TP Permissions d'accès aux fichiers

En bref

1. Catégories d'ayant-droits
Tout fichier du système appartient à la fois à un utilisateur (son "propriétaire") et à un groupe (le groupe propriétaire).
Ainsi, pour chaque fichier le monde de ses utilisateurs potentiels est partagé en 3 catégories, nommées :
1. u, l'utilisateur normal, son propriétaire, bien souvent son créateur, qui n'a pas forcément tous les droits sur lui !
2. g, son groupe, ensemble d'utilisateurs ayant parfois des "permissions" particulières.
3. o, tous les (others) autres utilsateurs.
2. Droits à la création
Heureusement, une règle générale simple s'applique à la création de tout nouveau fichier (ou répertoire)
• son propriétaire est l'utilisateur (humain ou système) qui l'a créé
• son groupe est le groupe primaire de ce même utilisateur
3. Les droits classiques
Ils ne sont pas récursifs (s'appliquent par niveau)
En voici la signification :

symbole	sur un fichier normal	sur un répertoire
-	absence de droit	absence de droit
r	lecture (lire, copier le contenu)	visibilité des fichiers directement contenus
w	écriture (modifier le contenu)	création ET destruction des fichiers directement contenus
x	exécution	entrée et parcours du rép.

4. Connaitre les droits d'un fichier
Ces droits sont consultables complètement par la commande : ls -l ou l'alias ll Par exemple :


  stage@debian ll *.html
-rw-r--r--  1 stage    stage   1200  oct 19 12 : 39     amoi.html

Description de la ligne
- le 1er caractère indique la nature du fichier
 ("-" fichier normal, "d" un fichier répertoire, "l" un lien)

- le système de droits est spécifié symboliquement par
   les 9 attributs suivants, correspondants aux 3 catégories d'utilisateurs du fichier.
   ...|...|...
    u   g   o

- La section u fixe les droits accordés au propriétaire du fichier.
- La section g  fixe les droits accordés aux utilisateurs faisant partie
  du groupe auquel appartient le fichier.
- La section o  fixe les droits des autres utilisateurs.

- nombre de liens sur le fichier : 1 signifie que le fichier n'a aucun lien qui pointe vers lui
   2 (ou plus) signifiant qu'il existe un lien (ou plus) vers lui.
- le nom du propriétaire du fichier
- le nom du groupe propriétaire
- la date de dernière modification
- le nom complet du fichier

5. TP

Décrivez précisément les droits des fichiers suivants
/etc/init.d/rcS que signifie le "x" ?
/etc/fstab (table de montage) qui peut le modifier ?
/etc/shadow (fichier des mots de passe)
  - qui peut le modifier ?
  - est-ce cela ne pose pas problème ?

Afficher toutes les infos sur un fichier : commande stat  (si elle est installée)
stat /etc/passwd

Lister les répertoires situés à la racine /
  - A qui appartiennent-ils ?
  - Un utilisateur quelconque peut-il y créer des sous-rép. ?
  - quels sont les cas particuliers ?

Les droits usuels pour un rép sont r-x, pourquoi ? Expliquer en quoi le droit "w" sur un répertoire
et accordé à un groupe est particulièrement dangeureux !

Commandes de changements des droits

1. Changer le propriétaire
chown [-R] nv-user fichiers
Commande réservée au propriétaire actuel des fichiers ou des répertoires (et à root)
L'option -R (récursif) permet d'agir sur l'ensemble des sous-répertoires.
Exemple : chown -R stage4 /home/stage1
2. Changer le groupe propriétaire
chgrp [-R] nv-groupe fichiers
Ceci doit être effectué par root ou le propriétaire, à condition que celui-ci soit membre du nouveau groupe.
Exemple : chgrp -R stage4 /home/stage1
3. Changer les permissions sur les fichiers
chmod [-R] droits fichiers
Les droits d'accès peuvent être modifiés par le propriétaire des fichiers ou par root (ou équivalent, d'uid 0).
L'option -R permet de modifier les permissions de tous les sous-répertoires et de leur contenu.
Le paramètre droits permet de calculer les nouveaux droits d'accès.
On peut agir par ajout (symbole +) ou retrait (-) par rapport aux droits existants, ou bien de façon absolue, en fixant les nouveaux droits qui remplacent les anciens (symbole =).

