gestion des droits et acl

Transcription

Extrait du funambule
http://monnuage.chezlagrenouille.fr/funambule/spip.php?article33
- DEBIAN -
Date de mise en ligne : dimanche 14 août 2016
Copyright © funambule - Tous droits réservés
Copyright © funambule
Page 1/17
ARTICLE EN COURS
Première partie
les droits
•
•
Sous un système GNU/Linux tout est fichier, y compris les fichiers spéciaux qui désignent les périphériques.
Linux divise les fichiers en plusieurs catégories :
les répertoires
les fichiers ordinaires (programmes, fichiers de configuration, fichiers de données, etc..)
les fichiers spéciaux (type bloc ou caractère)
tout fichier se voit attribuer des droits pour 3 identités :
Par défaut il n'est possible de permettre ou d'interdire la lecture, l'écriture et l'exécution de fichiers que pour trois
catégories d'utilisateurs : le propriétaire du fichier, le groupe auquel appartient le propriétaire et tous les autres.
le propriétaire - c'est l'utilisateur qui a créé le fichier ou l'utilisateur que root a désigné comme propriétaire
le groupe (qui n'est pas forcément le groupe du propriétaire)
les autres (ceux qui ne font pas partie du groupe)
La commande ls -l nous permet d'afficher les droits d'un fichier (ls -la pour voir les fichiers cachés)
Pour chaque identité (voir plus haut).
il existe 3 droits d'accès :
r
w
x
lecture
•
écriture
exécution
Correspondances des droits en binaire/octale et leurs significations
Page 2/17
binaire
octale
droits
explication
000
0
---
aucun droit
001
1
â€”x
executable
010
2
-w-
ecriture
011
3
-wx
ecrire et executer
100
4
râ€”
lire
101
5
r-x
lire et executer
110
6
rw
lire et ecrire
111
7
rwx
lire ecrire et executer
représentés par une chaîne de 9 caractères, regroupés 3 par 3 (rwx rwx rwx), définissent les droits des 3 identités
(propriétaire, groupe et les autres).
La commande chmod (CHangeMODe) permet de définir et de changer les droits d'accès d'un fichier ou un
ensemble de fichiers.
Parmi les options de la commande chmod (qui ne sont pas nombreuses - voir man chmod) je vais en citer
seulement deux :
-v pour verbose (affichage sur la sortie standard STDOUT du résultat de la commande)
-R traiter les répertoires de façon récursive (application de la commande à l'arborescence entière du répertoire en
question)
Il y a deux modes d'utilisation de la commande chmod :
de façon littérale
de façon numérique
voir man chmod pour plus d'explication
exemple sur un répertoire
{{Chmod -R 777 sites-momo}}
{donne tous les droits
au répertoire ainsi que tous les fichiers de ce répertoire}
Page 3/17
momo@debian:~$ ls -la site-momo/
drwxrwxrwx
5 momo momo 4096
1 mai
19:57 .
drwxrwxrwx 12 momo momo 4096
1 mai
19:57 blogmomo
drwxrwxrwx 11 momo momo 4096
1 mai
19:59 tercop
Page 4/17
Exemple : Interprétation d'une permission 755 ou
-rwxr-xr-x :
• u : un utilisateur existant dans /etc/passwd
• g : un groupe existant valide de /etc/group
• o : les autres
*Notation symbolique et octale
•
Les permissions sont soit la lecture read=r, l'écriture write=w et l'exécution .
read =r
write = w
execute = x
symbol octale
symbole octale
symbole octale
5 binaire de 100
2 binaire de 10
1 binaire de 001
7
5
5
u=utilisateur
g=groupe
o=autres
4+2+1=7
4+1= 5
4+1=5
• Les systèmes UNIX créent des fichiers et répertoires avec des permissions standard comme suit :
• Fichiers | 666 -rw-rw-rw- (6+6+6)
• Répertoires | 777 -rwxrwxrwx (7+7+7 )
• 644 = rwxrâ€”râ€” Lecture, écriture pour le propriétaire / Lecture pour les autres
• 666 = rw-rw-rw- Lecture, écriture pour tout le monde
• 700 =rwx------ Lecture, écriture, exécution juste pour le propriétaire
• 705 =rwx---r-x Le propriétaire à tous les droits / Le groupe aucun / Les autres lire et executer
• 755 =rwxr-xr-x Le propriétaire à tous les droits / Les autres lire et exécuter
• 764 =rwxrw-râ€” Tous droits pour le propriétaire / Lecture, écriture pour le groupe / Lecture seule pour les autres
• 774 =rwxrwxrâ€” Tous les droits pour le propriétaire et le groupe / Lecture seule pour les autres
