|
|
Page précédente : Permissions V 700 ou 711 : des permissions pour le répertoire personnelSommaire :
Cette page peut être lue et utilisée par elle-même. Elle est toutefois un complément de la page sur les permissions pour un répertoire et du complément sur les permissions pour un répertoire que vous pourriez avoir intérêt à lire aussi. Si vous êtes débutant en matière de permissions commencez par lire Permissions I et les pages suivantes. Sous Mandriva 2006, les dossiers personnels des utilisateurs ont généralement des permissions 711, pourquoi ? Quelles en sont les conséquences ? Comment changer cela ? Vous le saurez en continuant votre lecture… La parfaite sécurité : 700Si vous êtes certain de ne jamais vouloir que les autres utilisateurs de votre système mettent le nez dans votre répertoire personnel pour y lire, modifier, créer ou supprimer des données, alors il vous faut donner à celui-ci des permissions de ce type drwx------ chmod 700 /home/toto
Note sur les niveaux de sécurité L'utilitaire Mandriva de sécurité drakperm de MSEC assigne par défaut aux répertoires personnels des utilisateurs les permissions 755 aux niveaux de sécurité 1 'Très faible' et 2 'Standard' et les permissions par défaut 711 au niveau 3 'Elevé'. Vous pourriez donc craindre que si vous avez un des niveaux 1 à 3, MSEC annule dans l'heure qui suit l'effet de votre commande chmod !!! En fait il n'en sera rien car drakperm n'effectue des changements que vers 'plus de sécurité' et il laissera '/home/toto' avec les permissions 700 si les permissions par défaut de votre niveau de sécurité pour ce répertoire sont différentes mais moins restrictives.
Index de la section - Index de la Base de Connaissances Autoriser l'accès à quelques-uns de vos répertoires et à eux seuls : 711Vous pouvez aussi souhaiter donner des droits de lecture, ou de lecture-écriture aux autres utilisateurs pour un tout petit nombre de sous-répertoires convenablement choisis de votre répertoire personnel. C'est ce que permettent les permissions suivantes accordées à votre répertoire personnel '/home/toto' : drwx--x--x chmod 711 /home/toto
Note sur les niveaux de sécurité L'utilitaire Mandriva de sécurité drakperm de MSEC assigne par défaut aux répertoires personnels des utilisateurs les permissions 755 aux niveaux de sécurité 1 'Très faible' et 2 'Standard'. Vous pourriez donc craindre que si vous avez un de ces deux niveaux, MSEC annule dans l'heure qui suit l'effet de votre commande chmod !!! En fait il n'en sera rien car drakperm n'effectue des changements que vers 'plus de sécurité' et il laissera '/home/toto' avec les permissions 711 si les permissions par défaut de votre niveau de sécurité pour ce répertoire sont différentes mais moins restrictives.
Attention, si vous êtes aux niveaux de sécurité 'Plus élevé' (4) ou 'Paranoïaque' (5), les permissions par défaut des répertoires personnels sont alors 700 et drakperm annulera dans l'heure qui suit (pas toujours immédiatement) l'effet de votre chmod pour rétablir les permissions par défaut plus restrictives… Pour éviter cela sans avoir à changer de niveau de sécurité vous pouvez alors créer une règle de permissions personnalisée.
Index de la section - Index de la Base de Connaissances Ce qu'interdit 711...Ces permissions restent très restrictives et vous assurent un haut degré de sécurité pour peu que vous les gériez convenablement. Tout d'abord elle ne permettent à personne d'autre que vous d'afficher la liste des fichiers et répertoires qui se trouvent à la racine de votre répertoire personnel (sont dits 'à la racine' de votre répertoire personnel les fichiers ou répertoires qui ne sont pas inclus eux-mêmes dans un sous-répertoire de votre répertoire personnel). Ainsi un essai de commande 'ls -l /home/toto' n'affichera rien d'autre qu'un message d'erreur s'il est lancé par un utilisateur autre que vous : on ne peut donc en aucun cas 'voir' le contenu de la racine de votre répertoire (mais vous, vous le pouvez, bien entendu). Et si d'aventure quelqu'un avait appris ou deviné l'existence d'un fichier 'choin' qui y serait situé ('/home/toto/choin'), cet utilisateur ne pourrait en aucun cas lire, effacer ou modifier ce fichier. Toutes ses tentatives en ce sens échoueraient. Il ne pourrait pas non plus supprimer un sous-répertoire existant. Il ne pourrait pas davantage créer un nouveau fichier à la racine (comme '/home/toto/notule') ni un nouveau sous-répertoire (comme '/home/toto/docs/'). Comme vous le voyez la 'racine' de votre répertoire personnel serait bien protégée... Index de la section - Index de la Base de Connaissances Ce que permet 711...Permettre l'accès à un sous-répertoire à la racine du répertoire personnelVous