Sommaire. Principe des droits d'accès chmod umask Droits spéciaux chown chgrp, newgrp Introduction aux ACL (Access Control List)

Transcription

1 ! # % & ( ) +,) +

2

3 Sommaire Principe des droits d'accès chmod umask Droits spéciaux chown chgrp, newgrp Introduction aux ACL (Access Control List)

4 Principe Sous Unix, l'accès aux objets est géré par un système de permissions A chaque objets, sont associés des droits d'accès à 3 catégories d'utilisateurs l'utilisateur propriétaire (user) Après authentification sur le système, l'utilisateur est identifié par un couple le groupe propriétaire (group) tous les autres (others) «User ID» ou UID : identifiant utilisateur numérique unique Un utilisateur appartient à un groupe primaire «Group ID» ou GID : identifiant du groupe primaire de l'utilisateur Un utilisateur peut appartenir à des groupes secondaires Les permissions permettent de définir des droits d'accès spécifiques à chaque utilisateur

5 Les droits d'accès sont stockés dans la structure inode du fichier les droits sont visualisables par la commande «ls -l» ils sont représentés par les 10 premiers caractères de la commande «ls -l» Cas le plus courant l'utilisateur appartient au groupe propriétaire ]$ ls -l c -rw-r--r-- 3 franck franck 111 mar 13 19:34 c type du fichier r w x r w x r w x user group others type du fichier r w x r w x r w x user group others

6 Plus rarement mais possible Il existe 3 droits d'accès associés à chaque objet l'utilisateur n'appartient pas au groupe propriétaire droits du propriétaire (u user) droits des membres du groupe (g group) droits des autres utilisateurs (o- others) Il existe 3 types de permissions droits en lecture (r - read) droits en écriture (w write) type du fichier r w x r w x r w x droits en exécution (x execute access) type du fichier r w x r w x r w x user group others user group others

7 Dans le cas de fichiers Dans le cas de répertoires «r» : droit de lecture -> permet de lire ou copier le fichier «r» : permet de lister le contenu du répertoire «w» : droit d'écriture -> permet d'ajouter, modifier ou supprimer des données du fichier «x» : droit d'exécution -> permet d'exécuter le fichier (binaire ou script) «w» : permet d'ajouter ou supprimer des données dans le répertoire. Ou plutôt permet de créer de modifier et supprimer des liens vers les inodes. Conséquence : possibilité de supprimer un fichier sur lequel l'utilisateur n'a aucun droit s'il a les droits d'écriture sur le répertoire «x» : permet d'accéder aux fichiers du répertoire (droit de traversée). En gros toujours le bit x de positionné lors de la création de répertoire

8 Pour accéder à un fichier, il faut avoir le droit de franchissement de chacun des répertoires qui constituent le chemin chaque répertoire du chemin doit posséder le droit x Pour écrire dans un fichier il faut avoir les droits d'écriture (w) sur le fichier (sauf root qui peut écrire et lire partout) Pour modifier les droits d'un fichier, il faut en être le propriétaire (ou être root) Pour créer, modifier, renommer, détruire un fichier, il faut avoir les droits d'écriture dans le répertoire contenant le fichier (toutes ces actions correspondent en définitive à des créations ou altérations de liens) root peut modifier les permissions de n'importe quel fichier Détruire un fichier pour lequel on ne possède aucun droit! # ll -d /reptest drwxrwxrwx 2 root root :40 /reptest # touch /reptest/ficroot # chmod 700 /reptest/ficroot # ll /reptest/ficroot -rwx root root :41 /reptest/ficroot $ id uid=1000(franck) gid=1000(franck)... $ rm /reptest/ficroot rm: détruire un fichier protégé en écriture fichier vide standard `/reptest/ficroot'? y # ll /reptest/ficroot ls: ne peut accéder /reptest/ficroot: Aucun fichier ou dossier de ce type

9 root peut écrire partout! Types de fichiers $ touch monfichier $ ll monfichier -rwx franck franck :47 monfichier # id uid=0(root) gid=0(root) groupes=0(root) # echo "J'écris partout" > ~franck/test/monfichier «-» : fichier régulier (texte, exécutable, image,...) «d» : répertoire (directory) «c» : fichier associé à des périphériques en mode caractère (ex: liaison série) «b» : fichier associé à des périphériques en mode bloc (disques, DVD,...) «l» : liens symboliques $ cat monfichier J'écris partout «s» : fichiers socket (named pipes adaptés au réseau) «p» : named pipe; permet la communication entre deux processus ( )

10 Sommaire Commande «chmod» (change modes) Principe des droits d'accès chmod umask Droits spéciaux chown chgrp, newgrp Introduction aux ACL (Access Control List) syntaxe : chmod [options] modes objets spécification des modes sous 2 formes forme symbolique rôle -> «u» : user; «g» (group); «o» (others); ou «a» (all) opérateur -> «+» (ajout); «-» (retrait); «=» (remplacement) permission -> «r» (read) ; «w» (write) ; «x» (execute) associations possibles en utilisant la virgule comme séparateur: u=rw,g=r forme numérique les permissions sont exprimées en octal ex : rwxr-xr-x <=> 755

11 Permissions supplémentaires Options : X : execution seulement si le fichier est un répertoire ou qu'il possède déjà au moins une permission d'exécution s : SUID ou SGID t : sticky bit u : toutes les permissions existantes du propriétaire -R : modification récursive -v : mode verbeux -c : idem -v mais n'affiche que les modifications -f : mode silencieux g : toutes les permissions existantes du groupe o : toutes les permissions existantes pour tout le monde