• 775 =rwxrwxr-x Tous les droits pour le propriétaire et le groupe / Lecture et exécution pour les autres
•
•
•
•
Pour changer le propriétaire d'un fichier il faut utiliser la commande chown
chown usager fichier
Votre fichier appartient à root, et vous voulez qu'i appartienne à toto
Page 5/17
chown
toto:toto dossier
Page 6/17
•
•
•
chgrp
Pour changer le groupe d'un fichier : chgrp groupe fichier .
• chmod 755=Droits de votre utilisateur : Tous les droits (7) ;
• Droits de votre groupe : Lecture et exécution (5) ;
• Droits de tous les utilisateurs : Lecture et exécution (5)
• chmod 777 (dangereux)permet toutes les actions de tous les utilisateurs
=
• Droits de votre utilisateur : Tous les droits (7) ;
• Droits de votre groupe : Tous les droits (7) ;
• Droits de tous les utilisateurs :
• Tous les droits (7) :
•
•
chmod 666 signifie que tous les utilisateurs peuvent lire et écrire, mais ne s'exécute pas
chmod 744 permet seulement au propriétaire de faire toutes les actions, le groupe et les autres ne sont autorisés
que pour lire
• chmod 711 permet seulement au propriétaire de faire toutes les actions, le groupe et les autres ne sont autorisés
que pour lire
• chmod 444 Permettre l'autorisation de lecture pour le propriétaire et le groupe
• Les permissions disponibles pour chaque personne / groupe sont les suivantes :
• lecture
• Donne le droit de lister (nécessite aussi le droit exécution) et lire dans un répertoire, et/ou lire un fichier.
• écriture
• Donne le droit de créer, modifier, renommer, supprimer des fichiers et/ou répertoires.
• exécution
• Pour un répertoire : donne le droit de le traverser pour lire ses sous-répertoires.
• Pour un fichier : donne le droit de l'exécuter si c'est un programme ou un script par -*exemple.
• Pour en finir : les droits en chiffres :
• "4" pour le droit de lecture (read)
• "2" pour le droit d'écriture (write)
• "1" pour le droit d'exécution (execute)
Deuxième partie :
*Les droits spécifiques. Cette gestion des droits n'étant pas suffisante pour certains admins, ceux utilisent les ACL,
une autre gestion des droits. (L access control list ou Listes de contrôle d'accès..
•
Les listes de contrôle d'accès (ACL) permettent aux administrateurs de logiciels à usages collaboratifs, voir en
ligne, de donner à certains utilisateurs ou groupes d'utilisateurs le droit d'effectuer certaines actions (lire, écrire,
Page 7/17
supprimer) sur des pages déterminées.
on peut donc cacher ou rendre accessibles une ou plusieurs parties d'un logiciels à un groupes ou à un
utilisateur, autoriser ou non des accès, des écritures, des suppressions ...etc ....
•
Nous venons de voir les droits avec les extensions de fichiers suivants :
•
•
•
-rwxrâ€”râ€” (le - devant représente un fichier)
drwx-wâ€”râ€” ( le d représente un répertoire soit directory en anglais)
si vous voyez le symbole l c'est un lien
•
•
•
Lorsqu'un droit est attribué , on écrit ce droit (r, w ou x), et lorsqu'il n'est pas attribué, on écrit un '-'. Par exemple :
rwxr-xrâ€”
Comme expliqué en haut de l'article : r = 4 w=2 x=1 ce qui donne 7
-* Ci dessous un exemple de ce qui est donné comme résultats de ls -lisha
ls -lisha /home/momo/
total 792M
33685505
12K drwxr-xr-x 82 momo
2 4,0K drwxr-xr-x
momo
12K août
6 root
root 4,0K août
60K -rw-r--r--
1 momo
momo
33688161 456K -rw-r--r--
1 momo
momo 453K août
33688092
7 08:49 .
23
2015 ..
58K juil. 14 16:18 14 juillet.pdf
3 11:31 18_brumaine_louis_bonaparte.pdf
1) le numéro d'inode en premier, L'inode correspond a un numèro qui est attribué a chaque fichier.
•
Tapez ls -i fichier ou répertoire Si vous voulez le numéro d'inode d'un fichier.
Les inodes peuvent, selon le système de fichiers, contenir aussi des informations concernant le fichier, tel que
son créateur (ou propriétaire), son type d'accès : lecture, écriture et exécution), etc.
• puis la taille du fichier, les droits, le compteur de liens physiques, le propriétaire
