La problématique du jour est de faire un répertoire partagé entre les utilisateurs d’un même ordinateur sous linux.
Permissions Unix, la mauvaise solution
Les permissions Unix sont très performants pour restreindre les accès mais rendent la création d’un répertoire partagé impossible en pratique.
La solution classique serait de créer un groupe qui regroupe les utilisateurs et de faire en sorte que tous les fichiers partagés appartiennent à ce groupe. Ca fonctionne en théorie, mais dans la pratique, les utilisateurs créent/modifient/copient des fichiers sans vouloir mettre à jour les permission groupes. Et seul le propriétaire du fichier peut modifier la permission de groupe du fichier, ce qui rend la chose ingérable.
Le SGID est également une fausse bonne idée pour propager les droits aux fichiers créés car il ne se propage pas aux fichiers copiés par l’utilisateur vers le dossier partagé.
ACL
La solution élégante et performante passe par les ACL ou Access Control List. Elle permet un contrôle bien plus fin et explicite.
Pour avoir accès aux droits ACL vous devez avoir ajouté l’option à votre /etc/fstab .
Ex :
/dev/hda6 /home ext3 options1,option2,option3,acl 0 0
Une fois fait, remontez le point de montage.
# mount -o remount,acl /home
Assignation des droits ACL
On crée un dossier en root /home/dossier_partage. Personne peut y accéder à part root. Jusqu’ici rien de spécial.
# cd /home
# mkdir dossier_partage
# chmod 770 dossier_partage
On ajoute des droits étendus pour que les utilisateurs alice et bob puisse tout faire dans ce dossier.
# setfacl -m u:alice:rwX dossier_partage
# setfacl -m u:bob:rwX dossier_partage
On ajoute des droits étendus pour que les fichiers/dossiers créés dans ce dossier aient par défaut les mêmes droits étendus.
# setfacl -m d:u:alice:rwX dossier_partage
# setfacl -m d:u:bob:rwX dossier_partage
On peut vérifier les droits finaux ainsi :
$ getfacl dossier_partage/
file: dossier_partage/
owner: root
group: root
user::rwx
user:alice:rwx
user:bob:rwx
group::rwx
mask::rwx
other::—
default:user::rwx
default:user:alice:rwx
default:user:bob:rwx
default:group::rwx
default:mask::rwx
default:other::—
Astuce sécurité
Par défaut, le /home/user des utilisateurs n’est pas privé sous Debian ! Si bien que Alice peut lire les fichier dans /home/bob .
Je vous recommande la lecture de ce document sur comment sécuriser Debian, surtout ces 2 points
4.11.13.1 Limiter l’accès aux informations d’autres utilisateurs
4.11.12 Positionner des umasks aux utilisateurs
Le plus important : Pour tous vos utilisateurs existants, assurez que le dossier home bloque bien l’accès aux autres utilisateurs :
# chmod 750 /home/bob
Ensuite, vous pouvez faire en sorte que soit créé automatiquement comme ça quand vous créez un utilisateur:
# dpkg-reconfigure adduser
et choississez Non
Vous pouvez également faire en sorte que les utilisateurs créént par défaut des fichiers que seuls eux peuvent voir :
# echo session optional pam_umask.so umask=027 >> /etc/pam.d/common-session
Dans /etc/login.defs, changez la valeur à UMASK 027
Pour vérifier les droits de l’utilisateur courant :
$ umask