Appliquez des mécanismes de contrôle d’accès avancés

Il est 9h00, vous venez d'arriver au bureau avec votre café, quand Nadia, notre chargée de gestion, vient vous voir d'un air contrarié :

J'ai un gros souci avec le nouveau dossier d'équipe. Hier, j'y ai glissé mon bilan trimestriel pour que mes collègues de la gestion puissent le compléter. Mais Bruno, de la conformité, a fait une mauvaise manipulation et a supprimé mon fichier par erreur ! En plus, je dois donner un accès exceptionnel à ce bilan au technicien du support juste pour aujourd'hui, mais je ne veux surtout pas lui donner accès à tout le dossier !

Vous voici confronté à la réalité du terrain. Le modèle classique que vous venez d'apprendre (propriétaire / groupe / autres) est excellent, mais certains cas ne rentrent tout simplement pas dans ces règles standards. Vous devez désormais gérer des exceptions et sécuriser des espaces partagés sans tout remettre en cause. 

Comprenez les limites des permissions standards

Le modèle des permissionsrwxfonctionne parfaitement dans la majorité des cas : un fichier appartient à quelqu'un, à un groupe, et le reste du monde est bloqué. Mais dès que la collaboration s'intensifie, ce modèle devient insuffisant, voire frustrant.

Voici les principales limites que vous rencontrerez inévitablement en entreprise :

Structurez un dossier collaboratif avec le bit setgid

Commençons par régler le problème d'héritage de Nadia. Dans un espace collaboratif, il est souvent nécessaire que chaque nouveau document appartienne automatiquement au groupe de l'équipe, et non au groupe personnel de son créateur.

Pour forcer ce comportement, Linux propose un mécanisme particulier : le setgid (Set Group ID). Appliqué à un dossier, il agit comme un tampon : tout fichier créé à l’intérieur hérite automatiquement du groupe de ce dossier.

Pour l’activer, on utilise la commandechmodavec l’option  g+s:

ls -ld /opt/documents-gestion
sudo chmod g+s /opt/documents-gestion

Il est également possible d’utiliser la notation octale. Dans ce cas, il suffit d’ajouter un2devant les permissions :

sudo chmod 2770 /opt/documents-gestion

Puis, on vérifie le résultat : 

ls -ld /opt/documents-gestion

Le résultat affiche alors :

drwxrws--- 2 nadia gestion 4096 oct 12 10:01 /opt/documents-gestion

Comme vous pouvez le constater, les apparaît à la place du bit d’exécution du groupe. Il indique que le mécanismesetgid est actif sur ce dossier.

Désormais, si Nadia crée un fichier à l'intérieur, il appartiendra automatiquement au groupegestion . Ce mécanisme est très utilisé en environnement professionnel pour structurer efficacement les espaces de travail collaboratifs.

Protégez les dossiers partagés avec le Sticky Bit

Le dossier est maintenant collaboratif, mais il reste dangereux. Si tous les membres de la gestion ont le droit d'écrire (w ) dans ce répertoire, Linux autorise alors chaque membre à supprimer n’importe quel fichier présent dans le dossier, même s’il n’en est pas le propriétaire.

C’est le moment idéal pour introduire une nouvelle option : le Sticky Bit. Pour éviter les accidents (ou les actes malveillants), il agit comme un véritable “cadenas” sur le dossier.

On l’active avec la commande suivante :

sudo chmod +t /opt/documents-gestion

Comme pour le setgid, il est également possible d’utiliser la notation octale :

sudo chmod 1770 /opt/documents-gestion

Le chiffre 1 active le Sticky Bit, tandis que770définit les permissions classiques.

Il est même possible de combiner plusieurs mécanismes. Par exemple, pour activer à la fois le setgid et le Sticky Bit :

sudo chmod 3770 /opt/documents-gestion

Puis, on vérifie :

ls -ld /opt/documents-gestion

Et on regarde le résultat : 

drwxrws--t 2 nadia gestion 4096 /opt/documents-gestion

La lettretapparaît à la fin des permissions et indique que le Sticky Bit est actif.

Dans un espace partagé, le Sticky Bit est votre meilleur allié : il protège les fichiers contre la suppression accidentelle sans empêcher le travail collectif des équipes. 

Attribuez des droits précis avec les listes de contrôle d’accès (ACL)

Il nous reste un dernier problème à résoudre : Nadia souhaite que le technicien du profil support puisse lire son fichierbilan.txt , juste pour aujourd'hui.

Pour gérer ces accès "à la carte" sans polluer vos groupes de travail, Linux dispose des ACL (Access Control Lists). C'est l'équivalent d'un pass VIP temporaire accordé à une personne précise, pour un fichier précis.

• La commandegetfaclpermet de lire ces listes d'accès.

• La commandesetfaclpermet de les écrire.

Voici comment configurer ce pass VIP en vidéo :

Dans cette vidéo, on a :

• observé les accès détaillés d'un fichier avecgetfacl,

• ajouté un droit de lecture exceptionnel pour un utilisateur spécifique avecsetfacl -m,

• identifié visuellement que les ACL s'ajoutent aux permissionschmodgrâce au signe +dans un affichagels -lclassique, prouvant qu'elles sont autrement invisibles.

