Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:lagrenouille:tutos:les-droits-sous-linux [14/05/2023 19:42] lagrenouille [allons plus loin] |
utilisateurs:lagrenouille:tutos:les-droits-sous-linux [14/05/2023 20:12] lagrenouille [allons plus loin] |
||
---|---|---|---|
Ligne 258: | Ligne 258: | ||
Le droit SGID permet d’exécuter un fichier avec les droits du groupe propriétaire du fichier. | Le droit SGID permet d’exécuter un fichier avec les droits du groupe propriétaire du fichier. | ||
+ | **''Le sticky bit (bit collant)''** | ||
+ | |||
+ | le droit d’écriture signifie que l’on peut créer et supprimer les fichiers de ce répertoire. | ||
+ | |||
+ | Le sticky bit permet de faire la différence entre les deux droits. | ||
+ | |||
+ | Lorsque ce droit est positionné sur un répertoire, il interdit la suppression des fichiers qu’il contient à tout utilisateur autre que le propriétaire. | ||
+ | |||
+ | le Sticky Bit est une autorisation spéciale qui peut être définie sur un répertoire doté d’autorisations « d’écriture » | ||
+ | |||
+ | définies pour le groupe qui y a accès. Ce bit garantit que tous les membres du groupe peuvent écrire dans le répertoire, mais seule la personne qui a créé un fichier, c’est-à-dire le propriétaire du fichier, peut supprimer le fichier. | ||
+ | |||
+ | il est représenté par la lettre t ou T, qui vient remplacer le droit d’exécution x, des autres utilisateurs que le propriétaire et ceux appartenant au groupe du fichier. | ||
+ | |||
+ | ---------t dans le cas ou t remplace un - ou ---------T, dans le cas ou t cache un x. | ||
+ | |||
+ | Ce droit indique que le fichier doit rester en mémoire vive, même si l’on en a plus besoin | ||
+ | |||
+ | Le sticky bit empêche de supprimer des fichiers, il n’empêche pas de les vider de leur contenu | ||
+ | |||
+ | exemple: | ||
+ | |||
+ | je crée le répertoire "rapeteur" | ||
+ | |||
+ | <code user>mkdir rapeteur | ||
+ | chmod +t rapeteur</code> | ||
+ | |||
+ | <code user> ls -lha rapeteur/ | ||
+ | total 16K | ||
+ | drwxr-xr-t 2 momo momo 4,0K 16 mai 17:12 . | ||
+ | drwxr-xr-x 53 momo momo 12K 16 mai 17:12</code> | ||
+ | |||
+ | seule momo pourra supprimer les fichiers dans rapeteur | ||
+ | |||
+ | <code user>chmod o-x rapeteur/</code> | ||
+ | |||
+ | <code user>ls -lha rapeteur/ | ||
+ | total 16K | ||
+ | drwxr-xr-T 2 momo momo 4,0K 16 mai 17:12 . | ||
+ | drwxr-xr-x 53 momo momo 12K 16 mai 17:12 .</code> | ||
+ | |||
+ | la même commande que chmod +t avec : | ||
+ | <code user>chmod 1755 rapeteur/</code> | ||
+ | |||
+ | <code user>ls -lha rapeteur/ | ||
+ | total 16K | ||
+ | drwxr-xr-t 2 momo momo 4,0K 16 mai 17:12 . | ||
+ | drwxr-xr-x 53 momo momo 12K 16 mai 17:12 .. | ||
+ | </code> | ||
+ | |||
+ | ''exemple du fichier tmp'' | ||
+ | |||
+ | <code user>ls -la / |grep tmp | ||
+ | drwxrwxrwt 16 root root 12288 15 mai 00:20 tmp</code> | ||
+ | |||
+ | les 2 commande setfacl (affecter) et getfacl (afficher) qui gèrent les ACL. | ||
+ | |||
+ | Les paramètres les plus utiles sont -s (attribuer), -m (modifier), et -x (supprimer). | ||
+ | |||
+ | u (utilisateur), g (groupe) et o (autres) sont les sujets classiques des opérations des droits d’accès. | ||
+ | |||
+ | Les permissions restent les permissions classiques sous Unix à savoir r, w et x. | ||
+ | |||
+ | Il y a toutes les options suivantes : | ||
+ | |||
+ | |-s |--set=aclset the ACL of file(s), replacing the current ACL| | ||