12 Qui a le droit de changer des permissions? 9ème bit pour définir les permissions spéciales root 3 valeurs Le propriétaire du fichier 4 : SUID Attention : un droit d'écriture sur un répertoire ne donne pas forcément le droit de modifier les permissions des fichiers qu'il contient Les permissions sont définies au niveau de la structure inode du fichier Le droit de modification d'un répertoire n'agit que sur les liens qui pointent sur l'inode 2 : GUID 1 : sticky bit Pour définir 2 permissions spéciale, calcul identique aux permissions standard s : SUID ou SGID t : sticky bit u : toutes les permissions existantes du propriétaire g : toutes les permissions existantes du groupe o : toutes les permissions existantes pour tout le monde

13 --- --x -w- -wx r-- r-x rwrwx ls -l fichier.txt -rw-r--r-- 1 franck franck 259 mar 21 21:57 fichier.txt [aoi@test]$ chmod g+w fichier.txt [aoi@test]$ ls -l fichier.txt -rw-rw-r-- 1 franck franck 259 mar 21 21:57 fichier.txt [aoi@test]$ chmod o=rw fichier.txt [aoi@test]$ ls -l fichier.txt -rw-rw-rw- 1 franck franck 259 mar 21 21:57 fichier.txt Exemples [aoi@test]$ chmod 640 fichier.txt [aoi@test]$ ls -l fichier.txt -rw-r franck franck 259 mar 21 21:57 fichier.txt 755 = rwx r-x r-x 644 = rw- r-- r-- [aoi@test]$ chmod 777 fichier.txt [aoi@test]$ ls -l fichier.txt -rwxrwxrwx 1 franck franck 259 mar 21 21:57 fichier.txt* 600 = rw

14 Sommaire Commande «umask» (user mask) Principe des droits d'accès chmod umask Droits spéciaux chown chgrp, newgrp Introduction aux ACL (Access Control List) droits par défaut à la création des objets syntaxe : umask [modes] -S : affiche le masque sous forme symbolique modes : indique en octal les bits qui ne seront pas positionnés Le calcul se base sur 777 pour les répertoires et exécutables et 666 pour tous les autres fichiers x -w- -wx r-- r-x rw- rwx

15 Dans certaine distribution umask est définit dans /etc/profile (Debian/Ubuntu) umask est définit pour les distributions RH/Centos/Fedora dans le fichier /etc/bashrc # By default, we want this to get set. # Even for non-interactive, non-login shells. if [ $UID -gt 99 ] && [ "`id -gn`" = "`id -un`" ]; then umask 002 else umask 022 fi [franck@localhost ~]$ su - Mot de passe : [root@localhost ~]# id uid=0(root) gid=0(root) groupes=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) [root@localhost ~]# umask 0022 [aoi@test]$ umask 0002 [aoi@test]$ touch fichier2.txt [aoi@test]$ ls -l fichier2.txt -rw-rw-r-- 1 franck franck 0 mar 21 22:17 fichier2.txt [aoi@test]$ umask 0000 [aoi@test]$ touch fichier3.txt 0002 correspond à : rwx rwx r-x pour un binaire ou un répertoire rw- rw- r-- pour un fichier texte [aoi@test]$ ls -l fichier3.txt -rw-rw-rw- 1 franck franck 0 mar 21 22:18 fichier3.txt

16 Sommaire Principe des droits d'accès chmod umask Droits spéciaux chown chgrp, newgrp Introduction aux ACL (Access Control List) bit setuid (4000 en octal) programme exécuté avec les droits de l'utilisateur propriétaire chmod u+sx prog ls -l prog -rwsrw-rw- 1 franck franck 0 mar 21 22:30 prog* [aoi@test]$ ls -l /usr/bin/passwd -r-s--x--x 1 root root mai /usr/bin/passwd* bit setgid (2000 en octal) programme exécuté avec les droits du groupe propriétaire [aoi@test]$ chmod g+sx prog2 [aoi@test]$ ls -l prog2 -rw-rwsrw- 1 franck franck 0 mar 21 23:01 prog2*

17 Attention, si le fichier ne possède pas de droits en exécution le s est remplacé par un S (majuscule)... $ ls -l prog -rw-r--r-- 1 franck franck :53 prog $ chmod u+s prog $ ls -l prog -rwsr--r-- 1 franck franck :53 prog et ne le rend pas exécutable pour autant! $./prog bash:./prog: Permission non accordée $ chmod u+x prog $ file prog prog: setuid POSIX shell script text executable sticky bit setuid (1000 en octal) Lorsque ce bit est positionné, on ne peut effacer que les fichiers dont on est propriétaire exemple : /tmp (répertoire de stockage temporaire) [aoi@test]$ ls -ld /tmp drwxrwxrwt 15 root root 7168 mar 21 22:58 /tmp/ [aoi@test]$ touch /tmp/monfic [aoi@test]$ ls -l /tmp/monfic -rw-rw-rw- 1 franck franck 0 mar 21 23:15 /tmp/monfic [mc2@localhost ~]$ id uid=503(mc2) gid=503(mc2) groupes=503(mc2) [mc2@localhost ~]$ ls -l /tmp/monfic -rw-rw-rw- 1 franck franck 0 mar 21 23:15 /tmp/monfic [mc2@localhost ~]$ rm /tmp/monfic rm: ne peut enlever `/tmp/monfic': Opération non permise

18 Sommaire chown [-Rh] user objet Principe des droits d'accès chmod umask Droits spéciaux change le propriétaire des objets option «-R» : changement résursif dans une arborescence option «-h» : en cas de lien symbolique, change le propriétaire du lien et non les objets pointés par le lien chown commande réservée à root (sinon problème de sécurité) chgrp, newgrp Introduction aux ACL (Access Control List) [franck@localhost UNIX]$ ls -l result.txt -rw-r--r-- 1 franck franck 259 mar 28 23:27 result.txt [franck@localhost UNIX]$ su Mot de passe : [root@localhost UNIX]# chown mc2test result.txt [root@localhost UNIX]# ls -l result.txt -rw-r--r-- 1 mc2test franck 259 mar 28 23:27 result.txt

