TP n°6: Sécurité des fichiers et des répertoires

4h

But: Sécuriser l'accès aux fichiers et répertoires

• Debian
  • Trois autorisations élémentaires
    • r: Read (lire pour les fichiers, lister le contenu pour les répertoires)
    • w: Write (écrire pour les fichiers, ajouter dedans pour les répertoires)
    • x: Execute (exécuter pour les fichiers, accèder au contenu pour les répertoires)
  • Trois entités configurables pour chaque fichier ou répertoire
    • Utilisateur propriétaire
    • Groupe propriétaire (tous les utilisateurs du groupe)
    • Tous les autres utilisateurs
  • ls -l: Liste de fichiers ou répertoires avec affichage des informations de sécurité
  • 7 colonnes
    • Colonne 1: Autorisations (sur 10 caractères)
      • 1 caractère spécial (par exemple d pour répertoire)
      • 3 caractères pour les autorisations de l'utilisateur propriétaire
      • 3 caractères pour les autorisations du groupe propriétaire
      • 3 caractères pour tous les autres
    • Colonne 3: Utilisateur propriétaire
    • Colonne 4: Groupe propriétaire
    • Colonne 5: Taille
    • Colonne 6: Date de dernière modification
    • Colonne 7: Nom
  • chmod: Changement des autorisations placées sur un fichier ou un répertoire
    • Syntaxe 1: Option +/- r, w ou x
      • chmod +x fichier: Rend le fichier exécutable aux trois entités
      • chmod -x fichier: Rend le fichier non exécutable aux trois entités
    • Syntaxe 2: Option nombre en 3 codes binaires
      • chmod 777 fichier: Configure les autorisations rwxrwxrwx
      • chmod 755 fichier: Configure les autorisations rwxr-xr-x
  • chown: Changement de l'utilisateur propriétaire (et éventuellement du groupe) d'un fichier ou répertoire
    • chown user fichier
    • chown user:groupe fichier
  • chgrp: Changement du groupe propriétaire d'un fichier ou répertoire
    • chgrp groupe fichier
  • Exercice 1
    But: Créer deux utilisateurs et deux groupes, placer les utilisateurs dans les groupes, attribuer des homes aux utilisateurs, sécuriser ces homes, donner à ces utilisateurs les fichiers de configuration minimum nécessaires à une ouverture de session de travail en GUI:
    • Vérifier l'existence des deux utilisateurs alpha et beta, raffraichir leurs mots de passe
    • S'ils n'existent pas, les créer avec les UID 2001 et 2002
    • S'ils existent vérifier que leurs UID sont 2001 et 2002 et ajuster si ce n'est pas le cas
    • Spécifier à alpha et beta les répertoires home /home/alpha et /home/beta
    • Vérifier l'existence des deux groupes groupe1 et groupe2
    • S'ils n'existent pas, les créer avec les GID 3001 et 3002
    • S'ils existent, vérifier que leurs GID sont 3001 et 3002 et ajuster si ce n'est pas le cas
    • Placer alpha dans le groupe groupe1 en groupe principal et groupe2 en groupe secondaire
    • placer beta dans le groupe groupe2 en groupe principal et groupe1 en groupe secondaire
    • Vérifier l'existence effective des répertoires home de alpha et beta
    • S'ils existent, les supprimer
    • Créer les homes de alpha et beta et attribuer des permissions pour qu'ils y aient accès.
    • Copier dans ces répertoires les fichiers de configuration contenus dans /etc/skel. Donner les droits d'accès à ces fichiers à alpha et beta.
    • Verifier que alpha et beta peuvent se loguer.

