Salut,  
 
Voilà, je suis confronté à un problème assez original
C'est sur une debian 5
 
Mon probleme est que dans un home d'un user, si j'ai un fichier en droits 600 et en root:root , le user en question peut l'éditer, et le sauvegarder
 
exemple :
 

 
puis , en tant que user "adminftp" je fais un vi de testrights
 
lors du vi, il m'indique bien : "testrights" [Permission refusée]
et lorsque je commence l'édition : W10: Alerte: Modification d'un fichier en lecture seule
 
je fais mon édition, je sauve avec le "!" , vu qu'il m'indique lecture seule, je reviens au prompt, et si je liste de nouveau mon fichier :  
 

 
Et là, je comprends vraiment pas pourquoi mon user a réussi a éditer le fichier qui était full root
Visiblement, ca me fait ca seulement avec les fichiers qui sont présent dans le home du user, et pas ailleurs
 
 
Ca vous dit quelque chose ?  
 
 
 
 
 
 
 
 
 
 

C'est peut être lié au fait que, le compte étant propriétaire du répertoire qui contient ce fichier, il a le droit de le supprimer et d'en créer un autre  
Par contre, quand tu as lancé vi, est-ce que tu as pu voir le contenu du fichier ?

nan, justement, en faisant le VI, j'ai pas pu voir le contenu
Je vais essayer de faire un ou 2 test  avec le proprio du répertoire pour voir !

bon, ben c'est bien en rapport avec le owner du répertoire
mon home du user adminftp :  
- si son owner est adminftp je peux donc virer des fichiers qui sont en root dedans à la racine
- si son owner est un autre user, je ne peux pas virer/editer des fichiers qui sont en root dedans à la racine
 
 
Je trouve ce concept super suprenant
 
ca m'embête, je peux donc regler mon probleme en changeant le owner de ce repertoire, mais du coup mon user aura plus le droit de créer des fichiers dedans .. je vais tourner en rond

Je pense que tu dois passer par le sticky bit  
Positionné sur un répertoire, il permet d'éviter que quelqu'un ayant le droit "W" sur ce répertoire (donc pouvant y créer/supprimer des fichiers) ne puisse supprimer les fichiers appartenant à un autre compte.

C'est pour répondre a ce problème que l'attribut immuable existe :

Seul le root peut effectuer cette opération !
 
mrbebert -> En effet le sticky bit est plus simple et plus adapté, je l'avais oublié celui-là !

 
bon j'ai essayé avec le sticky bit sur le repertoire parent, ou sur le fichier, je peux toujours effacer .. C'est marrant, le man montre bien que c'est exactement ce dont j'ai besoin
En attendant, le chattr passe très bien , je connaissais pas !
Par contre, étant root, y'a moyen de savoir si un fichier a un chattr +i d'affecté ? car je m'imagine bien dans 2 ans en train d'essayer de dégager mon fichier , sans pouvoir y arriver .. !
 
 
edit : trouvé, c'est lsattr

Anéfé le sticky bit est inadapté a ce cas :
 

je vois surtout que tu fais ça sur 2 machines différentes : ftp & gravftp

 
non, c'est bien la même
le nom  a changé entre temps