19 chgrp [-Rh] groupe objet change le groupe primaire des objets fonctionnement identique à chown Pour que cela fonctionne : il faut être root ou appartenir au groupe On peut utiliser également chown pour changer l'appartenance de groupe chrgrp <groupe> <fichiers> chown user:groupe <fichiers> [franck@localhost UNIX]$ ls -l result.txt -rw-r--r-- 1 mc2test franck 259 mar 28 23:27 result.txt [franck@localhost ~]$ ls -l fictest -rw-rw-r-- 1 franck franck 0 mar 14 11:45 fictest [franck@localhost UNIX]$ su Mot de passe : [franck@localhost ~]$ id uid=500(franck) gid=500(franck) groupes=500(franck),503(usertest) [root@localhost UNIX]# chgrp mc2test result.txt [root@localhost UNIX]# ls -l result.txt -rw-r--r-- 1 mc2test mc2test 259 mar 28 23:27 result.txt [franck@localhost ~]$ chgrp usertest fictest [franck@localhost ~]$ ls -l fictest -rw-rw-r-- 1 franck usertest 0 mar 14 11:45 fictest

20 Permissions spéciales pour un groupe setgid bit s'il s'agit d'un fichier S'il est positionné pour un fichier exécutable, le processus lancé aura l'identifiant de groupe du fichier à la place de celui de l'utilisateur setgid bit s'il s'agit d'un répertoire les fichiers crées dans le répertoire auront pour groupe celui du répertoire et non celui de l'utilisateur qui les crée ~]$ ls -l fichier -rw-rw-r-- 1 franck franck 0 mar 14 12:03 fichier [franck@localhost ~]$ chmod g+xs fichier [franck@localhost ~]$ ls -l fichier -rw-rwsr-- 1 franck franck 0 mar 14 12:03 fichier [franck@localhost ~]$ ls -ld repertoire drwxrwxr-x 2 franck franck 4096 mar 14 12:09 repertoire [franck@localhost ~]$ chmod g+s repertoire/ [franck@localhost ~]$ ls -ld repertoire drwxrwsr-x 2 franck franck 4096 mar 14 12:09 repertoire

21 ~]$ ls -ld repertoire drwxrwsr-x 2 franck franck 4096 mar 14 12:09 repertoire [franck@localhost ~]$ touch repertoire/fic1 [franck@localhost ~]$ ls -l repertoire/fic1 -rw-rw-r-- 1 franck franck 0 mar 14 12:12 repertoire/fic1 [franck@localhost ~]$ chgrp usertest repertoire/ [franck@localhost ~]$ ls -ld repertoire drwxrwsr-x 2 franck usertest 4096 mar 14 12:12 repertoire [franck@localhost ~]$ touch repertoire/fic2 [franck@localhost ~]$ ls -l repertoire/fic2 -rw-rw-r-- 1 franck usertest 0 mar 14 12:14 repertoire/fic2 Modifier temporairement le groupe primaire d'un utilisateur newgrp <groupe> Equivalent à la commande su pour les groupes newgrp - <groupe> : l'option «-» réinitialise l'environnement utilisateur Permet de changer de groupe primaire en lançant un nouveau shell [franck@localhost ~]$ id uid=500(franck) gid=500(franck) groupes=500(franck),503(usertest) [franck@localhost ~]$ newgrp usertest [franck@localhost ~]$ id uid=500(franck) gid=503(usertest) groupes=500(franck),503(usertest) [franck@localhost ~]$ exit exit [franck@localhost ~]$ id uid=500(franck) gid=500(franck) groupes=500(franck),503(usertest)

22 Sommaire Principe des droits d'accès chmod umask Droits spéciaux chown chgrp, newgrp Introduction aux ACL (Access Control List) Limitation des droits classiques on ne peut indiquer des droits que sur l'utilisateur propriétaire, un seul groupe propriétaire, le «reste du monde» dans le cas de données accédées par un nombre important d'utilisateurs avec des types d'accès différents (travail collaboratif) : ce n'est pas suffisant Solution : les ACL (Access Control List) extension du nombre des utilisateurs et des groupes les implémentations des ACL sur les différents Unix ne sont pas forcément compatibles entre elles sous Linux, il faut : un noyau 2.6.x ou 2.4.x (patché) un filesystem compatible (ext2, ext3, jfs, xfs, resiserfs, nfs)

23 Exemple un répertoire compta; un groupe «compta1» avec des droits de consultation uniquement; un groupe «compta2» avec des droits de modification ll -d dsk/compta/ drwx franck franck 1024 mar 24 09:25 dsk/compta// [aoi@test]$ ll -d dsk/compta/ drwxrw franck franck 1024 mar 24 09:25 dsk/compta// [aoi@test]$ getfacl dsk/compta// # file: dsk/compta # owner: franck # group: franck user::rwx group::--- group:compta1:r-- group:compta2:rwmask::rwother::-- Vérification au niveau du noyau [aoi@test]$ grep ACL /boot/config mdv # CONFIG_RSBAC_ACL is not set CONFIG_EXT2_FS_POSIX_ACL=y CONFIG_EXT3_FS_POSIX_ACL=y CONFIG_REISERFS_FS_POSIX_ACL=y CONFIG_JFS_POSIX_ACL=y CONFIG_FS_POSIX_ACL=y CONFIG_XFS_POSIX_ACL=y CONFIG_TMPFS_POSIX_ACL=y CONFIG_NFS_V3_ACL=y CONFIG_NFSD_V2_ACL=y CONFIG_NFSD_V3_ACL=y CONFIG_NFS_ACL_SUPPORT=m CONFIG_GENERIC_ACL=y Si le noyau ne supporte pas les ACL : il faut recompiler le noyau

