.
. le répertoire auquel appliquer le chmod '.' est le répertoire courant.

edit : en fait il faut utiliser find pour passer dans tous les répertoires :

CODE

find . -exec chmod -a "everyone deny delete" {} \;

Ensuite, on va re-postionner l'ACL "deny delete" sur le répertoire home et Desktop, Documents, etc. Ce n'est pas obligatoire, c'est juste pour remettre en place le "garde-fou" mis en place par Mac OS à la base:

CODE

chmod +a "everyone deny delete" .
chmod +a "everyone deny delete" Desktop

et ainsi de suite avec les autres répertoires que j'ai donné plus haut.

Normalement, les fichiers et répertoires t'appartiennent tous, donc tu ne devrais pas avoir à utiliser "sudo".

Ce message a été modifié par darenzana - 4 Feb 2008, 22:57.

[Rigodon]

Alors oui il y a un problème en cas de mise à jour(ou archiver et installer) vers leopard. C'est à dire que le groupe d'un utilisateur est 20 ou staff maintenant. Donc tous les groupes 501 donc nom_user créés par Tiger apparaissent comme inconnus.

Pour changer ça, il faut aller dans comptes, puis clique droit sur le nom d'utilisateur, puis changer le numéro du groupe pour 20.

Après on exclut ses disques durs dans spotlight et on tape dans le terminal:

CODE

sudo find . -group 501 -exec chgrp 20 {} \;

À la place du point on peut mettre le dossier /Applications par exemple. Le point signifie que la recherche part du répertoire courant.

On le laisse bosser jusqu'au retour du prompt.

Ce message a été modifié par Rigodon - 25 Nov 2007, 21:29.

[darenzana]

Rigodon, non, pas forcément. Relis l'ensemble du fil, j'ai tout expliqué en long, en large, et en travers.

[Rigodon]

Oui ta méthode est bonne aussi ou complémentaire mais dans la mesure ou Leopard après une clean install place les utilisateurs dans staff, je préfère le truc de macfixit.

[darenzana]

Oui, d'accord, je n'avais pas lu la partie 'changer le numéro de groupe pour 20'.

[Rigodon]

On a parfois un @ à côté des droits d'un fichier ou dossier avec la commande ls -l . Je sais que le + c'est pour les ACL.
J'aimerai savoir pourquoi, si tu le sais je suis preneur ?

Ce message a été modifié par Rigodon - 24 Nov 2007, 17:55.

[jujuhtst]

Un fil instructif là :
http://discussions.apple.com/thread.jspa?messageID=5929881
(en anglais ...)

[darenzana]

le @ indique que le fichier a des attributs étendus. On peut voir les attributs avec ls -l@ et ls -lO , et voir leur contenu avec xattr.

[Rigodon]

Merci ! il affiche com.apple.finderinfo mais je ne sais pas à quoi ça correspond.

[Macoupc]

Alors oui il y a un problème en cas de mise à jour(ou archiver et installer) vers leopard. C'est à dire que le groupe d'un utilisateur est 20 ou staff maintenant. Donc tous les groupes 501 donc nom_user créés par Tiger apparaissent comme inconnus.

Pour changer ça, il faut aller dans comptes, puis clique droit sur le nom d'utilisateur, puis changer le numéro du groupe pour 20.

Après on exclut ses disques durs dans spotlight et on tape dans le terminal:

CODE

sudo find . -group 501 -exec chgrp 20 {}\;

À la place du point on peut mettre le dossier /Applications par exemple. Le point signifie que la recherche part du répertoire courant.

On le laisse bosser jusqu'au retour du prompt.

Avec ta solution, en laissant 501 pour l'identifiant utilisateur et en mettant 20 pour l'identifiant du groupe, ça me met dans le terminal

CODE

find: -exec: no terminating ";" or "+"

Tout ça c'est du chinois pour moi... Dès que je me mets à ces problèmes, j'y passe des heures pour ne pas aboutir...