La syntaxe de droits est sur le modèle :

[u g o a] [+ - =] [r w x]
 u, g et o les 3 catégories d'utilisateurs (user, group, other) et a =all
 r,w,x les 3 attributs de chaque fichier, pour chaque catégorie d'utilisateur.
 + - =  l'action d'ajouter, de retirer ou de fixer un droit, qui s'applique à chaque catégorie séparément.

4. Exemples

chmod u+x fichier signifie ..
chmod ug+w  fichier  ...
chmod go-rwx  fichier ...
chmod [-R] go-rwx  /home/toto ...
chmod u=rwx,g=rw,o=r  fichier    quelles sont les permissions ?
chmod u=rwx,g=r  fichier    (les permissions précédentes du groupe o sont inchangées)
chmod u=rwx,g=r,o=  fichiers ...

5. Notation octale des permissions
Il existe une autre façon d'indiquer les permissions de chaque catégorie, plus simple en utilisant la numération octale

Voici la table de correspondance entre les 8 chiffres en numérotation octale (base 8) et les 8 valeurs de droits fichiers.
Par convention la présence d'un droit est noté 1, l'absence 0.

                             Binaire ----- Droit ----- Octal
             000 -------- (---) ------- 0
             001 -------- (--x) ------- 1
             010 -------- (-w-) ------- 2
             011 -------- (-wx) ------- 3
             100 -------- (r--) ------- 4
             101 -------- (r-x) ------- 5
             110 -------- (rw-) ------- 6
             111 -------- (rwx) ------- 7

propriétaire			groupe			autre
lecture	écriture	exécution	lecture	écriture	exécution	lecture	écriture	exécution
400	200	100	40	20	10	4	2	1

Pour obtenir les permissions exprimées en octal, il suffit d'ajouter en octal les nombres de la table de correspondance ci-dessus, pour lesquels les droits sont positionnés.

Exemples

chmod 700  /home/rep-a-moi droits par défaut pour un rép. personnel.
ls -l /home/rep-a-moi
 --> drwx------ 
 

Les 2 commandes suivantes sont équivalentes :

chmod 764 test
chmod u=rwx,g=rw,o=r test
ls -l test
 -rwxrw-r--

Compléments

1. Le masque de protection umask
• Rappelons les règles simples de propriété qui s'appliquent à la création d'un fichier ou d'un répertoire :
  • son propriétaire est l'utilisateur qui l'a créé
  • son groupe est le groupe primaire de ce même utilisateur
• Mais quelles sont les permissions attribuées par défaut à l'utilisateur propriétaire, au groupe propriétaire et à tous les autres ?
  Les permissions maximales accordées par un fichier et un répertoire sont 666 (-rw-rw-rw-) et 777 (-rwxrwxrwx).
  On peut restreindre ces permissions lors de sa création. C'est le rôle de la commande umask de fixer les permissions masquées, autrement dit les droits non accordés aux fichiers et répertoires lors de leur création.
• Exemple de calcul de permissions effectives, affectées lors de la création d'un répertoire, par un utilisateur dont le masque de protection est 027
  

    777 = 111 111 111 permissions maxi = rwx rwx rwx
  - 027 = 000 010 111 masque de protection
  = 750 = 111 101 000 permissions effectives = rwx r-x ---
  

• La commande umask
  • umask affiche le masque de l'utilisateur actif
    Quelles sont les valeurs des masques par défaut de root et des autres utilisateurs ?
  • umask -S affiche les permissions correspondantes au masque, sous forme symbolique.
  • umask masque fixe les permissions ultérieures de création des fichiers de l'utilisateur actif, conformément à masque, en notation octale.
    Attention ! le changement ne s'applique qu'à la présente session.
    
