TP n°6: Sécurité des fichiers et des répertoires
4h
But: Sécuriser l'accès aux fichiers et répertoires
- Debian
- Trois autorisations élémentaires
- r: Read (lire pour les fichiers, lister le contenu pour les répertoires)
- w: Write (écrire pour les fichiers, ajouter dedans pour les répertoires)
- x: Execute (exécuter pour les fichiers, accèder au contenu pour les répertoires)
- Trois entités configurables pour chaque fichier ou répertoire
- Utilisateur propriétaire
- Groupe propriétaire (tous les utilisateurs du groupe)
- Tous les autres utilisateurs
- ls -l: Liste de fichiers ou répertoires avec affichage des informations de sécurité
- 7 colonnes
- Colonne 1: Autorisations (sur 10 caractères)
- 1 caractère spécial (par exemple d pour répertoire)
- 3 caractères pour les autorisations de l'utilisateur propriétaire
- 3 caractères pour les autorisations du groupe propriétaire
- 3 caractères pour tous les autres
- Colonne 3: Utilisateur propriétaire
- Colonne 4: Groupe propriétaire
- Colonne 5: Taille
- Colonne 6: Date de dernière modification
- Colonne 7: Nom
- chmod: Changement des autorisations placées sur un fichier ou un répertoire
- Syntaxe 1: Option +/- r, w ou x
- chmod +x fichier: Rend le fichier exécutable aux
trois entités
- chmod -x fichier: Rend le fichier non exécutable
aux trois entités
- Syntaxe 2: Option nombre en 3 codes binaires
- chmod 777 fichier: Configure les autorisations rwxrwxrwx
- chmod 755 fichier: Configure les autorisations rwxr-xr-x
- chown: Changement de l'utilisateur propriétaire (et éventuellement du groupe) d'un fichier ou répertoire
- chown user fichier
- chown user:groupe fichier
- chgrp: Changement du groupe propriétaire d'un fichier ou répertoire
- Exercice 1
But: Créer deux utilisateurs et deux groupes, placer les utilisateurs dans les groupes, attribuer des homes aux
utilisateurs, sécuriser ces homes, donner à ces utilisateurs les fichiers de configuration minimum nécessaires
à une ouverture de session de travail en GUI:
- Vérifier l'existence des deux utilisateurs alpha et beta, raffraichir leurs mots de passe
- S'ils n'existent pas, les créer avec les UID 2001 et 2002
- S'ils existent vérifier que leurs UID sont 2001 et 2002 et ajuster si ce n'est pas le cas
- Spécifier à alpha et beta les répertoires home /home/alpha et /home/beta
- Vérifier l'existence des deux groupes groupe1 et groupe2
- S'ils n'existent pas, les créer avec les GID 3001 et 3002
- S'ils existent, vérifier que leurs GID sont 3001 et 3002 et ajuster si ce n'est pas le cas
- Placer alpha dans le groupe groupe1 en groupe principal et groupe2 en groupe secondaire
- placer beta dans le groupe groupe2 en groupe principal et groupe1 en groupe secondaire
- Vérifier l'existence effective des répertoires home de alpha et beta
- S'ils existent, les supprimer
- Créer les homes de alpha et beta et attribuer des permissions pour qu'ils y aient accès.
- Copier dans ces répertoires les fichiers de configuration contenus dans /etc/skel. Donner les droits d'accès à ces fichiers
à alpha et beta.
- Verifier que alpha et beta peuvent se loguer.
Solution
- Windows
- Uniquement sur les partition NTFS
- Six autorisation élémentaires
- r: Lire (lire pour les fichiers, lister le contenu pour les répertoires)
- w: Ecrire (écrire pour les fichiers, ajouter dedans pour les répertoires)
- x: Exécuter (exécuter pour les fichiers, accèder au contenu pour les répertoires)
- d: Effacer
- p: Changer les permissions
- o: S'approprier
- Autant d'acls (Acces Control Lists) que nécessaire attribuables aux utilisateur ou groupe d'utilisateurs
pour ces 6 autorisations
- Un utilisateur appartenant à plusieurs groupes pour lesquels des acls sont définis sur un objet se verra attribuer
l'autorisation d'accès la plus élevée sur cet objet.
