TP n°6: Sécurité des fichiers et des répertoires
4h
But: Créer deux utilisateurs et deux groupes, placer les utilisateurs dans les groupes, attribuer des homes aux
utilisateurs, sécuriser ces homes, donner à ces utilisateurs les fichiers de configuration minimum nécessaires
à une ouverture de session de travail en GUI:
- Vérifier l'existence des deux utilisateurs alpha et beta, raffraichir leurs mots de passe
- S'ils n'existent pas, les créer avec les UID 2001 et 2002
- S'ils existent vérifier que leurs UID sont 2001 et 2002 et ajuster si ce n'est pas le cas
- Spécifier à alpha et beta les répertoires home /home/alpha et /home/beta
- Vérifier l'existence des deux groupes groupe1 et groupe2
- S'ils n'existent pas, les créer avec les GID 3001 et 3002
- S'ils existent, vérifier que leurs GID sont 3001 et 3002 et ajuster si ce n'est pas le cas
- Placer alpha dans le groupe groupe1 en groupe principal et groupe2 en groupe secondaire
- placer beta dans le groupe groupe2 en groupe principal et groupe1 en groupe secondaire
- Vérifier l'existence effective des répertoires home de alpha et beta
- S'ils existent, les supprimer
- Créer les homes de alpha et beta et attribuer des permissions pour qu'ils y aient accès.
- Copier dans ces répertoires les fichiers de configuration contenus dans /etc/skel. Donner les droits d'accès
à ces fichiers à alpha et beta.
- Verifier que alpha et beta peuvent se loguer.
- Gestion des utilisateurs et des groupes
Le travail a été réalisé sur les fichiers /etc/passwd, /etc/shadow, /etc/group et /etc/gshadow par ajout des lignes
correspondant aux utilisateurs et aux groupes.
L'exécution de pwck et de grpck n'a pas conduit à détecter des incohérences.
L'utilisation de la commande id permet de vérifier l'existence des nouveaux utilisateurs et l'appartenance
aux nouveaux groupes.
- Création et sécurisation des homes
Le répertoire /home/alpha (rep. /home/beta) est créé et attribué à alpha (resp. beta) et tant qu'utilisateur
propriétaire et groupe1 (resp. groupe2) comme groupe propriétaire. Les autorisations placées par défaut sur ces
répertoires sont rwx pour l'utilisateur propriétaire, rx pour le groupe propriétaire et rx pour les autres.
On pourrait supprimer rx pour les autres pour sanctuariser les accès aux seuls propriétaires.
- Attribution des fichiers de configuration
Trois fichiers existent dans /etc/skel. Ces fichiers sont invisibles car leurs noms commencent par le caratère
point.
But: Créer deux utilisateurs et deux groupes, placer les utilisateurs dans les groupes, attribuer des répertoires
de base aux utilisateurs, sécuriser ces répertoires de base:
- Vérifier l'existence des utilisateurs Alpha et Beta ainsi que des groupes Groupe1 et Groupe2
- Raffraichir leurs mots de passe
- Vérifier les groupes d'appartenance de Alpha et Beta (Alpha et Beta dans Groupe1, Alpha dans Groupe2)
- Supprimer, s'il existe, le répertoire /homes/alpha
- Créer les répertoires /homes/Alpha et /homes/Beta
- Placer sur ces répertoires des autorisations qui vont en restreindre l'accès aux seuls utilisateurs Alpha
et Beta (+ les administrateurs).
- Vérifier les autorisations sur le répertoire /homes pour les ajuster de manière que Alpha et Beta ne puissent
pas y écrire.
- Vérifier que Beta n'accède pas au répertoire de base de Alpha et que Alpha puisse y écrire.
- Vérifier que Alpha n'accède pas au répertoire de base de Beta et que Beta puisse y écrire.
- Gestion des utilisateurs et des groupes
Les 2 utilisateurs et les 2 groupes sont créés au moyen de l'interface utilisateur.
Les 2 répertoires sont aussi créés par interface utilisateur.
- Droits placés
Le répertoire C:\Homes est placé en contrôle total pour le groupe Administrateurs et en lecture seule pour le
groupe Groupe1 (auquel Alpha et Beta appartiennent)
Le répertoire C:\Homes\Alpha est placé en contrôle total pour le groupe Administrateurs et en contrôle total pour
l'utilisateur Alpha.
Le répertoire C:\Homes\Beta est placé en contrôle total pour le groupe Administrateurs et en contrôle total pour
l'utilisateur Beta.
But: Donner un accès des utilisateurs à un répertoire réseau Windows et sécuriser cet accès
- Création du partage Home$ sur l'invité Windows
- Configuration des sécurités sur ce partage
- Configuration des utilisateurs Alpha et Beta pour que leurs répertoires de base soient définis par référence
à ce partage
- Le partage est créé en interface utilisateur via les propriétés du répertoire C:\Homes. L'onglet "Partage"
donne accès au partage avancé où l'on peut activer la fonctionnalité de partage, choisir le nom de paratge
et configurer les autorisations.
- Autorisations placées
Sur le partage, les autorisations placées sont le contrôle total pour le groupe Administrateurs et contrôle total
pour le groupe Groupe1 (auquel Alpha et Beta appartiennent).
Sur le répertoire, les autorisations placées sont celles qui ont été placées à l'exercice n°2.
- Configuration des utilisateurs
L'onglet "Profil"des propriétés de chacun des utilisateurs est configuré en indiquant un chemin
d'accès pour le répertoire de base situé sur un montage réseau. La lettre d'unité choisie est Z:. Le chemin
d'accès est \\wxxx.dxxx.lpro.univ-fcomte.fr\Homes$ (ou \\wxxx.dxxx.lpro.univ-fcomte.fr\Homes$\%USERNAME% pour
envoyer directement dans le répertoire spécifique à chaque utilisateur).
But: Donner un accès des utilisateurs à un répertoire réseau Windows et sécuriser cet accès
- Création du partage TP sur l'invité Windows correspondant au répertoire C:\TP
- Configuration des sécurités sur ce partage et sur le répertoire auquel il donne accès de manière que:
- Alpha et Beta puissent y déposer des fichiers et des répertoires,
- les fichiers et répertoires placés par Alpha soient totalement inaccessibles (pas de lecture des fichiers, pas
de listing du contenu des répertoires) à Beta,
- les fichiers et répertoires placés par Beta soient totalement inaccessibles (pas de lecture des fichiers, pas
de listing du contenu des répertoires) à Alpha.
- Droits placés
Partage:
- Contrôle total pour le groupe Administrateurs
- Contrôle total pour le groupe Groupe1
Répertoire:
- Contrôle total pour le groupe Administrateurs
- Contrôle total pour le groupe Groupe1 mais seulement appliqué au dossier sans possibilité d'héritage aux
sous-dossiers et aux fichiers inclus
- Contrôle total pour le groupe spécial CREATEUR/PROPRIETAIRE