, le groupe, la taille, la date de dernière modification, le nom du fichier...
• Il existe deux types de liens qui permettent de rediriger un fichier vers un autre : les liens physiques (ou
matériels) et les liens symboliques.
• Avec un lien physique les données du disque sont pointées par plusieurs entrées de répertoire, contrairement à
ce qui se passe avec un lien symbolique, .
Un lien matériel (ou physique) est l'information exacte elle-même, située à la même position sur le disque dur.
Avec un lien physique, vous pouvez copier certaines données du fichier cible, effacer le reste du fichier, et il
continuera à exister.
Un lien symbolique est un fichier qui pointe vers un autre fichier ; si vous supprimez le fichier cible, les liens
symboliques pointeront alors vers un fichier inexistant.
•
Votre noyau ... et les ACL
Page 8/17
•
Normalement acl est installé par defaut, ou tout au moins si l'on a installé un serveur..
dans le cas contraire
apt-get install acl
:~$
grep ACL /boot/config-3.16.0-4-amd64
CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_REISERFS_FS_POSIX_ACL=y
CONFIG_JFS_POSIX_ACL=y
CONFIG_XFS_POSIX_ACL=y
CONFIG_BTRFS_FS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
CONFIG_TMPFS_POSIX_ACL=y
# CONFIG_HFSPLUS_FS_POSIX_ACL is not set
CONFIG_JFFS2_FS_POSIX_ACL=y
CONFIG_F2FS_FS_POSIX_ACL=y
CONFIG_NFS_V3_ACL=y
CONFIG_NFSD_V2_ACL=y
CONFIG_NFSD_V3_ACL=y
CONFIG_NFS_ACL_SUPPORT=m
CONFIG_CEPH_FS_POSIX_ACL=y
CONFIG_CIFS_ACL=y
CONFIG_9P_FS_POSIX_ACL=y
•
Si je veux voir les droits sur mon répertoire de sites web en local
Page 9/17
~$ getfacl spipounetstation/
# file: spipounetstation/
# owner: momo
# group: momo
user::rwx
group::rwx
other::rwx
Page 10/17
•
Si vous faites la même chose pour le répertoire root, ce n'est plus la même chose
getfacl /root/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: root/
# owner: root
# group: root
user::rwx
group::--other::---
•
plus simplifié en supprimant les premières lignes
getfacl --omit-header spipounetstation/
user::rwx
group::rwx
other::rwx
•
Autres extensions
lrwxrwxrwx
lien symbolique
brw-rw----
periphérique de type blocs
crw-rw-rw-
périphérique de type caractère
srw-------
socket
prw-------
pile fifo
Nrwxrw----
pour certains fichier réseau
Page 11/17
•
Fichiers de périphériques :
le l pour les liens symboliques
ls -lisha /var/www/html/spipounetstation
260680 0 lrwxrwxrwx 1 root root 28 août
20
2015 /var/www/html/spipounetstation ->
/home/momo/spipounetstation/
le b pour les périphériques de type blocs (u noeud de périphérique en mode bloc)
ls -lisha /dev/sda
8631 0 brw-rw---- 1 root disk 8, 0 août
7 06:12 /dev/sda
voir aussi
getfacl /dev/sda
# file: dev/sda
# owner: root
# group: disk
user::rwgroup::rwother::---
le c pour les périphériques de type caractère (ou noeud de périphérique en mode caractère)
ls -lisha /dev/tty
1035 0 crw-rw-rw- 1 root tty 5, 0 août
7 06:59 /dev/tty
le s pour les périphériques de type socket
le s pour droit SGID ou le droit SUID
Page 12/17
ls -lisha /var/run/ | grep sock
11712
0 srw-rw-rw-
1 root
root
0 août
14 07:42 acpid.socket
12923
0 srw-rw-rw-
1 root
root
0 août
14 07:42 minissdpd.sock
11568
0 srw-rw-rw-
1 root
root
0 août
14 07:42 rpcbind.sock
Page 13/17
•
Selon le placement du s
rwsrwxrwx, il s'agit d'un droit SUID,
si nous avons
rwxrwsrwx, il s'agit d'un droit SGID.
•
Le droit SUID permet d'exécuter un fichier avec les droits du propriétaire du fichier..il faut donc avoir les droits
d'execution, bien souvent ce sera les droits root, donc à utiliser avec précaution...
•
• Le droit SUID est noté ---s------ dans le cas ou s remplace un - ou ---S------, dans le cas ou s cache un x.
• Sur un répertoire, ce droit permet d'affecter les droits du propriétaire à tous les fichiers créés dans ce répertoire.
•
Le droit SGID permet d'exécuter un fichier avec les droits du groupe propriétaire du fichier.
•
le p pour les périphériques de type pile fifo
•
Le sticky bit
