« Gestion des ACL » : différence entre les versions
(Sauvegarde du premier jet) |
m (→Exemple pratique : Suite) |
||
| Ligne 4 : | Ligne 4 : | ||
==Exemple pratique== | ==Exemple pratique== | ||
Soit un fichier /var/www/index. | Soit un fichier <code>/var/www/index.php</code> (page d'index d'un site web, par exemple) dont les droits sont les suivants : | ||
<code>$ ls -l /var/www/index.php | |||
-rw-r----- 1 root www-data 18 2005-09-11 11:24 /var/www/index.php | |||
</code> | |||
En d'autres termes, root en est le propriétaire ; il peut le lire et le modifier ; le fichier est aussi accordé au groupe www-data (celui sous lequel, par exemple, tourne le [[Reseau-web-Apache PHP MySQL|serveur web]]), dont les membres peuvent le lire mais pas le modifier. Quant au reste du monde, il ne peut pas y accéder (le fichier contient des informations confidentielles telles qu'un mot de passe à une base de données [[Reseau-web-Apache PHP MySQL|MySQL]]). | |||
Imaginons qu'on veuille rendre le fichier accessible en lecture aux utilisateurs Jean et Luce, en lecture et écriture à Khadija et Alice. On pourrait à la rigueur faire entrer Jean et Luce dans le groupe www-data mais cela introduirait une faille de sécurité car www-data peut accéder des données qui ne les concernent pas. Il n'est en tout cas rationnellement pas prudent d'ajouter Khadija et Alice au groupe root. On ne peut non plus changer les permissions (en lecture et écriture pour tout le monde) ou modifier le propriétaire et le groupe. | |||
Les ACL sont là une solution pratique et facile à gérer : il suffit d'ajouter des permissions ACL au fichier (grâce à des commandes décrites plus bas) du type : | |||
<code>root: -rw | |||
www-data: -r- | |||
Khadija: -rw | |||
Alice: -rw | |||
Jean: -r- | |||
Alice: -r- | |||
reste du monde : --- | |||
</code> | |||
==Mise en place== | ==Mise en place== | ||
Version du 25 octobre 2005 à 00:07
Les ACL, ou Access Control Lists (en anglais : « listes de contrôle d'accès ») sont, pour les définir grossièrement, des permissions supplémentaires que peuvent recevoir les fichiers.
Ainsi, au moyen des ACL, on peut étendre le nombre d'utilisateurs et de groupes concernés par un même fichier. Rappelons que dans le monde *NIX, chaque fichier ne peut avoir des permissions que pour un utilisateur, un groupe et une catégorie correspondant à « tous les autres ». On se rapproche de cette manière du système de permissions à la Windows NT.
Exemple pratique
Soit un fichier /var/www/index.php (page d'index d'un site web, par exemple) dont les droits sont les suivants :
$ ls -l /var/www/index.php
-rw-r----- 1 root www-data 18 2005-09-11 11:24 /var/www/index.php
En d'autres termes, root en est le propriétaire ; il peut le lire et le modifier ; le fichier est aussi accordé au groupe www-data (celui sous lequel, par exemple, tourne le serveur web), dont les membres peuvent le lire mais pas le modifier. Quant au reste du monde, il ne peut pas y accéder (le fichier contient des informations confidentielles telles qu'un mot de passe à une base de données MySQL).
Imaginons qu'on veuille rendre le fichier accessible en lecture aux utilisateurs Jean et Luce, en lecture et écriture à Khadija et Alice. On pourrait à la rigueur faire entrer Jean et Luce dans le groupe www-data mais cela introduirait une faille de sécurité car www-data peut accéder des données qui ne les concernent pas. Il n'est en tout cas rationnellement pas prudent d'ajouter Khadija et Alice au groupe root. On ne peut non plus changer les permissions (en lecture et écriture pour tout le monde) ou modifier le propriétaire et le groupe.
Les ACL sont là une solution pratique et facile à gérer : il suffit d'ajouter des permissions ACL au fichier (grâce à des commandes décrites plus bas) du type :
root: -rw
www-data: -r-
Khadija: -rw
Alice: -rw
Jean: -r-
Alice: -r-
reste du monde : ---
Mise en place
Noyau
Systèmes de fichiers/montage des partitions
Commandes
Copyright
© date auteur Modèle:LICENCE