¶ Introduction
Les droits d'accès constituent l'un des piliers fondamentaux de la sécurité et de la gestion des systèmes Linux. Dans un environnement où plusieurs utilisateurs peuvent partager les mêmes ressources, ces mécanismes permettent de contrôler précisément qui peut voir, modifier ou exécuter des fichiers et répertoires.
La gestion fine des permissions sous Linux offre plusieurs avantages cruciaux :
- Sécurité : Protège les données sensibles en limitant leur accès aux seuls utilisateurs autorisés
- Intégrité : Prévient les modifications accidentelles ou malveillantes des fichiers système
- Confidentialité : Garantit que les informations privées restent privées
- Collaboration : Facilite le travail en équipe en permettant le partage contrôlé des ressources
- Administration : Permet une gestion structurée des ressources système
Sans un système de droits d'accès robuste, Linux ne pourrait pas fonctionner comme un système multi-utilisateurs fiable. C'est cette granularité dans la gestion des permissions qui a contribué à faire de Linux le choix privilégié pour les environnements serveur, les infrastructures cloud et les systèmes nécessitant un haut niveau de sécurité.
- Tous les fichiers et répertoires possèdent des droits d’accès.
- Chacun des utilisateurs du système n’ont accès qu’à certains fichiers.
- Protègent les fichiers et les répertoires contre d’éventuels accès non-autorisés.
- L’administrateur du système (root), possède un droit d’accès à tous les fichiers.
¶ Groupes de permission
Il y a trois groupes de permission dans Linux:
- Propriétaire (owner): Ce groupe de permission concerne le propriétaire du fichier ou du répertoire. Le propriétaire a le droit de lecture, d'écriture et d'exécution du fichier ou du répertoire.
- Groupe (group): Ce groupe de permission est lié au groupe auquel appartient le fichier ou le répertoire. Les membres de ce groupe ont des droits spécifiques pour accéder au fichier ou au répertoire, tels que la lecture, l'écriture et l'exécution.
- Autre (others): Ce groupe de permission est destiné à tous les autres utilisateurs du système qui ne sont pas le propriétaire du fichier ou du répertoire, ni membre du groupe. Les permissions accordées pour ce groupe contrôlent ce que les autres utilisateurs sont autorisés à faire avec le fichier ou le répertoire, comme la lecture, l'écriture ou l'exécution.
¶ Droit d’accès
Chaque fichier et chaque répertoire possèdent des droits d’accès qui indiquent au système si un utilisateur a le droit d’accéder à un fichier ou à un répertoire.
La commande ls –l permet de visualiser les droits d’accès des fichiers ou des répertoires
Chaque fois qu’un utilisateur tente d’accéder à un fichier, trois choses peuvent se produire :
- Le UID de l’utilisateur et le UID du propriétaire du fichier sont identique.
- Le UID de l’utilisateur et le UID du propriétaire du fichier sont différents; le GID de l’utilisateur est identique à celui auquel le fichier est affecté.
- Aucun des deux premiers cas ne se présente.
Les droits d'accès sous Linux sont représentés par une combinaison de chiffres ou de lettres qui déterminent qui peut faire quoi avec un fichier ou un répertoire.
¶ Droits de base
Il existe 3 types de droits fondamentaux :
- r (read/lecture) : valeur 4
- w (write/écriture) : valeur 2
- x (execute/exécution) : valeur 1
¶ Catégories d'utilisateurs
Ces droits s'appliquent à 3 catégories d'utilisateurs :
- u (user/propriétaire) : le propriétaire du fichier
- g (group/groupe) : les membres du groupe propriétaire
- o (others/autres) : tous les autres utilisateurs
¶ Notation numérique
La notation numérique additionne les valeurs pour chaque catégorie :
- 7 (4+2+1) = rwx = lecture + écriture + exécution
- 6 (4+2) = rw- = lecture + écriture
- 5 (4+1) = r-x = lecture + exécution
- 4 (4) = r-- = lecture seule
- 3 (2+1) = -wx = écriture + exécution
- 2 (2) = -w- = écriture seule
- 1 (1) = --x = exécution seule
- 0 (0) = --- = aucun droit
¶ Exemples courants
- 755 (rwxr-xr-x) :
- Propriétaire : tous les droits (7)
- Groupe : lecture et exécution (5)
- Autres : lecture et exécution (5)
- Utilisation courante : répertoires et scripts accessibles à tous
- 644 (rw-r--r--) :
- Propriétaire : lecture et écriture (6)
- Groupe : lecture seule (4)
- Autres : lecture seule (4)
- Utilisation courante : fichiers texte, configuration
- 700 (rwx------) :
- Propriétaire : tous les droits (7)
- Groupe : aucun droit (0)
- Autres : aucun droit (0)
- Utilisation courante : fichiers privés, scripts personnels
- 640 (rw-r-----) :
- Propriétaire : lecture et écriture (6)
- Groupe : lecture seule (4)
- Autres : aucun droit (0)
- Utilisation courante : fichiers partagés en lecture seule avec un groupe spécifique
- 777 (rwxrwxrwx) :
- Tous les droits pour tous (déconseillé pour des raisons de sécurité)
¶ Cas particulier des répertoires
Pour les répertoires, les droits ont des significations légèrement différentes :
- r : lister le contenu du répertoire
- w : créer/supprimer des fichiers dans le répertoire
- x : accéder au répertoire (cd) et à son contenu
Un répertoire nécessite généralement le droit d'exécution (x) pour être utilisable.