24 Au montage du système de fichier, il faut indiquer la prise en charge des ACL (les commandes suivantes seront détaillées plus loin dans le cours) dd if=/dev/zero of=/tmp/exemple.raw bs=1m count= octets (134 MB) copiés, 1,03855 seconde, 129 MB/s /sbin/mkfs.ext3 /tmp/exemple.raw... UNIX]# mount -o loop,acl -t ext3 /tmp/exemple.raw ~franck/unix/dsk/ UNIX]# mount... /tmp/exemple.raw on /home/franck/unix/dsk type ext3 (rw,loop=/dev/loop0,acl) Exemple un répertoire compta; un groupe «compta1» avec des droits de consultation uniquement; un groupe «compta2» avec des droits de modification ll -d dsk/compta/ drwx franck franck 1024 mar 24 09:25 dsk/compta// [aoi@test]$ ll -d dsk/compta/ drwxrw franck franck 1024 mar 24 09:25 dsk/compta// [aoi@test]$ getfacl dsk/compta// # file: dsk/compta # owner: franck # group: franck user::rwx group::--- group:compta1:r-- group:compta2:rwmask::rwother::--

25 Il existe deux commandes spécifiques pour gérer les ACL Il existe deux commandes spécifiques pour gérer les ACL Commande : setfacl options droits fichiers Commande : getfacl fichiers setfacl permet de modifier les ACL ainsi que les droits classiques getfacl affiche les ACL ainsi que les droits classiques options «-m» : pour modifier des permissions «-x» : pour supprimer des permissions droits «u:», «g:», «o:» : définissent la portée des droits pour user, group et others «r», «w», «x» : définissent les permissions classiques

26 Exemple touch datacpt ls -l datacpt -rw-r--r-- 1 franck franck 0 mar 24 17:18 datacpt Il n'y a pas d'héritage par défaut des ACL par les objets enfants (fichiers d'un répertoire) Si besoin, il faut le définir explicitement avec l'option «d:» [root@localhost UNIX]# setfacl -m group:compta1:r-- datacpt [root@localhost UNIX]# setfacl -m group:compta2:rw- datacpt [root@localhost UNIX]# setfacl -m user:mc2test:rw- datacpt [aoi@test]$ getfacl datacpt # file: datacpt # owner: franck # group: franck user::rwuser:mc2test:rwgroup::r-- group:compta1:r-- group:compta2:rwmask::rwother::r-- [root@localhost UNIX]# setfacl -m user:mc2test:rw- rep [root@localhost UNIX]# setfacl -m group:compta2:rw- rep [aoi@test]$ touch rep/fichier [aoi@test]$ getfacl rep/fichier # file: rep/fichier # owner: franck # group: franck Pas d'héritage des ACL du répertoire rep user::rw- group::r-- other::r-- [aoi@test]$ ls -l rep/fichier -rw-r--r-- 1 franck franck 0 mar 24 17:44 rep/fichier

27 En utilisant l'option «d:» UNIX]# setfacl -m d:group:compta2:rw- rep2 UNIX]# setfacl -m d:user:mc2test:rw- rep2 touch rep2/fichier getfacl rep2/fichier # file: rep2/fichier # owner: franck # group: franck user::rwuser:mc2test:rwgroup::r-x héritage des ACL du répertoire rep2 par fichier #effective:r-- group:compta2:rwmask::rwother::r-- Compatibilité des commandes Sous Linux, il faut vérifier si les commandes de manipulation de fichier supportent les ACL ou utiliser l'option adéquate cp -a : pour conserver les attributs mv : conserve les attributs par défauts tar : ne conserve pas les attributs. Utiliser star à la place Sous Solaris, les commandes de manipulation de fichier supportent les ACL [aoi@test]$ ls -l rep2/fichier -rw-rw-r--+ 1 franck franck 0 mar 24 17:48 rep2/fichier

28 Généralités sur les comptes utilisateurs et groupes useradd, usermod, userdel groupadd, groupmod, groupdel passwd, gpasswd newgrp id su last, who, users, w

29 Utilisateurs : un compte par utilisateur définit son identification dans le système définit son environnement Les informations des utilisateurs sont stockées localement dans le fichier /etc/passwd Les utilisateurs peuvent être aussi bien des personnes, avec des comptes attachés à des utilisateurs physiques que des utilisateurs système crées notamment par le système lors de son installation Un utilisateur n'est donc pas uniquement une personne physique, le système a besoin d'utilisateurs pour sa gestion interne, notamment comme propriétaire des divers processus Dans un environnement multi-utilisateurs, il est nécessaire d'utiliser des mots de passe masqués séparation de passwd en passwd+shadow Sécurité des fichiers d'authentification du système se voit accrue shadow lisible que par root, alors que passwd est lisible par tous Pour cette raison, la plupart des Unix activent des mots de passe masqués par défaut Permissions 644 pour /etc/passwd - propriétaire : root 600 pour /etc/shadow propriétaire : root

30 D'une façon générale, les informations sont stockées dans un annuaire NIS, NIS+ LDAP AD Pour afficher l'ensemble des comptes : getent base Commande qui explore globalement le contenu des annuaires : utilisateurs, groupes, machines, services, protocoles,... Bases : Utilisateurs = passwd Groupes = group Mots de passe = shadow... $ cat /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh... $ getent passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh...