+ | |-S |--set-file=file read ACL entries to set from file| | ||
+ | |-m |--modify=acl modify the current ACL(s) of file(s)| | ||
+ | |-M |--modify-file=file read ACL entries to modify from file| | ||
+ | |-x |--remove=acl remove entries from the ACL(s) of file(s)| | ||
+ | |-X |--remove-file=file read ACL entries to remove from file| | ||
+ | |-b |--remove-all remove all extended ACL entries| | ||
+ | |-K |--remove-default remove the default ACL| | ||
+ | |-n |--no-mask don’t recalculate the effective rights mask| | ||
+ | |-d |--default operations apply to the default ACL| | ||
+ | |-R |--ecursive recurse into subdirectories --post-order visit subdirectories first| | ||
+ | |-L |--logical logical walk, follow symbolic links| | ||
+ | |-P |--physical physical walk, do not follow symbolic links restore=file restore ACLs (inverse of `getfacl -R’) test test mode (ACLs are not modified)| | ||
+ | |-v |--version print version and exit| | ||
+ | |-h |help this help text| | ||
+ | |||
+ | Nous avons bien 2 façons de lire les droits sur un fichier | ||
+ | |||
+ | avant toute chose: | ||
+ | <code root>apt update && apt-get install acl</code> | ||
+ | |||
+ | <code root>ls -lisha /usr/sbin/biosdecode | ||
+ | 1182299 24K -rwxr-xr-x 1 root root 24K 17 mai 2021 /usr/sbin/biosdecode</code> | ||
+ | |||
+ | |||
+ | <code root>getfacl /usr/sbin/biosdecode | ||
+ | getfacl : suppression du premier « / » des noms de chemins absolus | ||
+ | # file: usr/sbin/biosdecode | ||
+ | # owner: root | ||
+ | # group: root | ||
+ | user::rwx | ||
+ | group::r-x | ||
+ | other::r-x | ||
+ | </code> | ||
+ | |||
+ | Nous avons vu comment donner les droits avec la commande "chmod" | ||
+ | |||
+ | Voyons maintenant avec la commande "setfacl" | ||
+ | ** | ||
+ | les commandes setfacl et getfacl** | ||
+ | |||
+ | Exemple: je crée un répersoire de travail collaboratif< /br> des groupe et je donne les droits à chacun | ||
+ | |||
+ | <code user>sudo mkdir /opt/partage | ||
+ | ls -lisha /opt/partage/ | ||
+ | total 8,0K | ||
+ | 1331073 4,0K drwxr-xr-x 2 root root 4,0K 15 mai 23:45 . | ||
+ | 1308162 4,0K drwxr-xr-x 3 root root 4,0K 15 mai 23:45 ..</code> | ||
+ | |||
+ | Visualiser les permissions ACLs du dossier : | ||
+ | |||
+ | <code user>getfacl /opt/partage/ | ||
+ | getfacl : suppression du premier « / » des noms de chemins absolus | ||
+ | # file: opt/partage/ | ||
+ | # owner: root | ||
+ | # group: root | ||
+ | user::rwx | ||
+ | group::r-x | ||
+ | other::r-x</code> | ||
+ | |||
+ | <code user>sudo setfacl -m g:momo:rwx /opt/partage/</code> | ||
+ | |||
+ | <code user>touch /opt/partage/firstfichier.txt</code> | ||
+ | |||
+ | <code user>getfacl /opt/partage/firstfichier.txt | ||
+ | getfacl : suppression du premier « / » des noms de chemins absolus | ||
+ | # file: opt/partage/firstfichier.txt | ||
+ | # owner: momo | ||
+ | # group: momo | ||
+ | user::rw- | ||
+ | group::r-- | ||
+ | other::r--</code> | ||
+ | |||
+ | Suppression juste pour le répertoire | ||
+ | |||
+ | <code user>setfacl -b /opt/partage/firstfichier</code> | ||
+ | |||
+ | Suppression juste pour le fichier | ||
+ | |||
+ | <code user>setfacl -b fichier /opt/partage/ </code> | ||
+ | |||
+ | Pour supprimer les acl par défaut : | ||
+ | |||
+ | setfacl -k repertoire | ||
+ | |||
+ | Suppression pour le répertoire, les sous-répertoires | ||
+ | |||
+ | setfacl -R -k repertoire | ||