° le droit d'écriture signifie que l'on peut créer et supprimer les fichiers de ce répertoire. Le sticky bit permet de
faire la différence entre les deux droits.
• Lorsque ce droit est positionné sur un répertoire, il interdit la suppression des fichiers qu'il contient à tout
utilisateur autre que le propriétaire.
il est représenté par la lettre t ou T, qui vient remplacer le droit d'exécution x, des autres utilisateurs que le
propriétaire et ceux appartenant au groupe du fichier.
• ---------t dans le cas ou t remplace un - ou ---------T, dans le cas ou t cache un x.
•
•
Ce droit indique que le fichier doit rester en mémoire vive, même si l'on en a plus besoin
Le sticky bit empêche de supprimer des fichiers, il n'empêche pas de les vider de leur contenu
ls -la / |grep tmp
drwxrwxrwt
15 root root
4096 août
15 17:23 tmp
Page 14/17
les 2 commande setfacl (affecter) et getfacl (afficher)
qui gèrent les ACL.
Les paramètres les plus utiles sont -s (attribuer), -m (modifier), et -x (supprimer). u (utilisateur), g (groupe) et o (autres)
sont les sujets classiques des opérations des droits d'accès. Les permissions restent les permissions classiques sous
Unix à savoir r, w et x.
Il y a toutes les options suivantes :
•
•
-s
â€”set=aclset the ACL of file(s), replacing the current ACL
-S
â€”set-file=file read ACL entries to set from file
-m
â€”modify=acl modify the current ACL(s) of file(s)
-M
â€”modify-file=file read ACL entries to modify from file
-x
â€”remove=acl remove entries from the ACL(s) of file(s)
-X
â€”remove-file=file read ACL entries to remove from file
-b
â€”remove-all remove all extended ACL entries
-k
â€”remove-default remove the default ACL
â€”maskdo recalculate the effective rights mask
-n
â€”no-mask don't recalculate the effective rights mask
-d
â€”default operations apply to the default ACL
-R
â€”recursive recurse into subdirectories
â€”post-order visit subdirectories first
-L
â€”logical logical walk, follow symbolic links
-P
â€”physical physical walk, do not follow symbolic links
â€”restore=file restore ACLs (inverse of `getfacl -R')
â€”test test mode (ACLs are not modified)
-v
â€”version print version and exit
-h
â€”help this help text
Nous avons bien 2 façons de lire les droits sur un fichier
comme si il y avait deux langages, celui des ''pinechabes'' et celui des ''pompeniks'' ah ah .)
<span class='spip_document_728 spip_documents spip_documents_left' style='float:left;'>
Page 15/17
<span class='spip_document_729 spip_documents spip_documents_right' style='float:right;'>
•
en pinechabe
ls -lisha /usr/sbin/biosdecode
135116 20K -rwxr-xr-x 1 root root 19K mai
•
20
2014 /usr/sbin/biosdecode
et en pompenik
getfacl /usr/sbin/biosdecode
# file: usr/sbin/biosdecode
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
Nous avons vu plus haut comment les pinechabs donnent les droits avec la commande ''chmod''
Voyons maintenant comment les pompeniks donnent les droits avec la commande ''setfacl''
•
•
•
•
•
•
•
je vais juste voir les paramètres les plus utilisés :
-s pour attribuer
-m pour modifier
-x pour supprimer
u = utilisateur - g pour groupe - o pour le reste du monde (others, les autres)
En root :
Page 16/17
•
Donner le droit de lecture au groupe comité1 sur le fichier drapeauvert.txt
setfacl -s g:comité1:r drapeauvert.txt
•
Modifier les droits de l'utilisateur marcelle sur le répertoire, récursif 'aux fichiers du repertoire..
#setfacl -R -m u:marcelle:rwx /var/www/owcloud
•
Retire toutes les permissions sur le fichier artichaud
#setfacl -b /etc/artichaud
•
Voir aussi l'article de smolski, sur DF
https://debian-facile.org/doc:systeme:acl?s[]=acl
Bientôt la suite
Page 17/17

gestion des droits et acl

Transcription

Documents pareils

Création d`objet

anthelios - Promomag

Demande de licence Karting 2013

La visite du Républicain Lorrain.

François GERARD : Expert-Comptable et Commissaire aux comptes

Université Nice-Antipolis

k Avec le prêt PASS-TRAVAUX® ACL PME vous aide à réaliser vos

Télécharger la fiche produit

Communiqué de presse