31 $ sudo getent shadow [sudo] password for franck: root:*:14655:0:99999:7::: daemon:*:14655:0:99999:7::: bin:*:14655:0:99999:7::: sys:*:14655:0:99999:7::: sync:*:14655:0:99999:7::: games:*:14655:0:99999:7::: man:*:14655:0:99999:7::: lp:*:14655:0:99999:7::: mail:*:14655:0:99999:7::: franck: $6$VaHESFSY$EitbBqiPxddsfjdjhflqfljsdjfqlfh,dnigfhrfjvnuefjefsjdsfqsfjsdsfsdfjfj1.Za4wY 5kXHR4R/gg0:14655:0:99999:7::: sshd:*:14655:0:99999:7::: uid:gid Nom du compte Mot de passe : référence au fichier shadow commentaire Répertoire d accueil Shell de login Mot de passe

32 champ 1 : login Nom sous lequel un ordinateur connaît un individu 8 caractères en général (32 possibles sous Linux mais certaines applications tronquent à 8 caractères) Respect de la casse Conseils : pas de majuscules, éviter les caractères accentués, plutôt des lettres minuscules, des chiffres et caractère «-» champ 3 : UID identificateur unique compris entre 0 et jusqu'au noyau 2.2, 4 milliards à partir de la version : uid de root 1 à 99 : généralement les comptes systèmes Numérotation débute souvent à 500 champ 4 : GID Ne peut pas commencer par un chiffre identificateur unique du groupe de l'utilisateur champ 2 : mot de passe Mot de passe chiffré ou «x» si le mot de passe est stocké dans le fichier /etc/shadow [aoi@test]$ ls -l exemple.txt -rw-r--r-- 1 franck franck 40 mar 26 15:12 exemple.txt [aoi@test]$ ls -ln exemple.txt -rw-r--r mar 26 15:12 exemple.txt chiffrement non réversible

33 champ 5 : gecos Identité en clair de l'utilisateur on peut y stocker d'autres données : n de tel, bureau, date de sortie la commande «chfn» permet de modifier ce champs champ 6 : répertoire home [root@localhost ~]# cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/bin/sh daemon:x:2:2:daemon:/sbin:/bin/sh adm:x:3:4:adm:/var/adm:/bin/sh lp:x:4:7:lp:/var/spool/lpd:/bin/sh sync:x:5:0:sync:/sbin:/bin/sync répertoire personnel par défaut /root par défaut pour root champ 7 : shell par défaut chemin absolu du shell par défaut [root@localhost ~]# cat /etc/shadow root:$1$x0suldpt$drgrg6nfmkr78q7bcwhal.:13481:0:99999:7::: bin:*:13481:0:99999:7::: daemon:*:13481:0:99999:7::: adm:*:13481:0:99999:7::: lp:*:13481:0:99999:7::: sync:*:13481:0:99999:7::: si champ vide : /bin/sh par défaut /bin/false : connexion impossible

34 groupes Les permissions établissent deux relations avec les fichiers Avec un utilisateur propriétaire Avec un seul groupe Les permissions relatives à un groupe s'appliquent à tous les utilsateurs du groupe Pour visualiser la liste des groupes : Visualiser le contenu du fichier /etc/group Plus généralement, utiliser la commande getent qui recherchera la liste des groupes en fonction de votre architecture d'authentification (fichier /etc/group, NIS, LDAP) $ cat /etc/group root:x:0: bin:x:1: daemon:x:2:messagebus,haldaemon sys:x:3: adm:x:4: tty:x:5: disk:x:6:... $ getent group root:x:0: bin:x:1: daemon:x:2:messagebus,haldaemon sys:x:3: adm:x:4: tty:x:5: disk:x:6:...

35 Les paramètres par défaut de la commande useradd sont stockés dans le fichier /etc/login.defs... # Min/max values for automatic uid selection in useradd # UID_MIN 1000 UID_MAX # System accounts #SYS_UID_MIN 100 #SYS_UID_MAX 999 # # Min/max values for automatic gid selection in groupadd # GID_MIN 1000 GID_MAX # System accounts #SYS_GID_MIN 100 #SYS_GID_MAX

36 exemples : usermod [options] user [root@ ]# useradd bob [root@ ]# passwd bob Changing password for user bob. New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully. [root@ ~]# useradd -m -p aqzs444 bob [root@ ~]# ls /home/ bob/ [root@ ~]# grep bob /etc/passwd bob:x:501:502::/home/bob:/bin/bash [root@ ~]# grep bob /etc/shadow bob:aqzs444:13563:0:99999:7::: modifie les informations d'un compte utilisateur accepte les mêmes options que la commande useradd ne pas modifier l'uid pendant que l'utilisateur exécute une application options particulières : -L bloque le mot de passe - invalide le compte -U débloque le mot de passe [root@ ~]# grep bob /etc/passwd bob:x:501:502::/home/bob:/bin/bash [root@ ~]# usermod -g market bob [root@ ~]# grep bob /etc/passwd bob:x:501:20000::/home/bob:/bin/bash

37 userdel [options] user Changement du mot de passe Supprime un compte commande «passwd» Attention aux objets appartenant au compte Solution plus souple : désactiver le compte (chage, usermod, passwd) options particulières : -r supprime également le home directory par un utilisateur standard [mc2test@localhost]$ passwd Changing password for user mc2test. Changing password for mc2test (current) UNIX password: New UNIX password: BAD PASSWORD: it is based on a (reversed) dictionary word New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully. par root [root@localhost ~]# passwd mc2test Changing password for user mc2test. New UNIX password: BAD PASSWORD: it is based on a dictionary word Retype new UNIX password: passwd: all authentication tokens updated successfully.