¶ Droit d’accès sur un fichier
Signification des droits d’accès pour un fichier :
|
r |
Le contenu du fichier peut être lu. |
|
w |
Le contenu du fichier peut être modifié. |
|
x |
Le fichier contient un programme et peut être exécuté. |
¶ Droit d’accès sur un répertoire
Signification des droits d’accès pour un répertoire :
|
r |
Les éléments du répertoire sont accessibles en lecture. |
|
w |
L’utilisateur peut créer de nouveaux fichiers dans ce répertoire et peut supprimer des fichiers existants. |
|
x |
Le nom du répertoire peut apparaître dans un chemin d’accès. |
¶ Permissions
Voici le tableaux des permissions:
¶ Droits d’accès prédéfinis (umask)
Le umask (user mask) est un mécanisme qui définit les permissions par défaut lors de la création de nouveaux fichiers et répertoires. C'est essentiellement un masque qui détermine quels droits doivent être retirés des permissions maximales.
¶ Principe de fonctionnement
- Permissions maximales par défaut :
- Fichiers : 666 (rw-rw-rw-) - pas d'exécution par défaut
- Répertoires : 777 (rwxrwxrwx)
- Le umask soustrait (masque) des bits de ces permissions maximales.
- La valeur finale des permissions = permissions maximales - umask
¶ Exemple avec umask 022
¶ Pour un fichier :
- Permissions maximales pour un fichier : 666 (rw-rw-rw-)
- umask : 022 (----w--w-)
- Permissions finales : 666 - 022 = 644 (rw-r--r--)
Calcul détaillé :
- 666 en binaire : 110 110 110
- 022 en binaire : 000 010 010
- Inversion du umask : 111 101 101
- ET logique : 110 110 110 & 111 101 101 = 110 100 100 = 644
¶ Pour un répertoire :
- Permissions maximales pour un répertoire : 777 (rwxrwxrwx)
- umask : 022 (----w--w-)
- Permissions finales : 777 - 022 = 755 (rwxr-xr-x)
Calcul détaillé :
- 777 en binaire : 111 111 111
- 022 en binaire : 000 010 010
- Inversion du umask : 111 101 101
- ET logique : 111 111 111 & 111 101 101 = 111 101 101 = 755
C'est pourquoi avec un umask de 022 (valeur par défaut sur de nombreux systèmes) :
- Les nouveaux fichiers sont créés avec les permissions 644
- Les nouveaux répertoires sont créés avec les permissions 755
Cette configuration standard permet au propriétaire de tout faire, tandis que le groupe et les autres peuvent seulement lire et exécuter, mais pas modifier.
¶ Valeurs umask courantes
- 022 : valeur très commune
- Fichiers créés avec : 644 (rw-r--r--)
- Répertoires créés avec : 755 (rwxr-xr-x)
- 002 : permissions plus permissives pour le groupe
- Fichiers créés avec : 664 (rw-rw-r--)
- Répertoires créés avec : 775 (rwxrwxr-x)
- 077 : permissions restrictives
- Fichiers créés avec : 600 (rw-------)
- Répertoires créés avec : 700 (rwx------)
¶ Comment le calculer
Pour calculer les permissions résultantes :
- Convertissez le umask en binaire
- Inversez les bits (0→1, 1→0)
- Effectuez un ET logique avec les permissions maximales
Exemple avec umask 022 :
- umask binaire : 000 010 010
- inverse : 111 101 101
- ET logique avec 666 (110 110 110) pour un fichier : 110 100 100 = 644
¶ Modifier le umask
Pour voir le umask actuel :
umaskPour modifier temporairement le umask :
umask 022 # Définit umask à 022Pour modifier le umask de façon permanente, ajoutez la commande dans votre ~/.bashrc ou ~/.profile.
¶ Notation symbolique
Vous pouvez aussi utiliser la notation symbolique :
umask u=rwx,g=rx,o=rxéquivalent àumask 022umask u=rwx,g=rwx,o=rxéquivalent àumask 002
Cette notation est plus intuitive car elle exprime directement les permissions que vous souhaitez accorder plutôt que celles à retirer.
¶ Utilisations pratiques
- Serveurs : umask 022 ou 027 pour limiter les droits d'écriture
- Environnements multi-utilisateurs : umask 002 pour permettre la collaboration au sein d'un groupe
- Environnements sécurisés : umask 077 pour limiter l'accès uniquement au propriétaire
¶ CHMOD
La commande chmod (change mode) est un outil fondamental dans Linux qui permet de modifier les permissions d'accès des fichiers et répertoires. Elle contrôle qui peut lire, écrire ou exécuter un fichier.
chmod peut être utilisé avec deux notations :
- Symbolique :
chmod u+x fichier(ajoute l'exécution au propriétaire)
- Numérique (octale):
chmod 755 fichier(rwx pour propriétaire, r-x pour groupe et autres)
La notation numérique additionne les valeurs : lecture (4) + écriture (2) + exécution (1)
Exemples courants :
chmod 644 fichier: fichier standard (rw-r--r--)chmod 755 dossier: répertoire accessible (rwxr-xr-x)chmod -R 750 dossier: applique récursivement à un dossier et son contenu
Cette commande est essentielle pour maintenir la sécurité en contrôlant précisément qui peut accéder à quoi dans le système.
