Gérez les comptes utilisateurs et contrôlez les permissions avec Linux

Table des matières

Table des matières

Maîtrisez les permissions standards des fichiers et dossiers

Vous avez bien structuré vos équipes grâce aux groupes. Cependant, si nos collaborateurs de la gestion et de la conformité tentent de travailler ensemble, un problème de taille subsiste : par défaut, un fichier appartient souvent exclusivement à son créateur et à son groupe, empêchant les autres membres de l'équipe d'y accéder, ou à l'inverse, laissant des portes ouvertes indésirables.

Votre mission est claire : garantir l’isolement total des données sensibles vis-à-vis du support, tout en permettant des accès en lecture pour la conformité ou en écriture pour la gestion. 

Pour y parvenir, vous allez apprendre à interpréter les permissions existantes, à les modifier, à transférer la propriété d'un document, et enfin à anticiper les accès de vos futurs fichiers. 

Interprétez les permissions et la propriété des fichiers

Avant de distribuer des accès, il faut comprendre comment Linux les gère. Chaque fichier et dossier est associé à un propriétaire, un groupe et des autres utilisateurs, qui n’ont pas forcément les mêmes droits.

Le système divise les utilisateurs en trois grandes catégories :

Schéma des permissions Linux : propriétaire, groupe et autres utilisateurs avec des droits distincts.
Grandes catégories d’utilisateurs

  • Le propriétaire : c'est l'utilisateur responsable du fichier, généralement celui qui l'a créé.

  • Le groupe : il permet de partager des droits entre plusieurs utilisateurs appartenant à une même équipe.

  • Les autres : tous les autres utilisateurs du système qui ne sont ni le propriétaire, ni membres du groupe ciblé.

Pour chacune de ces catégories, les permissions définissent ce que chacun peut faire : 

Permissions

Fichier

Dossier

r  (read)

Lire contenu

Lister contenu

w  (write)

Modifier

Créer/supprimer fichiers et sous-dossiers

x   (execute)

Exécuter

Entrer dans le dossier

Pour lire les droits d'un fichier, utilisez  ls -l   :

ls -l rapport_mensuel.txt
```
Vous obtenez une ligne comme celle-ci :
```
-rwxr-xr-- 1 nadia gestion 4096 oct 12 10:00 rapport_mensuel.txt

Concentrez-vous uniquement sur les 10 premiers caractères :  -rwxr-xr--  . Ils résument à eux seuls qui peut faire quoi sur ce fichier.

Le premier caractère indique le type de l'élément : - pour un fichier, d pour un dossier.

Les 9 caractères restants se lisent en trois blocs de 3, dans l'ordre suivant :

  • rwx→ les droits du propriétaire (icinadia) : elle peut lire, modifier et exécuter

  • r-x→ les droits du groupe (icigestion) : il peut lire et traverser, mais pas modifier

  • r--→ les droits des autres : lecture seule

Dans chaque bloc, un-  signifie simplement que le droit est absent.

Rosa insiste :

Avant de modifier des permissions, il faut toujours commencer par les lire et les comprendre ! Ne vous précipitez pas sur votre clavier pour taper une commande d'édition : utilisez toujoursls -lpour analyser la situation initiale.

Modifiez les permissions avec la commande chmod

Maintenant que vous savez lire les droits, vous allez pouvoir les ajuster. La commandechmod(change mode) permet de modifier les permissions d’un fichier ou d’un dossier de manière ciblée.

Dans notre contexte de sécurité stricte, nous privilégierons la méthode numérique (aussi appelée mode octal). Derrière ce nom un peu technique se cache en réalité un système de points accessible !

Imaginez que vous configurez le badge d'accès d'un collaborateur pour un document. Chaque permission vaut un certain nombre de points :

Points

Accès

4 points pour la lecture (r) 

Droit de consulter

2 points pour l'écriture (w)

Le stylo pour modifier

1 point pour l'exécution (x)

La clé pour franchir la porte

0 point 

Aucun accès

Pour donner plusieurs droits en même temps, il vous suffit d'additionner les points de ce que vous voulez autoriser !

  • Vous voulez donner un accès total (lire, écrire, exécuter) ? Vous additionnez 4 + 2 + 1 = 7.

  • Vous voulez que l'équipe puisse seulement lire et entrer, sans rien modifier ? Vous additionnez 4 + 1 = 5.

C'est pour cela que nos commandes de permissions prennent la forme de nombres à trois chiffres. Chaque chiffre correspond au nombre total de points accordés respectivement à nos trois catégories (le Propriétaire, le Groupe, et les Autres) :

  • chmod 770 fichier: le propriétaire a tous les droits (7), le groupe métier a tous les droits (7), et le reste de l'entreprise est bloqué (0).

  • chmod 750 fichier  : le propriétaire garde les pleins pouvoirs (7), le groupe métier ne peut que lire et exécuter (5), et le reste de l'entreprise est bloqué (0).

Dans cette vidéo, voyez comment analyser les droits d'un fichier avecls -l et utiliser la commande  chmodpour restreindre l'accès en mode octal.