@Macoupc: le groupe propriétaire du fichier "/Users/yoann/Documents/arbre de ouf.png" est 'yoann' d'après le résultat de ta première commande.
Au vu du résultat de ta 2eme commande, l'enregistrement du groupe 'yoann' n'a pas de clef "RealName", ce qui explique pourquoi le Finder t'indique (Inconnu) dans les propriétés de ce fichier.
Pour corriger le problème, il faut donc ajouter la clef RealName aux informations du groupe, en utilisant la commande:

CODE

sudo dscl . -create Groups/yoann RealName yoann

Merci pour ta solution mais la commande n'aboutit sur rien, les autorisations du fichier "arbre de ouf" ne changent pas...

[jujuhtst]

Tout ça c'est du chinois pour moi... Dès que je me mets à ces problèmes, j'y passe des heures pour ne pas aboutir...

C'est ça :

CODE

sudo find . -group 501 -exec chgrp 20 {} \;

Attention à l'espace entre "}" et "\"

Par contre faut bien être sûr que le groupe est 501, car chez moi c'était 502 ...

[Rigodon]

Tout ça c'est du chinois pour moi... Dès que je me mets à ces problèmes, j'y passe des heures pour ne pas aboutir...

C'est ça :

CODE

sudo find . -group 501 -exec chgrp 20 {} \;

Attention à l'espace entre "}" et "\"

Par contre faut bien être sûr que le groupe est 501, car chez moi c'était 502 ...

Oui désolé pour l'espace, et 501 c'est pour le premier utilisateur créé, après il faut incrémenter de 1.

[footix82]

Donc je te propose la commande suivante:
Dans le terminal, tappes "cd" sans arguments, pour te placer a la racine de ton home.
ensuite, on va utiliser chmod en mode recursif pour supprimer l'ACL qui nous embête, sur l'ensemble du contenu de ton home:

CODE

chmod -R -a "everyone deny delete" .

ce qui signifie:
-a on supprime une entrée de l'ACL
everyone deny delete l'entree a supprimer
-R mode récursif: appliquer au répertoire en argument, et a tous ses sous répertoires.
. le répertoire auquel appliquer le chmod '.' est le répertoire courant.

Ensuite, on va re-postionner l'ACL "deny delete" sur le répertoire home et Desktop, Documents, etc. Ce n'est pas obligatoire, c'est juste pour remettre en place le "garde-fou" mis en place par Mac OS à la base:

CODE

chmod +a "everyone deny delete" .
chmod +a "everyone deny delete" Desktop

et ainsi de suite avec les autres répertoires que j'ai donné plus haut.

Normalement, les fichiers et répertoires t'appartiennent tous, donc tu ne devrais pas avoir à utiliser "sudo".

Merci pour ta réponse

J'ai fait la commande pour supprimer l'ACL mais il me répond qu'il n'y a pas d'ACL présent...

chmod:no ACL present

et cela que je me place sur home, Documents, Séquences, ..., ou sur un dossier perso
d'ailleurs chose encore plus bizarre si je mets la commande pour un seul répertoire il me met le même message mais supprime l'ACL, alors que dans le cas du récursif il ne fait rien !

Enfin c'est bizarre...

Footix

[Macoupc]

Tout ça c'est du chinois pour moi... Dès que je me mets à ces problèmes, j'y passe des heures pour ne pas aboutir...

C'est ça :

CODE

sudo find . -group 501 -exec chgrp 20 {} \;

Attention à l'espace entre "}" et "\"

Par contre faut bien être sûr que le groupe est 501, car chez moi c'était 502 ...

Sans espace :

CODE

MBP:~ yoann$ sudo find . -group 501 -exec chgrp 20 {}\;
Password:
find: -exec: no terminating ";" or "+"
MBP:~ yoann$

Je crois que c'est bon pour 501 et pas 502 car il n'y a qu'un utilisateur

[jujuhtst]

Sans espace :

Il en faut justement un !

Je crois que c'est bon pour 501 et pas 502 car il n'y a qu'un utilisateur

Pas forcément, par exemple si un utilisateur a été viré (le cas sur ma machine)

[Macoupc]

Sans espace :

Il en faut justement un !

Ok j'avais essayé mais c'était peut être sans espace la première fois, j'ai corrigé la correction...
Maintenant ça marche, "inconnu" est passé à "staff" mais l'exemple que j'avais pris, dans les documents n'est toujours pas jetable à la poubelle si facilement... Il faut toujours faire un code.

