Protection des fichiers avec des autorisations UNIX (liste des tâches)

La liste des tâches suivante présente les procédures permettant de répertorier les autorisations de fichiers, des les modifier et de protéger les fichiers avec les autorisations de fichiers spéciales.

Affichage des informations de fichier

Affichez les informations sur tous les fichiers d'un répertoire en utilisant la commande ls.

• Tapez la commande suivante pour afficher une longue liste de tous les fichiers dans le répertoire en cours.

  % ls -la

  -l

  Affiche le format long qui inclut la propriété d'utilisateur, la propriété de groupe et les autorisations du fichier.

  -a

  Affiche tous les fichiers, y compris les fichiers cachés qui commencent par un point (.).

Exemple 6-1 Affichage des informations de fichier

Dans l'exemple suivant, une liste partielle de fichiers dans le répertoire /sbin s'affiche.

% cd /sbin
% ls -la
total 13456
drwxr-xr-x   2 root     sys          512 Sep  1 14:11 .
drwxr-xr-x  29 root     root        1024 Sep  1 15:40 ..
-r-xr-xr-x   1 root     bin       218188 Aug 18 15:17 autopush
lrwxrwxrwx   1 root     root          21 Sep  1 14:11 bpgetfile -> ...
-r-xr-xr-x   1 root     bin       505556 Aug 20 13:24 dhcpagent
-r-xr-xr-x   1 root     bin       456064 Aug 20 13:25 dhcpinfo
-r-xr-xr-x   1 root     bin       272360 Aug 18 15:19 fdisk
-r-xr-xr-x   1 root     bin       824728 Aug 20 13:29 hostconfig
-r-xr-xr-x   1 root     bin       603528 Aug 20 13:21 ifconfig
-r-xr-xr-x   1 root     sys       556008 Aug 20 13:21 init
-r-xr-xr-x   2 root     root      274020 Aug 18 15:28 jsh
-r-xr-xr-x   1 root     bin       238736 Aug 21 19:46 mount
-r-xr-xr-x   1 root     sys         7696 Aug 18 15:20 mountall
   .
   .
   .

Chaque ligne affiche des informations sur un fichier dans l'ordre suivant :

• Type de fichier : par exemple, d. Pour obtenir la liste des types de fichiers, reportez-vous à la section Propriété des fichiers et des répertoires.

• Autorisations : par exemple, r-xr-xr-x. Pour obtenir une description, reportez-vous à la section Propriété des fichiers et des répertoires.

• Nombre de liens fixes : par exemple, 2.

• Propriétaire du fichier : par exemple, root.

• Groupe du fichier : par exemple, bin.

• Taille du fichier, en octets : par exemple, 7696.

• Date à laquelle le fichier créé ou modifié pour la dernière fois : par exemple, Aug 18 15:20.

• Nom du fichier : par exemple, mountall.

Modification du propriétaire d'un fichier local

L'administrateur principal ou le rôle de superutilisateur peut modifier le propriétaire de n'importe quel fichier.

1. Affichez les autorisations d'un fichier.

   % ls -l example-file
   -rw-r--r--   1 janedoe   staff   112640 May 24 10:49 example-file

2. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

3. Modifiez le propriétaire du fichier.

   # chown stacey example-file

4. Vérifiez que le propriétaire du fichier a bien été modifié.

   # ls -l example-file
   -rw-r--r--   1 stacey   staff   112640 May 26 08:50 example-file 

Exemple 6-2 Modification par les utilisateurs de la propriété de leurs propres fichiers

Considération de sécurité : vous devez avoir une bonne raison de modifier la valeur de la variable rstchown à zéro. Ce paramètre permet à un utilisateur de modifier la propriété de ses fichiers en un autre nom d'utilisateur.

Dans cet exemple, la valeur de la variable rstchown est définie sur zéro dans le fichier /etc/system. Ce paramètre permet au propriétaire d'un fichier d'utiliser la commande chown pour modifier la propriété du fichier à un autre utilisateur. Ce paramètre permet également au propriétaire d'utiliser la commande chgrp pour définir le groupe propriétaire d'un fichier sur un groupe auquel dont le propriétaire n'appartient pas. Le changement entre en vigueur lors du redémarrage du système.

set rstchown = 0

Pour plus d'informations, reportez-vous aux pages de manuel chown(1) et chgrp(1).

Par ailleurs, n'oubliez pas que les systèmes de fichiers montés sur NFS ont des restrictions supplémentaires en ce qui concerne la modification de la propriété et des groupes. Pour plus d'informations sur la restriction de l'accès aux systèmes montés sur NFS, reportez-vous au Chapitre 6, Accès aux systèmes de fichiers réseau (référence) du Guide d’administration système : Services réseau.

Modification de la propriété de groupe d'un fichier

1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

2. Modifiez la propriété de groupe d'un fichier.

   $ chgrp scifi example-file

   Pour plus d'informations sur la définition des groupes, reportez-vous au Chapitre 4, Gestion des comptes utilisateur et des groupes (présentation) du Guide d’administration système : administration de base.

3. Vérifiez que la propriété de groupe du fichier a changé.

   $ ls -l example-file
    -rw-r--r--   1 stacey   scifi   112640 June 20 08:55  example-file

   Reportez-vous également à l'Exemple 6-2.

Modification des autorisations de fichier en mode symbolique

1. Si vous n'êtes pas le propriétaire du fichier ou du répertoire, connectez-vous en tant que superutilisateur ou équivalent.

   Seul le propriétaire actuel ou le superutilisateur peut utiliser la commande chmod pour modifier les autorisations d'un fichier ou d'un répertoire.