38 passwd [options] [user] chage [options] [user] Modification du mot de passe Gestion des informations de validité du mot de passe options particulières : options particulières : -l bloque le compte (ajout du prefixe! au password) -u débloque le compte (retrait du prefixe!) -d désactive le mot de passe (déinit le compte comme sans mot de passe) -f force un mot de passe vide -S donne des infos sur le passwd d'un compte -E fixe la date de fin de validité (format AAAA-MM-JJ). Valeur -1 pour supprimer la date de fin de validité -I fixe le nbe de jours d'inactivité après dépassement de la date de fin de validité avant blocage du compte -l affiche les informations sur la validité du password -m nbe min de jours entre chaque modif du password (2 : chgt tous les 2 jours) # passwd -S user1 user1 PS (Password set, MD5 crypt.) -M nbre max de jours de validité du password -W nbre de jours d'avertissement avant changement obligatoire

39 Toutes les valeurs par défaut de validité du compte sont défines dans le fichier /etc/login.defs # # Password aging controls: # # PASS_MAX_DAYS Maximum number of days a password may be used. # PASS_MIN_DAYS Minimum number of days allowed between password changes. # PASS_WARN_AGE Number of days warning given before a password expires. # PASS_MAX_DAYS PASS_MIN_DAYS 0 PASS_WARN_AGE 7

40 Sans utilisation de l'option «-» : pas de shell de login donc certaines variables d'environnement (PATH par exemple, homedir ) ne sont pas mises à jour Pour quitter l'identité acquise (en fait c'est un nouveau processus shell qui s'exécute sous le compte d'un autre utilisateur) : exit [franck@localhost 2007]$ id uid=500(franck) gid=500(franck) groupes=500(franck) [franck@localhost 2007]$ pwd /home/franck/cours/aoi/2007 [franck@localhost 2007]$ su mc2test Mot de passe : [mc2test@localhost 2007]$ id uid=503(mc2test) gid=503(mc2test) groupes=503(mc2test) [mc2test@localhost 2007]$ exit exit [franck@localhost 2007]$ id uid=500(franck) gid=500(franck) groupes=500(franck) [mc2test@localhost 2007]$ id uid=503(mc2test) gid=503(mc2test) groupes=503(mc2test) [mc2test@localhost 2007]$ pwd /home/franck/cours/aoi/2007

41 Avec utilisation de l'option «-» : utilisation d'un shell de login [franck@localhost 2007]$ id uid=500(franck) gid=500(franck) groupes=500(franck) [franck@localhost 2007]$ pwd /home/franck/cours/aoi/2007 Pour devenir root su - su root Lorsque root lance la commande su :mot de passe non nécessaire [franck@localhost 2007]$ su - mc2test Mot de passe : [mc2test@localhost ~]$ id uid=503(mc2test) gid=503(mc2test) groupes=503(mc2test) [mc2test@localhost ~]$ pwd /home/mc2test

42 Groupes primaires et secondaires Un groupe peut être primaire pour un utilisateur et secondaire pour un autre Groupe primaire : groupe associé à un utilisateur après son authentification => tout fichier crée par l'utilisateur prendra le GID du groupe primaire de l'utilisateur comme identifiant de groupe Groupe secondaire : groupes supplémentaires auxquels appartient l'utilisateur Les groupes secondaires sont définis dans la table group Commande usermod -G pour ajouter une appartenance à un groupe secondaire Est utilisé pour exécuter des applications Le groupe primaire est défini dans la table passwd Commande newgrp pour changer temporairement de groupe primaire

43 La table group permet de définir les groupes secondaires et d'y associer un GID... 4 champs group : mot de passe : GID : membres champ 1 : nom du groupe champ 2 : mot de passe du groupe (généralement vide) champ 3 : Identificateur unique du groupe (GID) champ 4 : membres du groupe séparés par des virgules $ cat /etc/group root:x:0: bin:x:1: daemon:x:2:messagebus,haldaemon sys:x:3: adm:x:4: tty:x:5: disk:x:6: Il est possible, bien que peu courant, d'associer un mot de passe à un groupe En fonction de la méthode d'authentification, des informations complémentaires sont ajoutées Dans le cas d'une gestion des groupes via le fichier /etc/group, les mot de passe de groupe sont stockés dans le fichier /etc/gshadow On y trouve : champ 1 : l'identifiant du groupe champ 2 : mot de passe du groupe chiffré champ 3 : utilisateurs habilités à administrer le groupe champ 4 : membres du groupe séparés par des virgules

44 Commandes de gestion des groupes groupadd <group> crée un groupe sur le système options courantes : -g gid définit l'identifiant de groupe (gid). Doit être unique. [root@ ~]# groupadd -g market [root@ ~]# grep market /etc/group market:x:20000: Commandes associées groupmod et groupdel Possibilité de modifier manuellement le fichier /etc/group vi ou vigr Vérifier l'appartenance à un groupe groups : affiche les groupes auxquels l'utilisateur appartient [root@localhost ~]# groups root bin daemon sys adm disk wheel id : affiche l'identité de l'utilisateur [root@localhost ~]# id uid=0(root) gid=0(root) groupes=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) Vérifier la cohérence des fichiers /etc/group et /etc/gshadow grpck [root@localhost ~]# grpck aucune entrée correspondante dans le fichier de groupe /etc/gshadow ajouter le groupe «test1» dans /etc/gshadow

45 Ajouter des utilisateurs à un groupe Faire appartenir un fichier à un groupe usermod -G groupe1[,groupe2,...] user Directement en paramètre à la création de l'utilisateur chrgrp <groupe> <fichiers> chown user:groupe <fichiers> En modifiant manuellement /etc/group ~]# groupadd usertest ~]# getent group grep usertest usertest:x:503: ~]# id test uid=501(test) gid=501(test) groupes=501(test) ~]# usermod -G usertest test ~]# id test uid=501(test) gid=501(test) groupes=501(test),503(usertest) Pour que cela fonctionne : il faut être root ou appartenir au groupe [franck@localhost ~]$ ls -l fictest -rw-rw-r-- 1 franck franck 0 mar 14 11:45 fictest [franck@localhost ~]$ id uid=500(franck) gid=500(franck) groupes=500(franck),503(usertest) [franck@localhost ~]$ chgrp usertest fictest [franck@localhost ~]$ ls -l fictest -rw-rw-r-- 1 franck usertest 0 mar 14 11:45 fictest

