[ URL      ] : https://notes.fr/2024/10/30/RH-Controle-de-acces-aux-fichiers/
[ CATEGORY ] : /Sécurité/Acces et droits
[ TAGS     ] : , , , ,
[ AUTHOR   ] : 4l1N3

Contrôle de l’accès aux fichiers

Changer les permissions et la propriété des fichiers et contrôler les permissions par défaut des fichiers créés par les utilisateurs.

Chmod et chown

Changer les permissions et la propriété des fichiers.

[root@SRV01 ~]# usermod -aG scientist StephenHawking
[root@SRV01 ~]# usermod -aG scientist KipThorne
[root@SRV01 ~]# mkdir /PHYSIC
[root@SRV01 ~]# chown :scientist /PHYSIC

SetGID : tout fichier créé dans ce dossier héritera du groupe du dossier parent (pas forcément des droits car celà dépend de l’umask, mais bien du groupe).

[root@SRV01 ~]# chmod 2770 /PHYSIC
[root@SRV01 ~]$ ls -l /
[...]
drwxrws---.   2 root scientist         31 Oct 31 14:57 PHYSIC
[...]
[root@SRV01 ~]$ ls -l /PHYSIC
total 0
-rw-r--r--. 1 StephenHawking scientist 0 Oct 31 14:57 Experiments01.txt
[KipThorne@SRV01 ~]$ mkdir /PHYSIC/Tests
[KipThorne@SRV01 ~]$ ls -l /PHYSIC/
total 4
drwxr-sr-x. 2 KipThorne      scientist  6 Oct 31 15:20 Tests

StephenHawking fait partie du groupe scientist donc peut créer des fichiers dans /PHYSIC :

[StephenHawking@SRV01 ~]$ touch /PHYSIC/Experiments01.txt
[StephenHawking@SRV01 ~]$ echo "1rst experience" >> /PHYSIC/Experiments01.txt
[StephenHawking@SRV01 ~]$ ls -l /PHYSIC/
total 0
-rw-r--r--. 1 StephenHawking scientist  0 Oct 31 14:57 Experiments01.txt
drwxr-sr-x. 2 KipThorne      scientist  6 Oct 31 15:20 Tests

KipThorne fait partie du groupe scientist donc peut également créer des fichiers dans /PHYSIC, les consulter mais pas modifier un fichier ne lui appartenant pas :

[KipThorne@SRV01 ~]$ cat /PHYSIC/Experiments01.txt
1rst experience
[KipThorne@SRV01 ~]$ echo "1rst experience + Extrats results" >> /PHYSIC/Experiments01.txt
bash: /PHYSIC/Experiments01.txt: Permission denied

ElonMusk ne fait pas partie du groupe scientist et ne peut donc rien faire :

[ElonMusk@SRV01]$ ls -l /PHYSIC/
ls: cannot open directory '/PHYSIC/': Permission denied

Umask

Changer les droits de bases lors de la création de fichiers :

# umask 022
# touch file_022
# mkdir dir_022
# umask 007
# touch file_007
# mkdir dir_007
# ls -l
total 0
drwxrwx---. 2 root root 6 Oct 31 15:35 dir_007
drwxr-xr-x. 2 root root 6 Oct 31 15:35 dir_022
-rw-rw----. 1 root root 0 Oct 31 15:35 file_007
-rw-r--r--. 1 root root 0 Oct 31 15:35 file_022

Pour changer le umask de faón générale :

[root@serverb ~]# cat /etc/login.defs
[...]
UMASK 007
[...]

Documentation

Internet
MAN

> Partager <