¶ Exemples de CHMOD
Voici les utilisations les plus fréquentes de la commande chmod dans un environnement Linux :
¶ Fichiers texte standard
chmod 644 fichier.txt- Signification : rw-r--r-- (propriétaire peut lire/écrire, groupe et autres peuvent seulement lire)
- Usage : fichiers de configuration, documents, fichiers texte ordinaires
¶ Scripts et programmes
chmod 755 script.sh- Signification : rwxr-xr-x (propriétaire peut tout faire, groupe et autres peuvent lire/exécuter)
- Usage : scripts shell, programmes, fichiers exécutables
¶ Dossiers partagés
chmod 775 dossier_projet- Signification : rwxrwxr-x (propriétaire et groupe peuvent tout faire, autres peuvent lire/exécuter)
- Usage : dossiers de projet collaboratif
¶ Fichiers privés
chmod 600 id_rsa- Signification : rw------- (propriétaire peut lire/écrire, personne d'autre n'a accès)
- Usage : clés privées, fichiers de configuration sensibles
¶ Dossiers privés
chmod 700 .ssh- Signification : rwx------ (propriétaire peut tout faire, personne d'autre n'a accès)
- Usage : dossiers personnels sensibles
¶ Application récursive
chmod -R 755 site_web/- Signification : applique rwxr-xr-x à tous les fichiers et sous-dossiers
- Usage : déploiement d'applications web, préparation d'arborescences
chmod -R a+rx docs- "-R" : cela signifie "récursif" et indique à la commande de changer les permissions pour tous les fichiers et sous-répertoires contenus dans le répertoire "docs".
- "a" : ceci est un raccourci pour "all" et indique que les permissions doivent être modifiées pour tous les utilisateurs, propriétaires et groupes.
- "+rx" : cela signifie que les permissions pour les utilisateurs, propriétaires et groupes doivent être modifiées. "r" signifie "lecture" et "x" signifie "exécution". Cela donnera à tous les utilisateurs la permission de lire et d'exécuter les fichiers du répertoire "docs".
¶ Opérations spécifiques
chmod u+x script.py # Ajoute l'exécution pour le propriétaire
chmod g+w fichier.txt # Ajoute l'écriture pour le groupe
chmod o-rwx données.db # Retire tous les droits aux autres
chmod a+r document.pdf # Donne la lecture à tous (all)Ces exemples couvrent la majorité des besoins quotidiens en matière de gestion des permissions sous Linux.
¶ CHOWN
La commande chown (change owner) est un outil essentiel de Linux qui permet de modifier le propriétaire et/ou le groupe propriétaire d'un fichier ou d'un répertoire.
Syntaxe de base : chown [options] propriétaire[:groupe] fichier
Exemples courants :
chown pablo fichier.txt: Change uniquement le propriétairechown pablo:developers fichier.txt: Change à la fois le propriétaire et le groupechown :developers fichier.txt: Change uniquement le groupe (équivalent àchgrp)chown :1000 fichier.txt: Changele groupe de fichier en utilisant le numéro du groupechown -R pablo:developers dossier/: Applique les changements récursivement
Cette commande nécessite généralement les privilèges root (via sudo) car elle peut potentiellement contourner les restrictions de sécurité en transférant la propriété des fichiers entre utilisateurs.
chown est particulièrement utile lors de la configuration de services, la gestion des droits d'accès aux données partagées, ou lors de la récupération de fichiers après des opérations administratives.
¶ CHGRP
La commande chgrp (change group) est un outil spécialisé de Linux qui permet de modifier uniquement le groupe propriétaire d'un fichier ou d'un répertoire.
Syntaxe de base : chgrp [options] groupe fichier
Exemples courants :
chgrp developers projet.py: Change le groupe du fichier à "developers"chgrp -R admins /var/www/: Change récursivement le groupe de tous les fichiers et sous-répertoireschgrp 1000 fichier.txt: Changer le groupe de plusieurs fichiers en utilisant une expression régulièrechgrp --reference=fichier1.txt fichier2.txt: Applique le même groupe que fichier1.txt à fichier2.txt
Cette commande est essentiellement un sous-ensemble de chown spécialisé pour les groupes. Elle nécessite que l'utilisateur soit soit le propriétaire du fichier, soit dispose des privilèges administratifs (root).
chgrp est particulièrement utile dans les environnements collaboratifs où la gestion des permissions par groupe est primordiale, permettant de partager facilement l'accès aux fichiers entre membres d'une même équipe sans modifier le propriétaire individuel.