Dans cette vidéo, on a : 

  • analysé les droits initiaux d'un fichier à l'aide de la commandels -l,

  • modifié ces permissions en appliquant le système de points avec la commande chmod 750,

  • vérifié la bonne application de ces nouvelles restrictions de sécurité avec un nouveau  ls -l

  • validé concrètement l’effet des permissions en testant l’accès au fichier depuis un autre utilisateur.

Modifiez le propriétaire et le groupe avec la commande chown

Il arrive qu'un fichier doive changer de main. Imaginez que Nadia crée un document : elle en est naturellement la propriétaire. Mais si ce fichier doit finalement être géré par l'équipe entière ou transféré à un autre service, il faut pouvoir le réattribuer !

La commandechown(change owner) permet de modifier le propriétaire et/ou le groupe associé à un fichier ou un dossier.

Voici en vidéo comment effectuer ce transfert de propriété en direct dans le terminal.

Dans cette vidéo, on a :

  • observé la propriété initiale d'un fichier avec ls -l,

  • illustré l'obligation d'utiliser des droits administrateur (sudo) pour transférer la propriété,

  • modifié séparément puis simultanément le propriétaire et le groupe d'un fichier,

  • appliqué la commandechownà un dossier.

Anticipez les droits par défaut avec la commande umask

Jusqu'ici, vous avez appris à corriger des droits existants. Mais que se passe-t-il au moment où un fichier est créé ?

Linux applique automatiquement des permissions par défaut à chaque nouveau fichier ou dossier. C'est là qu'intervient leumask: il définit quels droits seront retirés dès la création, avant même que vous n'ayez à intervenir.

Pour consulter votreumask actif :

umask

```

```

0022

Cette valeur signifie que les droits d'écriture seront automatiquement retirés au groupe et aux autres. Un fichier créé dans cette session naîtra donc avec des accès restreints par défaut, ce qui est une bonne base de départ.

À vous de jouer 

Contexte

Un dossier destiné à accueillir les documents de l’équipe de gestion administrative vient d’être créé sur la machine Linux partagée. Ce dossier servira notamment à stocker des fichiers comme “bilan_annuel.xlsx” ou “contrats_prestataires.pdf”. Cependant, la configuration actuelle du dossier pose plusieurs problèmes :

  • il n’appartient pas au bon utilisateur,

  • il est accessible à tous les utilisateurs du système,

  • les règles de sécurité du service ne sont pas respectées.

Votre mission consiste à corriger la configuration du dossier afin de garantir la confidentialité des documents sensibles.

Les règles de sécurité sont les suivantes :

  • Nadia doit pouvoir créer et modifier les documents,

  • les membres du groupe gestion doivent pouvoir accéder au dossier et travailler dedans,

  • les autres utilisateurs du système (dont le profil support) ne doivent avoir aucun accès.

Préparation de l’environnement

Avant de commencer, créez la situation initiale suivante dans votre terminal :

sudo mkdir /opt/documents-gestion

sudo chown root:root /opt/documents-gestion

sudo chmod 777 /opt/documents-gestion

Cette configuration est incorrecte et trop permissive.

Consignes

Certaines actions nécessitent des privilèges administrateur. Utilisez la commandesudolorsque cela est nécessaire, notamment pour modifier les permissions ou la propriété des fichiers.

  1. Vérifiez les permissions et la propriété actuelles du dossier/opt/documents-gestion

  2. Modifiez le propriétaire et le groupe du dossier afin qu’il appartienne à :

    1. utilisateur : nadia

    2. groupe : gestion

  3.  Modifiez les permissions du dossier pour permettre :

    1. un accès complet au propriétaire,

    2. un accès complet au groupe gestion,

    3. aucun accès aux autres utilisateurs.

  4. Vérifiez que la configuration finale est correcte à l’aide de la commande appropriée.

En résumé

  • Chaque fichier ou dossier possède un propriétaire, un groupe et des autres utilisateurs, et les permissionsr,wetxdéfinissent précisément qui peut lire, modifier ou exécuter.

  • La commandels -lpermet d’interpréter les droits existants en analysant les blocs de permissions associés au propriétaire, au groupe et aux autres.

  • La commandechmodmodifie les permissions en mode numérique en attribuant des points à la lecture (4), à l’écriture (2) et à l’exécution (1), ce qui permet de configurer des accès strictement contrôlés.

  • La commandechown, utilisée avec des privilèges administrateur, permet de transférer la propriété d’un fichier ou d’un dossier à un autre utilisateur ou groupe.

  • La commandeumaskdéfinit les permissions retirées par défaut lors de la création d’un nouveau fichier, ce qui permet d’anticiper la sécurité sans corriger les droits après coup.

Vos dossiers sensibles sont désormais sécurisés grâce aux permissions standards ! Mais un nouveau défi vous attend : ce modèle classique devient vite trop rigide pour gérer les exceptions dans un espace de travail collaboratif. Vous apprendrez donc à appliquer des mécanismes de contrôle d'accès avancés pour configurer des partages sur mesure.

Avez-vous une suggestion pour nous ?
Et si vous obteniez un diplôme OpenClassrooms ?
  • Formations jusqu’à 100 % financées
  • Date de début flexible
  • Projets professionnalisants
  • Mentorat individuel
Trouvez la formation et le financement faits pour vous
Être orientéComparez nos types de formation