  • Pour la rendre permanente, on peut intervenir sur un fichier profile :
    • Dans le fichier profil général /etc/profile, on peut modifier la règle habituelle :
      if [ $UID == 0 ] ; then umask 022 ; else umask 077 ; fi
    • Pour agir au niveau des utilisateurs, ajouter la ligne umask masque dans le fichier de profil personnel $HOME/.bash_profile
2. Le droit SUID
   • Sa présence permet à un fichier exécutable de s'exécuter sous l'identité et donc les droits de son propriétaire, à la place des droits de l'utilisateur actuel qui l'exécute.
   • Il s'agit d'un dispositif de sécurité essentiel qui autorise un utilisateur quelconque (par rapport à la commande) à bénéficier de droits plus étendus que les siens (souvent ceux de root), pour exécuter la commande agir sur d'autres fichiers indispensables, juste le temps et sous le contrôle de l'exécution de la commande, SANS qu'il soit nécessaire d'attribuer ces droits en permanence sur les fichiers.
   • Ce droit est noté symboliquement s et se positionne à la place du x du propriétaire u (mais sans écraser le droit x)
     Sa valeur octale est 4000

   • Exemple
   Examiner les droits du fichier exécutable /usr/bin/passwd, qui permet de (re)définir un mot de passe et le comparer à ceux du fichier /etc/shadow qui contient les mots de passe cryptés.

   Observez :
   ll /etc/shadow
   -rw-r-----  root root  shadow
   ll /usr/bin/passwd
   -rxsr-xr-x  root  root /usr/bin/passwd
   

   Comme le droit x est accordé à tous, chacun peut donc exécuter la commande passwd, mais personne ne posséde pas lui-même le droit d'écriture dans le fichier /etc/shadow qui doit le stocker.
   Le positionnement du SUID permet d'agir en tant que root lors de la demande d'accès au fichier et comme root a tous les droits, il est alors possible de mettre à jour ce fichier des mots de passe.
   • Manipulation
   Comment connaitre les commandes comme passwd, qui offre cette permission SUID ? Voici plusieurs façons

   cd /usr/bin
   # grep filtre les lignes produites par ls en utilisant
   # l'expression rationnelle ^...s   
   ls -l | grep "^...s"
   # pour afficher tous les fichiers possédant le SUID
   cd /
   ls -lR | grep "^...s"
   # recherche parmi les fichiers ordinaires ceux qui ont au moins le droit s 
   find / -type f -perm +4000
   

3. Le droit SGID
• Positionné sur un répertoire, ce droit modifie le groupe propriétaire d'un fichier créé dans ce répertoire.
  Un fichier créé dans un tel répertoire, verra son groupe propriétaire modifié :
  Ce ne sera plus le groupe primaire du propriétaire qui l'a créé (règle habituelle), mais à la place, le groupe propriétaire du répertoire lui-même.
  Autrement dit, ce droit s posé sur un répertoire, met en place un mécanisme d'héritage de groupe, de répertoire conteneur à fichiers contenus.
• Notation symbolique s, mis à la place du x du groupe, valeur octale 2000
4. Le droit "sticky bit"
• Ce droit spécial a surtout un rôle important sur les répertoires.
  Il réglemente le droit w sur le répertoire, en interdisant à un utilisateur quelconque de supprimer un fichier dont il n'est pas le propriétaire
  
• Ce droit noté symboliquement t occupe par convention la place du droit x sur la catégorie other de ce répertoire, mais bien entendu il ne supprime pas le droit d'accès x (s'il est accordé).
  Justement, si ce droit x n'est pas accordé à la catégorie other, à la place de t c'est la lettre T qui apparaitra.
  Sa valeur octale associée vaut 1000.
• Pour positionner ce droit :
  

  chmod +t rep
  --> d ... ... ..t  rep 		si le répertoire a le droit x pour tous
  --> d ... ... ..T  rep 		sinon