Chapitre 21. Gestion des autorisations de fichiers
Les autorisations de fichiers contrôlent la capacité des comptes d'utilisateurs et de groupes à visualiser, modifier, accéder et exécuter le contenu des fichiers et des répertoires.
Chaque fichier ou répertoire possède trois niveaux de propriété :
- Propriétaire de l'utilisateur (u).
- Propriétaire du groupe (g).
- Autres (o).
Chaque niveau de propriété peut se voir attribuer les autorisations suivantes :
- Lire (r).
- Écrire (w).
- Exécuter (x).
Notez que l'autorisation d'exécution d'un fichier vous permet d'exécuter ce fichier. Le droit d'exécution d'un répertoire vous permet d'accéder au contenu du répertoire, mais pas de l'exécuter.
Lorsqu'un nouveau fichier ou répertoire est créé, les autorisations par défaut lui sont automatiquement attribuées. Les autorisations par défaut d'un fichier ou d'un répertoire sont basées sur deux facteurs :
- Permission de base.
- Le site user file-creation mode mask (umask).
21.1. Autorisations pour les fichiers de base
Chaque fois qu'un nouveau fichier ou répertoire est créé, une autorisation de base lui est automatiquement attribuée. Les autorisations de base pour un fichier ou un répertoire peuvent être exprimées en valeurs symbolic ou octal.
Permission | Symbolic value | Octal value |
Pas d'autorisation | --- | 0 |
Exécuter | --x | 1 |
Écrire | -w- | 2 |
Rédiger et exécuter | -wx | 3 |
Lire | r-- | 4 |
Lire et exécuter | r-x | 5 |
Lire et écrire | rw- | 6 |
Lire, écrire, exécuter | rwx | 7 |
L'autorisation de base pour un répertoire est 777
(drwxrwxrwx
), qui accorde à chacun les autorisations de lecture, d'écriture et d'exécution. Cela signifie que le propriétaire du répertoire, le groupe et d'autres personnes peuvent dresser la liste du contenu du répertoire, créer, supprimer et modifier des éléments dans le répertoire et y descendre.
Notez que les fichiers individuels d'un répertoire peuvent avoir leur propre autorisation, ce qui peut vous empêcher de les modifier, même si vous avez un accès illimité au répertoire.
L'autorisation de base pour un fichier est 666
(-rw-rw-rw-
), ce qui permet à tout le monde de lire et d'écrire. Cela signifie que le propriétaire du fichier, le groupe et d'autres personnes peuvent lire et modifier le fichier.
Exemple 21.1. Autorisations pour un fichier
Si un fichier a les permissions suivantes :
$ ls -l
-rwxrw----. 1 sysadmins sysadmins 2 Mar 2 08:43 file
-
-
indique qu'il s'agit d'un fichier. -
rwx
indique que le propriétaire du fichier a le droit de lire, d'écrire et d'exécuter le fichier. -
rw-
indique que le groupe a le droit de lire et d'écrire, mais pas d'exécuter le fichier. -
---
indique que les autres utilisateurs n'ont pas le droit de lire, d'écrire ou d'exécuter le fichier. -
.
indique que le contexte de sécurité SELinux est défini pour le fichier.
Exemple 21.2. Autorisations pour un répertoire
Si un répertoire a les permissions suivantes :
$ ls -dl directory drwxr-----. 1 sysadmins sysadmins 2 Mar 2 08:43 directory
-
d
indique qu'il s'agit d'un répertoire. rwx
indique que le propriétaire du répertoire dispose des droits de lecture, d'écriture et d'accès au contenu du répertoire.En tant que propriétaire d'un répertoire, vous pouvez dresser la liste des éléments (fichiers, sous-répertoires) qui s'y trouvent, accéder au contenu de ces éléments et les modifier.
-
r-x
indique que le groupe a le droit de lire le contenu du répertoire, mais pas d'écrire - de créer de nouvelles entrées ou de supprimer des fichiers. L'autorisationx
signifie que vous pouvez également accéder au répertoire à l'aide de la commandecd
. ---
indique que les autres utilisateurs n'ont pas le droit de lire, d'écrire ou d'accéder au contenu du répertoire.Si vous n'êtes pas propriétaire d'un utilisateur ou d'un groupe de l'annuaire, vous ne pouvez pas dresser la liste des éléments de l'annuaire, ni accéder aux informations relatives à ces éléments, ni les modifier.
-
.
indique que le contexte de sécurité SELinux est défini pour le répertoire.
L'autorisation de base qui est automatiquement attribuée à un fichier ou à un répertoire est not l'autorisation par défaut du fichier ou du répertoire. Lorsque vous créez un fichier ou un répertoire, l'autorisation de base est modifiée par l'autorisation umask. La combinaison de l'autorisation de base et de l'autorisation umask crée l'autorisation par défaut pour les fichiers et les répertoires.