Les ACL sont très puissantes, mais attention à ne pas en abuser ! Elles servent uniquement à gérer des exceptions propres, pas à reconstruire tout votre modèle de permissions.

Vérifiez et validez l’isolation réelle des accès

Une configuration de permissions, aussi correcte soit-elle sur le papier, doit toujours être testée en conditions réelles. Définir des règles ne suffit pas : il faut vérifier qu’elles se comportent comme prévu pour chaque utilisateur.

Pour comprendre ou diagnostiquer un problème d’accès, adoptez cette méthode en 5 questions :

1. Qui suis-je actuellement ? whoami

2. À quels groupes j’appartiens ? id

3. Qui est le propriétaire du fichier cible ? ls-l

4. Est-ce un dossier ? Vérifiez la présence dudet du droit de traverséex.

5. Y a-t-il une exception (ACL) sur ce fichier ? getfacl

En vous connectant avec un utilisateur non autorisé (par exemple le profil support tentant d’accéder aux données RH) et en essayant d’ouvrir un dossier protégé, vous devriez obtenir une erreur de type “Permission denied”.

En pratique, ce type de message est rassurant : si un utilisateur qui ne doit pas avoir accès est bloqué, c’est que votre configuration de sécurité fonctionne correctement.

À vous de jouer

Contexte

Un espace partagé va être mis en place temporairement pour que plusieurs collaborateurs puissent y déposer et échanger des fichiers. Contrairement aux dossiers sensibles précédents, cet espace de transit (nomméespace-partage) doit être accessible à tous, y compris au profil support.

Le défi ? Chacun doit pouvoir créer ses propres fichiers librement à l'intérieur, mais aucun utilisateur ne doit pouvoir supprimer ou modifier les fichiers déposés par les autres. 

Consignes

Toutes les actions suivantes doivent être réalisées avec des privilèges administrateur :

1. Créez un dossier partagé nomméespace-partagedans le répertoire/opt.

2. Créez un groupe commun (par exemplepartage) et ajoutez-y les utilisateurs concernés (nadia,brunoetsupport).

3. Attribuez ce groupe au dossier et appliquez des permissions permettant à tous les membres du groupe de lire le contenu, d’entrer dans le dossier et de créer des fichiers. Activez le setGID afin que tout fichier créé dans ce dossier hérite automatiquement du groupe. Protégez ce dossier à l’aide du Sticky Bit afin d’empêcher la suppression des fichiers par d'autres personnes que leur propriétaire.

4. Vérifiez que le Sticky Bit est bien actif et que les permissions correspondent au comportement attendu à l’aide d'une commande d'observation adaptée.

En résumé

• Les permissions standards montrent leurs limites dans les espaces collaboratifs, notamment pour l’héritage des groupes, la suppression de fichiers et la gestion d’exceptions individuelles.

• Le bit setgid appliqué à un dossier force les nouveaux fichiers à hériter automatiquement du groupe du dossier, ce qui garantit une cohérence dans les espaces de travail partagés.

• Les permissions peuvent être définies en notation symbolique (ex :chmod g+s,chmod +t) ou en notation octale (ex :chmod 2770,chmod 1770), cette dernière étant plus compacte et couramment utilisée en pratique.

• Le Sticky Bit protège les fichiers d’un dossier partagé en empêchant leur suppression ou leur renommage par un autre utilisateur que leur propriétaire ou l’administrateur.

• Les listes de contrôle d’accès (ACL) permettent d’attribuer des droits précis à un utilisateur spécifique viasetfacl, sans modifier la structure des groupes existants.

• La vérification systématique des accès avecwhoami,id,ls -letgetfaclpermet de valider concrètement l’isolation et la cohérence des règles de sécurité mises en place.

Vos utilisateurs sont créés, vos groupes sont structurés et vos dossiers partagés sont désormais parfaitement sécurisés. Vous savez comment gérer la cohabitation de plusieurs profils métiers sur une même machine avec fluidité et précision. Vous êtes officiellement prêt à administrer les accès de votre environnement Linux !

Mais n’oubliez pas : l'écosystème d'une entreprise est dynamique et en constante évolution. De nouveaux collaborateurs vont intégrer vos équipes, de nouveaux projets collaboratifs vont voir le jour, et les besoins de partage se transformeront régulièrement. Restez vigilant, gardez le réflexe de vérifier vos configurations et adaptez votre modèle à ces nouveaux besoins métiers !

Un dernier conseil pour la route : la sécurité sous Linux ne repose pas sur la complexité, mais sur la rigueur. Gardez cette équation en tête : un besoin collaboratif = un groupe dédié = des permissions ajustées sur mesure ! Résistez toujours à la tentation de la facilité (oui, nous parlons bien du fameux chmod 777 !) et appuyez-vous sur les commandes d'investigation que vous avez acquises pour diagnostiquer les accès.

Félicitations pour le travail accompli sur ce poste partagé, bon courage pour vos prochaines missions d'administration système !