- Exemple: Si Alpha appartient à Groupe1 et à Groupe2 et que sur un fichier Groupe1 est en contrôle total et Groupe2
en lecture, alors Alpha à le contrôle total sur le fichier
- Chaque fichier et répertoire possède un utilisateur ou un groupe propriétaire: le créateur originel, l'utilisateur
qui s'est approprié l'objet ou l'entité auquel il a été attribué
- Visualisation et configuration des autorisations sur un fichier ou un répertoire
- Onglet sécurité des propriétés de l'objet
- icacls
- Visualisation et configuration du propriétaire de l'objet
- Onglet propriétaire des propriétés avancées de l'onglet sécurité des propriétés de l'objet
- takeown: Appropriation (dernier moyen pour reprendre le contrôle sue les fichiers "perdus")
- dir /q fichier: Affichage du propriétaire
- Lors de la création d'un fichier ou d'un répertoire, il prend les autorisations configurées pour le
répertoire dans lequel il est créé le propriétaire est l'utilisateur qui l'a créé.
- Exercice n°2
But: Créer deux utilisateurs et deux groupes, placer les utilisateurs dans les groupes, attribuer des répertoires
de base aux utilisateurs, sécuriser ces des répertoires de base:
- Vérifier l'existence des utilisateurs Alpha et Beta ainsi que des groupes Groupe1 et Groupe2
- Raffraichir leurs mots de passe
- Vérifier les groupes d'appartenance de Alpha et Beta (Alpha et Beta dans Groupe1, Alpha dans Groupe2)
- Supprimer, s'il existe, le répertoire /homes/alpha
- Créer les répertoires /homes/Alpha et /homes/Beta
- Placer sur ces répertoires des autorisations qui vont en restreindre l'accès aux seuls Alpha et Beta (+
les administrateurs).
- Vérifier les autorisations sur le répertoire /homes
- Vérifier que Beta n'accède pas au répertoire de base de Alpha
- Vérifier que Alpha n'accède pas au répertoire de base de Beta
Solution
But: Donner un accès des utilisateurs à des répertoires réseau Windows et sécuriser cet accès selon différents
critères
- Partager un répertoire: Rendre montable ce répertoire depuis un ordinateur qui y accède par une connexion réseau
- Attribution d'une lettre d'unité sur le poste client
- Existence d'une unité supplémentaire sur l'ordinateur du poste client
- "Partages" réseau désignés en convention UNC: \\NomServeur\NomPartage
- Création d'un partage
- Demander les propriétés du répertoire à partager
- Onglet "Partage"
- Bouton "Partage avancé"
- Activer le partage et choisir le nom de partage
- Définir les autorisations sur le partage
- Autorisations sur un partage
- Configuration possible d'autorisations sur les partages réseau
- Juxtaposition de ces autorisations avec celles du répertoire auquel le partage donne accès
-> C'est l'autorisation la moins élevée qui s'applique entre celle du partage et celle du répertoire accédé
qui s'applique.
- Exemple, si Alpha à le contrôle total via le partage et qu'il accède à un répertoire pour lequel il a
l'autorisation de lecture, l'autorisation effective sera la lecture.
- Exercice n°3
- Création du partage home$ sur le répertoire C:\Homes de l'invité Windows
- Configuration des sécurités sur ce partage pour que Alpha et Beta puissent accéder à leurs répertoires de
base par son intermédiaire
- Configuration des utilisateurs Alpha et Beta pour que leurs répertoires de base soient définis par référence
à ce partage
Solution
- Exercice n°4
- Création du partage TP sur l'invité Windows correspondant au répertoire C:\TP
- Configuration des sécurités sur ce partage et sur le répertoire auquel il donne accès de manière que:
- Alpha et Beta puissent y déposer des fichiers et des répertoires,
- les fichiers et répertoires placés par Alpha soient totalement inaccessibles (pas de lecture des fichiers, pas
de listing du contenu des répertoires) à Beta,
- les fichiers et répertoires placés par Beta soient totalement inaccessibles (pas de lecture des fichiers, pas
de listing du contenu des répertoires) à Alpha.
Solution