Solution

• Windows
  • Uniquement sur les partition NTFS
  • Six autorisation élémentaires
    • r: Lire (lire pour les fichiers, lister le contenu pour les répertoires)
    • w: Ecrire (écrire pour les fichiers, ajouter dedans pour les répertoires)
    • x: Exécuter (exécuter pour les fichiers, accèder au contenu pour les répertoires)
    • d: Effacer
    • p: Changer les permissions
    • o: S'approprier
  • Autant d'acls (Acces Control Lists) que nécessaire attribuables aux utilisateur ou groupe d'utilisateurs pour ces 6 autorisations
  • Un utilisateur appartenant à plusieurs groupes pour lesquels des acls sont définis sur un objet se verra attribuer l'autorisation d'accès la plus élevée sur cet objet.
    • Exemple: Si Alpha appartient à Groupe1 et à Groupe2 et que sur un fichier Groupe1 est en contrôle total et Groupe2 en lecture, alors Alpha à le contrôle total sur le fichier
  • Chaque fichier et répertoire possède un utilisateur ou un groupe propriétaire: le créateur originel, l'utilisateur qui s'est approprié l'objet ou l'entité auquel il a été attribué
  • Visualisation et configuration des autorisations sur un fichier ou un répertoire
    • Onglet sécurité des propriétés de l'objet
    • icacls
  • Visualisation et configuration du propriétaire de l'objet
    • Onglet propriétaire des propriétés avancées de l'onglet sécurité des propriétés de l'objet
    • takeown: Appropriation (dernier moyen pour reprendre le contrôle sue les fichiers "perdus")
    • dir /q fichier: Affichage du propriétaire
  • Lors de la création d'un fichier ou d'un répertoire, il prend les autorisations configurées pour le répertoire dans lequel il est créé le propriétaire est l'utilisateur qui l'a créé.
  • Exercice n°2
    But: Créer deux utilisateurs et deux groupes, placer les utilisateurs dans les groupes, attribuer des répertoires de base aux utilisateurs, sécuriser ces des répertoires de base:
    • Vérifier l'existence des utilisateurs Alpha et Beta ainsi que des groupes Groupe1 et Groupe2
    • Raffraichir leurs mots de passe
    • Vérifier les groupes d'appartenance de Alpha et Beta (Alpha et Beta dans Groupe1, Alpha dans Groupe2)
    • Supprimer, s'il existe, le répertoire /homes/alpha
    • Créer les répertoires /homes/Alpha et /homes/Beta
    • Placer sur ces répertoires des autorisations qui vont en restreindre l'accès aux seuls Alpha et Beta (+ les administrateurs).
    • Vérifier les autorisations sur le répertoire /homes
    • Vérifier que Beta n'accède pas au répertoire de base de Alpha
    • Vérifier que Alpha n'accède pas au répertoire de base de Beta

Solution

But: Donner un accès des utilisateurs à des répertoires réseau Windows et sécuriser cet accès selon différents critères

• Partager un répertoire: Rendre montable ce répertoire depuis un ordinateur qui y accède par une connexion réseau
  • Attribution d'une lettre d'unité sur le poste client
  • Existence d'une unité supplémentaire sur l'ordinateur du poste client
  • "Partages" réseau désignés en convention UNC: \\NomServeur\NomPartage
• Création d'un partage
  • Demander les propriétés du répertoire à partager
  • Onglet "Partage"
  • Bouton "Partage avancé"
  • Activer le partage et choisir le nom de partage
  • Définir les autorisations sur le partage
• Autorisations sur un partage
  • Configuration possible d'autorisations sur les partages réseau
  • Juxtaposition de ces autorisations avec celles du répertoire auquel le partage donne accès
    -> C'est l'autorisation la moins élevée qui s'applique entre celle du partage et celle du répertoire accédé qui s'applique.
  • Exemple, si Alpha à le contrôle total via le partage et qu'il accède à un répertoire pour lequel il a l'autorisation de lecture, l'autorisation effective sera la lecture.
• Exercice n°3
  • Création du partage home$ sur le répertoire C:\Homes de l'invité Windows
  • Configuration des sécurités sur ce partage pour que Alpha et Beta puissent accéder à leurs répertoires de base par son intermédiaire
  • Configuration des utilisateurs Alpha et Beta pour que leurs répertoires de base soient définis par référence à ce partage

Solution

• Exercice n°4
  • Création du partage TP sur l'invité Windows correspondant au répertoire C:\TP
  • Configuration des sécurités sur ce partage et sur le répertoire auquel il donne accès de manière que:
    • Alpha et Beta puissent y déposer des fichiers et des répertoires,
    • les fichiers et répertoires placés par Alpha soient totalement inaccessibles (pas de lecture des fichiers, pas de listing du contenu des répertoires) à Beta,
    • les fichiers et répertoires placés par Beta soient totalement inaccessibles (pas de lecture des fichiers, pas de listing du contenu des répertoires) à Alpha.

Solution