2. Modifiez les autorisations en mode symbolique.

   % chmod who operator permissions filename

   who

   Spécifie pour qui les autorisations doivent être modifiées.

   operator

   Indique l'opération à effectuer.

   permissions

   Spécifie les autorisations à modifier. Pour obtenir la liste des symboles valides, reportez-vous au Tableau 6-5.

   filename

   Spécifie le fichier ou répertoire.

3. Vérifiez que les autorisations du fichier ont changé.

   % ls -l filename

Exemple 6-3 Modification des autorisations en mode symbolique

Dans l'exemple ci-dessous, l'autorisation de lecture est retirée aux autres.

% chmod o-r example-file1

Dans l'exemple suivant, les autorisations de lecture et d'exécution sont ajoutées pour l'utilisateur, le groupe et les autres.

$ chmod a+rx example-file2

Dans l'exemple suivant, les autorisations de lecture, d'écriture et d'exécution sont attribuées au groupe.

$ chmod g=rwx example-file3

Modification des autorisations de fichier en mode absolu

1. Si vous n'êtes pas le propriétaire du fichier ou du répertoire, connectez-vous en tant que superutilisateur ou équivalent.

   Seul le propriétaire actuel ou le superutilisateur peut utiliser la commande chmod pour modifier les autorisations d'un fichier ou d'un répertoire.

2. Modifiez les autorisations en mode absolu.

   % chmod nnn filename

   nnn

   Spécifie les valeurs octales qui représentent les autorisations du propriétaire du fichier, du groupe de fichiers et autres, dans cet ordre. Pour obtenir la liste des valeurs octales, reportez-vous au Tableau 6-4.

   filename

   Spécifie le fichier ou répertoire.

   ---

   Remarque - Lorsque vous utilisez la commande chmod pour modifier les autorisations de groupe sur un fichier avec des entrées d'ACL, les autorisations de groupe de fichiers et le masque d'ACL sont modifiés et reflètent les nouvelles autorisations. N'oubliez pas que les nouvelles autorisations du masque d'ACL peuvent modifier les autorisations d'autres utilisateurs et de groupes qui disposent d'entrées d'ACL sur le fichier. Utilisez la commande getfacl pour vous assurer que les autorisations appropriées sont définies pour toutes les entrées d'ACL. Pour plus d'informations, reportez-vous à la page de manuel getfacl(1).

   ---

3. Vérifiez que les autorisations du fichier ont changé.

   % ls -l filename

Exemple 6-4 Modification des autorisations en mode absolu

Dans l'exemple ci-dessous, les autorisations d'un répertoire public sont modifiées de 744 (lecture, écriture, exécution ; lecture seule ; et lecture seule) en 755 (lecture, écriture, exécution ; lecture et exécution ; et lecture et exécution).

# ls -ld public_dir
drwxr--r--  1 jdoe   staff    6023 Aug  5 12:06 public_dir
# chmod 755 public_dir
# ls -ld public_dir
drwxr-xr-x  1 jdoe   staff    6023 Aug  5 12:06 public_dir

Dans l'exemple suivant, les autorisations d'un script de shell exécutable sont modifiées de lecture et écriture en lecture, écriture et exécution.

% ls -l my_script
-rw------- 1 jdoe   staff    6023 Aug  5 12:06 my_script
% chmod 700 my_script
% ls -l my_script
-rwx------ 1 jdoe   staff    6023 Aug  5 12:06 my_script

Modification des autorisations de fichier spéciales en mode absolu

1. Si vous n'êtes pas le propriétaire du fichier ou du répertoire, connectez-vous en tant que superutilisateur ou équivalent.

   Seul le propriétaire actuel ou un utilisateur avec des capacités de superutilisateur peut utiliser la commande chmod pour modifier les autorisations d'un fichier ou d'un répertoire.

2. Modifiez les autorisations spéciales en mode absolu.

   % chmod nnnn filename

   nnnn

   Spécifie les valeurs octales qui modifient les autorisations du fichier ou du répertoire. La valeur octale le plus à gauche définit les autorisations spéciales du fichier. Pour obtenir la liste de valeurs octales valides pour les autorisations spéciales, reportez-vous au Tableau 6-6.

   filename

   Spécifie le fichier ou répertoire.

   ---

   Remarque - Lorsque vous utilisez la commande chmod pour modifier les autorisations de groupe sur un fichier avec des entrées d'ACL, les autorisations de groupe de fichiers et le masque d'ACL sont modifiés et reflètent les nouvelles autorisations. N'oubliez pas que les nouvelles autorisations du masque d'ACL peuvent modifier les autorisations d'autres utilisateurs et de groupes qui disposent d'entrées d'ACL sur le fichier. Utilisez la commande getfacl pour vous assurer que les autorisations appropriées sont définies pour toutes les entrées d'ACL. Pour plus d'informations, reportez-vous à la page de manuel getfacl(1).

   ---

3. Vérifiez que les autorisations du fichier ont changé.

   % ls -l filename

Exemple 6-5 Définition des autorisations de fichiers spéciales en mode absolu

Dans l'exemple suivant, l'autorisation setuid est définie sur le fichier dbprog.

# chmod 4555 dbprog
# ls -l dbprog
-r-sr-xr-x   1 db     staff        12095 May  6 09:29 dbprog

Dans l'exemple suivant, l'autorisation setgid est définie sur le fichier dbprog2.

# chmod 2551 dbprog2
# ls -l dbprog2
-r-xr-s--x   1 db     staff       24576 May  6 09:30 dbprog2

Dans l'exemple suivant, l'autorisation Sticky bit est définie dans le répertoire public_dir.

# chmod 1777 public_dir
# ls -ld public_dir
drwxrwxrwt   2 jdoe   staff          512 May 15 15:27 public_dir