Ceci est une ancienne révision du document !

,

Les Access Control List : Gestion avancée des droits sous linux

Par défaut, la gestion des droits sous linux est relativement basique (bien que souvent suffisante). En effet, il n'est possible de permettre ou d'interdire la lecture, l'écriture et l'exécution de fichiers que pour trois catégories d'utilisateurs : le propriétaire du fichier, le groupe auquel appartient le propriétaire et le reste du monde. Cette gestion des droits permet de configurer les accès aux fichiers dans la plupart des situations simples mais peut s'avérer limitée, par exemple, dans un contexte où plusieurs utilisateurs doivent accéder à une ressource partagée alors qu'ils n'ont pas de groupe commun.

Les ACL permettent de pallier ce manque grâce à une gestion avancée des droits. Ainsi, il devient possible d'autoriser un utilisateur tiers à effectuer des opérations sur un fichier (dossier) sans autoriser tout un groupe ou tout le reste du monde. Voir les exemples pour plus d'informations.

Activation

Les ACL ne sont nativement pas activées sur Ubuntu mais le noyau les prend en charge. Le paquet apt://acl doit normalement être déjà installé.

La commande 

grep ACL /boot/config-$(uname -r)

permet de vérifier si le noyau prend en charge les ACL. Elle doit retourner 'y' pour le type système de fichier qui nous intéresse.

Il faut maintenant préciser lors du montage de la partition que l'on veut utiliser les ACL.

Soit en montant la partition avec l'option acl 

mount -t ext3 -o defaults,acl /dev/sdaX/ /mount/folder/

soit en inscrivant l'option dans le fichier fstab 

UUID=xxxxxxxxx /               ext4    [autres options],acl 0       1

puis en remontant la partition (si l'on ne veut pas redémarrer) 

mount -a -o remount /dev/sdax

Utilisation

En ligne de commande

l'attribution des droits se fait grâce à la commande setfacl, la lecture des droits avec getfacl

Ainsi les deux commandes suivantes sont équivalentes : 

chmod u=rw fichier
setfacl -m u::rw fichier

Un fichier dont les ACL auront été spécifiés verra s'ajouter un + à la fin de la liste des droits avec la commande : 

ls -l fichier

getfacl permet d'affiche l'ensemble des permissions définies : 

$ getfacl fichier
# file: fichier
# owner: utilisateur
# group: utilisateur
user::rwx
user:utilisateur1:rw-
user:utilisateur2:r--
group::r--
mask::rwx
other::---

ici on peut voir ici que le propriétaire du fichier (utilisateur) a les droits rwx, utilisateur1 rw- et utilisateur2 r–, les autres utilisateurs n'ont aucun droit

En graphique

Une fois compris les concepts des ACL, il est possible de gérer les changements de droits en graphique grâce au paquet apt://eiciel.

Exemples

autoriser à "utilisateur" la lecture et l'écriture sur "fichier"

setfacl -m user:utilisateur:rw fichier
setfacl -m u:utilisateur:rw fichier

La même commande est disponible pour les groupes. Il suffit de remplacer u/user par g ou group

modifier les permissions de plusieurs utilisateurs/groupes sur "fichier" en même temps

setfacl -m user:utilisateur:rwx,user:utilisateur2:r,group:groupe:rw fichier

définir l'accès en lecture par défaut pour "utilisateur" pour les nouveaux fichiers créés dans "dossier"

setfacl -m d:u:utilisateur:rw dossier

supprimer les ACL sur un fichier/dossier

setfacl -b fichier

Contributeur : nesthib

  • acl.1274639759.txt.gz
  • Dernière modification: Le 23/05/2010, 20:35
  • par 76.10.141.24