46 Changer les permissions de groupe d'un fichier (cf. plus haut) chmod Permissions spéciales pour un groupe setgid bit s'il s'agit d'un fichier S'il est positionné pour un fichier exécutable, le processus lancé aura l'identifiant de groupe du fichier à la place de celui de l'utilisateur setgid bit s'il s'agit d'un répertoire les fichiers crées dans le répertoire auront pour groupe celui du répertoire et non celui de l'utilisateur qui les crée ~]$ ls -l fichier -rw-rw-r-- 1 franck franck 0 mar 14 12:03 fichier [franck@localhost ~]$ chmod g+xs fichier [franck@localhost ~]$ ls -l fichier -rw-rwsr-- 1 franck franck 0 mar 14 12:03 fichier [franck@localhost ~]$ ls -ld repertoire drwxrwxr-x 2 franck franck 4096 mar 14 12:09 repertoire [franck@localhost ~]$ chmod g+s repertoire/ [franck@localhost ~]$ ls -ld repertoire drwxrwsr-x 2 franck franck 4096 mar 14 12:09 repertoire

47 ~]$ ls -ld repertoire drwxrwsr-x 2 franck franck 4096 mar 14 12:09 repertoire [franck@localhost ~]$ touch repertoire/fic1 [franck@localhost ~]$ ls -l repertoire/fic1 -rw-rw-r-- 1 franck franck 0 mar 14 12:12 repertoire/fic1 [franck@localhost ~]$ chgrp usertest repertoire/ [franck@localhost ~]$ ls -ld repertoire drwxrwsr-x 2 franck usertest 4096 mar 14 12:12 repertoire [franck@localhost ~]$ touch repertoire/fic2 [franck@localhost ~]$ ls -l repertoire/fic2 -rw-rw-r-- 1 franck usertest 0 mar 14 12:14 repertoire/fic2 Modifier temporairement le groupe primaire newgrp <groupe> Equivalent à la commande su pour les groupes newgrp - <groupe> : l'option «-» réinitialise l'environnement utilisateur Permet de changer de groupe primaire en lançant un nouveau shell [franck@localhost ~]$ id uid=500(franck) gid=500(franck) groupes=500(franck),503(usertest) [franck@localhost ~]$ newgrp usertest [franck@localhost ~]$ id uid=500(franck) gid=503(usertest) groupes=500(franck),503(usertest) [franck@localhost ~]$ exit exit [franck@localhost ~]$ id uid=500(franck) gid=500(franck) groupes=500(franck),503(usertest)

48 Les groupes standards pwconv Ils sont prédéfinis à l'installation de la distribution root : tous les droits adm : administratif avec droits spéciaux lp : lié aux impressions sync : lié à la synchronisation du système shutdown : lié à l'arrêt du système... Il ne faut évidemment pas supprimer ces groupes Crée un fichier shadow à partir d'un fichier passwd et d'un fichier shadow s'il existe pwunconv Crée un fichier passwd à partir d'un fichier shadow et d'un fichier passwd puis supprime shadow grpconv Crée un fichier gshadow à partir d'un fichier group et d'un fichier gshadow s'il existe grpunconv Crée un fichier group à partir d'un fichier gshadow et d'un fichier group puis supprime gshadow

49 /var/run/utmp Fichier qui stocke les informations concernant les accès utilisateurs en cours /var/log/wtmp last Fichier contenant l'historique des connexions et déconnexions utilisateurs, les arrêts et reboots du système Affiche les dernières connexions. Récupère l'info depuis /var/log/wtmp who, w, users Affiche qui est connecté sur le système. Récupère l'info depuis /var/run/utmp

50 Recherche de motifs grep Recherche de fichier find Sommaire

51 Recherche de motif dans un fichier : grep Recherche de motif dans un fichier : grep Commande «grep» Exemple syntaxe : grep [options] regexp fichiers option utile option «-i» : pas de différence entre majuscules et minuscules option «-n» : affichage des numéros de lignes option «-l» : affichage des noms de fichier seulement [aoi@test]$ cat toto.txt Ligne avec toto dedans Ligne sans le mot à rechercher Ligne avec ToTo avec des majuscules Dernière ligne [aoi@test]$ grep toto toto.txt Ligne avec toto dedans option «-v» : affichage les lignes ne correspondant pas aux critères en pratique, il faut écrire la regexp entre apostrophes «'» (justification dans le cours sur le shell) [aoi@test]$ grep -i toto toto.txt Ligne avec toto dedans Ligne avec ToTo avec des majuscules [aoi@test]$ grep -iv toto toto.txt Ligne sans le mot à rechercher Dernière ligne

52 Recherche de motif dans un fichier : grep Exemple [aoi@test]# wc -l /etc/cups/cupsd.conf 778 /etc/cups/cupsd.conf [aoi@test]# grep ^[^#] /etc/cups/cupsd.conf LogLevel info... BrowseAllow Listen :631 Recherche de fichiers find [aoi@test]# grep ^[^#] /etc/cups/cupsd.conf wc -l 20

53 Recherche d'objets : find Recherche d'objets : find La recherche démarre à partir d'un répertoire de départ et sur la base de critères définis par des expressions Commande «find» syntaxe : find répertoires expressions point de depart répertoires indique le ou les répertoires à partir desquels find démarre la recherche Les expressions indiquent : des conditions des actions à réaliser sur les fichiers trouvés ananas Recherche d'un nom «-name nom» : nom spécifié avec les métacaractères du shell ananas exemples $ find. -name '*.txt' -print $ find. -name 'httpd.conf' -print