pouvez en revanche donner l'accès en lecture à tout le contenu d'un sous-répertoire '/home/toto/partage' en lui donnant les permissions de lecture et d'exécution drwxr-xr-x Ce que vous pouvez faire par : chmod 755 /home/toto/partage cd /home/toto/partage Notez que ceux des utilisateurs qui ne sont pas 'au courant' ne pourront guère accéder à ce répertoire, sauf à 'deviner' son existence ou à tomber dessus par erreur ou par jeu : si vous souhaitez évitez cela donnez au répertoire un nom d'une certain longueur et peu 'prévisible' : cela rendra improbable (mais non impossible, évidemment) un accès non souhaité par des utilisateurs du système non concernés... Si vous souhaitez permettre un accès en lecture-écriture à 'partage', de telle sorte que les utilisateurs qui s'y rendront pourront s'y comporter comme dans un répertoire de travail 'normal' vous devrez lui donner les permissions 777 : drwxrwxrwx Cette page peut être utilisée isolément. Elle est toutefois un prolongement du paragraphe sur les permissions pour les répertoires et du complément sur les permissions pour un répertoire que vous pourriez avoir intérêt à regarder... Index de la section - Index de la Base de Connaissances Permettre l'accès à un sous-répertoire plus profondément enfoui...Peut-être cependant voudrez-vous ne pas créer un répertoire spécial 'partage' à la racine de '/home/toto' mais plutôt permettre l'accès à un répertoire existant enfoui dans une cascade de sous-répertoires, disons par exemple au répertoire 'passerelles' dont le chemin complet serait '/home/toto/docs/projet1/passerelles'. Dans ce cas vous procédez comme précédement en ce qui concerne 'passerelles' (vous lui assignez les permissions 755 ou 777 à votre guise). Mais vous devez aussi assigner les permissions 711 (drwx--x--x) à tous les sous-répertoires de votre répertoire personnel qui contiennent 'passerelles' (donc à '/home/toto/docs' et '/home/toto/projet1'). Et voilà... Index de la section - Index de la Base de Connaissances Tout installer de façon simple et sans se tromperMis à part le petit nombre de sous-répertoires de votre dossier personnel que vous souhaitez partager et ceux qui les contiennenent, il est crucial que tous les autres aient des permissions minimales 700.
Vous pourriez faire observer que 700 n'est pas toujours nécessaire pour protéger un répertoire : par exemple si '/home/toto/truc' est lui-même à 700 alors même si '/home/toto/truc/machin' est à 777, il restera inaccessible. C'est vrai, mais si un jour vous souhaitez rendre accessible un répertoire '/home/toto/truc/chouette', vous donnerez alors les permissions 711 à '/home/toto/truc' et dans la foulée '/home/toto/truc/machin' deviendra accessible, sans même que vous vous en rendiez compte. C'est pour éviter cela qu'il est bon de mettre 'par défaut' tous les sous-répertoires à 700.
Si votre répertoire est fourni, cela peut être long, fastidieux et donner des occasions d'erreur que de vérifier cela et d'attribuer les bonnes propriétés à tous les sous-répertoires.
Une façon simple de faire pourrait être ceci :
Index de la section - Index de la Base de Connaissances Est-ce bien nécessaire, d'être si restrictif ??Vous pourriez bien sûr vous dire que des permissions aussi strictes que 700 ou 711 pour votre répertoire personnel, ce n'est pas vraiment utile. Lisez cependant les deux remarques qui suivent... Supposons qu'un intrus pénètre votre système sous l'identité d'un autre utilisateur : si votre répertoire personnel a les permissions 700 il restera entièrement inaccessible à l'intrus et s'il a les permissions 711, avec une bonne gestion des permissions des sous-répertoires, seul le tout petit nombre de répertoires partagés sera accessible à l'intrus. Donner les permissions 700 ou 711 aux répertoires personnels accroît donc la sécurité générale du système face aux risques d'intrusion. D'autre part, même si vous êtes le seul et unique utilisateur de votre machine, il se peut que vous souhaitiez tout de même créer une identité 'hote' que vous mettrez à la disposition d'un ami de passage ou de quelqu'un à qui vous voudrez donner la possibilité d'explorer les merveilles de Linux. Dans ce cas, il serait prudent que vous réfléchissiez tranquillement à l'avance à ce que vous souhaitez vraiment que ce sympathique ami puisse voir ou faire dans votre répertoire personnel… afin de gérer les permissions en conséquence. Vous pourrez ainsi prêter votre machine avec l'esprit entièrement libre... Index de la section - Index de la Base de Connaissances Auteur ptyxs (février 2006) Legal: This page is covered by the GNU Free Documentation License . Standard disclaimers of warranty apply. Copyright LSTB and Mandrakesoft. |