[Rigodon]

ça vient du "everyone deny delete" donc c normal.
chmod -a "everyone deny delete" foldername

[Macoupc]

ça vient du "everyone deny delete" donc c normal.
chmod -a "everyone deny delete" foldername

C'est à dire ? Je tape ça dans le terminal pour régler le problème ?

[Rigodon]

Oui tu peux voir les ACL avec :

CODE

ls -le

Si tu vois des everyone deny delete c'est qu'une acl t'empêche d'effacer un dossier.
donc pour supprimer l'acl du dossier Documents par exemple(il faut respecter les majuscules dans les dossiers) :

CODE

sudo chmod -a "everyone deny delete" Documents

Ce message a été modifié par Rigodon - 27 Nov 2007, 00:28.

[Macoupc]

Oui tu peux voir les ACL avec :

CODE

ls -le

Si tu vois des everyone deny delete c'est qu'une acl t'empêche d'effacer un dossier.
donc pour supprimer l'acl du dossier Documents par exemple(il faut respecter les majuscules dans les dossiers) :

CODE

sudo chmod -a "everyone deny delete" Documents

Merci !!! De traduire tous ces codes très obscurs encore.
Je peux enfin disposer de mes fichiers dans le dossier "Documents"
Les ACL, c'est les trucs impossibles à réparer avec une réparation des autorisations ?

Voilà ce que me donne la commande

CODE

ls -le

CODE

MBP:~ yoann$ ls -le
total 88
drwxrwxr-x+  43 yoann  staff   1462 26 nov 14:32 Desktop
0: group:everyone deny delete
drwxrwxr-x  325 yoann  staff  11050 27 nov 00:47 Documents
drwxrwxr-x+  12 yoann  staff    408 26 nov 13:41 Downloads
0: group:everyone deny delete
-rwxrwxr-x@   1 yoann  staff      0 31 oct 23:25 Icon?
drwxrwxr-x+  44 yoann  staff   1496 17 nov 01:41 Library
0: group:everyone deny delete
drwxrwxr-x@  39 yoann  staff   1326 19 nov 21:55 Malaquais
0: user:yoann allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity
drwxrwxr-x@  41 yoann  staff   1394 15 nov 14:33 Movies
0: group:everyone deny delete
drwxrwxr-x+   9 yoann  staff    306 12 nov 00:47 Music
0: group:everyone deny delete
drwxrwxr-x@   8 yoann  staff    272 12 nov 03:35 PROJETS
drwxrwxr-x@  13 yoann  staff    442  6 nov 02:54 Photos
drwxrwxr-x+ 775 yoann  staff  26350 17 nov 14:09 Pictures
0: group:everyone deny delete
drwxrwxr-x+   4 yoann  staff    136 31 oct 23:02 Public
0: group:everyone deny delete
drwxrwxr-x+   4 yoann  staff    136 31 oct 23:27 Sites
0: group:everyone deny delete
drwxrwxr-x@  26 yoann  staff    884 26 sep 18:20 logement
0: user:yoann allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity
drwxrwxr-x@  43 yoann  staff   1462 28 aoû 23:42 un jour peut-être
-rw-r--r--    1 yoann  staff   6136 26 nov 13:43 vpd.properties

Sur certains dossiers, il y a 2 fois "Yoann" et impossible d'en supprimer un.
Mes quelques essais de changement des autorisations n'ont pas été très concluants...
J'arrive au bout, grâce à vous.

[darenzana]

J'ai fait la commande pour supprimer l'ACL mais il me répond qu'il n'y a pas d'ACL présent...

chmod:no ACL present

et cela que je me place sur home, Documents, Séquences, ..., ou sur un dossier perso
d'ailleurs chose encore plus bizarre si je mets la commande pour un seul répertoire il me met le même message mais supprime l'ACL, alors que dans le cas du récursif il ne fait rien !

Enfin c'est bizarre...

Footix

Effectivement, il a l'air assez capricieux chmod en recursif.. Si on le lance sur un repertoire qui n'a pas d'ACL il ne va pas aller chercher plus loin. J'avais fait le test sur un repertoire dont tout le contenu correspondait bien. J'ai l'impression qu'il s'arrête des qu'il trouve un répertoire sans ACL.