54 Recherche sur les droits d'accès Recherche d'objets : find «-perm permissions» : les permissions (en octal ou symbolique) doivent être strictement celles indiquées «-perm -permissions» : tous les bits indiqués doivent être positionnés «-perm /permissions» : au moins l'un des bits indiqués doit être positionné exemples $ find. perm 664 -print (fichiers avec rw-rw-r-- exactement) $ find / -perm 664 -print (fichiers rwxrwxrwx correspondent également) Recherche d'objets : find Recherche sur les propriétaires des objets «-user nomuser» : le propriétaire de l'objet doit être «nomuser» exemple $ find /home -user corsini -print Recherche sur les tailles d'objets «-size [+ -]tailleunité» : les fichiers doivent avoir pour taille exactement tailleunité (+ : plus de tailleunité; - : moins de tailleunité) où taille est un nombre et unité = «c» pour octet, «k» pour kilooctet, «M» pour megaoctet et «G» pour Gigaoctet exemple (les fichiers de plus de 30 Mo) $ find /home/toto -size 30M -print

55 Recherche d'objets : find Recherche d'objets : find Recherche sur les types d'objets Recherche sur les dates d'objets «-type code» : ou code = «f» : fichier régulier «d» : répertoire «l» : lien symbolique «c» : fichier mode caractère «b» : fichier mode bloc exemples $ find. -type f -exec file '{}' \; «-atime [+ -]nombre» : fichiers accédés il y a «nombre» jours (+ : plus de «nombre» jours, - moins de «nombre» jours) «-mtime [+ -]nombre» : fichiers modifiés il y a «nombre» jours «-ctime [+ -]nombre» : fichiers crées il y a «nombre» jours ou n = 24 heures exemples $ find. -mtime -3 -print (fichiers modifiés il y a moins de 3 jours) $ find. -mtime +3 -print (fichiers modifiés il y a plus de 3 jours)

56 Recherche d'objets : find Recherche d'objets : find Affichage des objets trouvés Composition de critères de recherche «-print» «-ls» [aoi@test]$ find. -mtime -2 -type f -print./exemple2.txt./exemple.txt./exemple2.txt~ [aoi@test]$ find. -mtime -2 -type f -ls rw-r--r-- 1 franck franck 142 mar 26 15:21./exemple2.txt rw-r--r-- 1 franck franck 40 mar 26 15:12./exemple.txt rw-r--r-- 1 franck franck 77 mar 26 15:19./exemple2.txt~ ou logique «-cond1 -o cond2» et logique «-cond1 -a cond2» (-a facultatif) groupement d'expressions «\( -cond1 -[ao] cond2 \)» (attention à la protection des paranthèses avec «\» - justification dans le cours sur le shell) Attention : il faut laisser un espace avant et après les paranthèses exemple $ find. \( -name " *.jpg " -o -name " *.jpeg " \) -a -size +100M -print

57 Recherche d'objets : find Recherche d'objets : find Execution d'une commande Exemple «-exec commande {} \;» (attention à la protection du «;» avec «\» - justification dans le cours sur le shell) Un script crée une copie quotidienne d'un fichier journal d'oracle «{}» symbolise dans la commande le fichier trouvé exemple : rechercher tous les fichier de type régulier et les effacer [aoi@test]$ ls -l total 2 -rw-r--r-- 1 franck franck 0 mar 27 15:32 a -rw-r--r-- 1 franck franck 0 mar 27 15:32 b -rw-r--r-- 1 franck franck 0 mar 27 15:32 c drwxr-xr-x 2 franck franck 1024 mar 27 15:33 d/ drwxr-xr-x 2 franck franck 1024 mar 27 15:33 e/ [aoi@test]$ find. -type f -exec rm {} \; [aoi@test]$ ls -l total 2 drwxr-xr-x 2 franck franck 1024 mar 27 15:33 d/ drwxr-xr-x 2 franck franck 1024 mar 27 15:33 e/ Le nom du fichier est ora-journal suivi de la date du jour de la copie Avec la commande find, on peut rechercher les copies qui sont vielles de 21 jours et les supprimer [abd@test]$ find /backup/logs -name ora-journal* -mtime +21 -exec rm -f {} \;

58 Recherche d'objets : locate locate permet de rechercher un motif dans un nom de fichier dans une base de donnée indexée (pour accélérer la recherche) slocate est une version sécurisée de locate La base de donnée est crée par la commande locate avec l'option -u Elle est mise à jour avec la commande updatedb # locate mysql /home/franck/cours/aoi/2006/unix/cours/aoi-3/rcs/2310-mysql.tex,v /home/franck/cours/aoi/2006/unix/cours/aoi-4/rcs/2310-mysql.tex,v... /usr/share/zsh/4.3.4/functions/_mysql_utils /usr/share/zsh/4.3.4/functions/_mysqldiff Recherche d'objets : whereis whereis permet de rechercher les binaires, sources et pages de manuel d'une commande Recherche dans les répertoires habituels de l'arborescence unix # whereis locate locate: /usr/bin/locate /usr/share/man/man1/locate.1.gz which affiche le chemin absolu d'une commande passée en paramètre Recherche dans les répertoires définis dans la varible d'environnement PATH # which locate /usr/bin/locate

59 Recherche d'objets : whatis makewhatis crée une base de donnée à partir du contenu des pages de manuel whatis recherche des noms complets dans la base de données whatis # whatis locate locate (1) - find files by name apropos recherche une chaîne de caractères dans la base de données whatis # apropos locate acl_free data object alloc_hugepages asprintf... (3) - release memory allocated to an ACL (2) - allocate or free huge pages (3) - print to allocated string