Pour résoudre le pb de manière radicale, et être sur de ne rien oublier, on peut faire la chose suivante dans un répertoire :

CODE

find . -exec chmod -a "everyone deny delete" {} \;

ce qui va lancer la commande chmod sur chaque fichier et sous repertoire du repertoire courant. On aura plein de messages "chmod: No ACL present" ; mais on est sur que pour les fichiers/repertoires qui avaient cette entrée dans leur ACL, elle sera supprimée .

Ce message a été modifié par darenzana - 27 Nov 2007, 01:21.

[Rigodon]

Mais cette entrée est là pour des raisons de sécurité, donc il faut bien penser à la restaurer. De toute façon elle n'est présente que sur les dossiers à la racine de ton dossier de départ je crois, et elle ne t'empêche pas de supprimer leur contenu.

Pour les dossiers comprenant deux fois ton nom je n'ai pas bien compris ta question. Mais il existe une ACL "deny delete_child" qui empêche la suppression des sous-dossiers. D'après ce que je vois, il y a surtout des "allow".

Réparer les autorisations ne sert qu'à restaurer les autorisations par défaut des dossiers "système et bibliothèques", il se base sur le dossier receipts dans /Bibliothèques je crois. Cette fonction n'aurait aucune utilité si il n'y avait pas des logiciels comme adobe flash player qui modifient n'importe quoi. A partir du moment où tu rentres ton mot de passe administrateur, un programme d'installation peut tout bousiller dans une arborescence.

Sinon, tes dossiers sont en 775 ce qui n'est pas terrible car les membres du groupe staff ont tous accès à tes dossiers personnels. La plupart des miens sont en 700. Pour éviter les problèmes c'est mieux de limiter les droits que de les ouvrir à tout le monde.

Ce message a été modifié par Rigodon - 27 Nov 2007, 11:43.

[Macoupc]

J'ai fait le code

CODE

MBP:~ yoann$ find . -exec chmod -a "everyone deny delete" {} \

;
pour les ACL et un fichier texte a été créé sur le bureau (Audit report.txt), je ne sais pas si c'est ça :

3395 objects audited
Total errors found during audit 0, fixed 0

Mais la liste était longue... Ça mettait deux choses seulement

chmod: Entry not found when attempting delete
chmod: No ACL present

Il y a toujours 2 fois "Yoann" dans des dossiers. Mais je ne sais pas si c'est grave.

[Rigodon]

Tu as sûrement restauré le groupe yoann donc ce n'est pas grave. De toute façon, le but des droits et ACL est d'administrer un ordinateur. Pour un utilisateur simple en session unique tu n'as même pas de notion de groupe. Donc, pour ta culture personnelle tu peux creuser mais au quotidien tu n'en auras pas l'utilité.

http://www.multios.com/linhelp/droits.html

As-tu pensé à mettre sudo devant ta commande ?

Ce message a été modifié par Rigodon - 27 Nov 2007, 13:46.

[darenzana]

Le sudo ne devrait pas être nécessaire, l'utilisateur yoann s'est deja approprié l'ensemble de ses fichiers (Message 9).

Le fichier "audit Report.txt" n'a rien a voir avec la commande chmod; il doit venir d'ailleurs.

ça veut dire quoi "il y a 2 fois Yoann"? Dans les infos du finder, ou dans un ls -l? Comme l'indique Rigodon, certains dossiers doivent toujours avoir comme groupe Yoann. Mais normalement il devraient tous être dans le groupe satff, vu la commande chgrp effectuée auparavant...

Au final, tu peux effacer tes fichiers come tu veux?

Pour approfondir ces notions, pas forcément évidentes, Apple a mis en ligne un dossier très complet sur ce sujet et d'autres : "File Services Administration" (en anglais). Le chapitre 2 "setting up file service permissions" est très instructif.
Le fichier pdf : http://images.apple.com/server/macosx/docs...Admin_v10.5.pdf
La page d'Apple sur Mac OS X Server, qui contient plein de docs intéressantes pour qui veut savoir ce qui se passe au coeur du système : http://www.apple.com/server/macosx/resources/