Télécharger - Site personnel de Serge Moutou
Télécharger - Site personnel de Serge Moutou
Télécharger - Site personnel de Serge Moutou
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
777 = 111 111 111 permissions maxi = rwx rwx rwx<br />
- 027 = 000 010 111 masque <strong>de</strong> protection<br />
= 750 = 111 101 000 permissions effectives = rwx r-x ---<br />
La comman<strong>de</strong> umask<br />
umask affiche le masque <strong>de</strong> l'utilisateur actif<br />
Quelles sont les valeurs <strong>de</strong>s masques par défaut <strong>de</strong> root et <strong>de</strong>s autres utilisateurs ?<br />
umask -S affiche les permissions correspondantes au masque, sous forme symbolique.<br />
umask masque fixe les permissions ultérieures <strong>de</strong> création <strong>de</strong>s fichiers <strong>de</strong> l'utilisateur actif,<br />
conformément à masque, en notation octale.<br />
Attention ! le changement ne s'applique qu'à la présente session.<br />
Pour la rendre permanente, on peut intervenir sur un fichier profile :<br />
Dans le fichier profil général /etc/profile, on peut modifier la règle habituelle :<br />
if [ $UID == 0 ] ; then umask 022 ; else umask 077 ; fi<br />
Pour agir au niveau <strong>de</strong>s utilisateurs, ajouter la ligne umask masque dans le fichier <strong>de</strong> profil<br />
<strong>personnel</strong> $HOME/.bash_profile<br />
Les droits étendus<br />
Le droit SUID<br />
Sa présence permet à un fichier exécutable <strong>de</strong> s'exécuter sous l'i<strong>de</strong>ntité et donc les droits <strong>de</strong> son<br />
propriétaire, à la place <strong>de</strong>s droits <strong>de</strong> l'utilisateur actuel qui l'exécute.<br />
Il s'agit d'un dispositif <strong>de</strong> sécurité essentiel qui autorise un utilisateur quelconque (par rapport à la comman<strong>de</strong>)<br />
à bénéficier <strong>de</strong> droits plus étendus que les siens (souvent ceux <strong>de</strong> root), pour exécuter la comman<strong>de</strong> agir sur<br />
d'autres fichiers indispensables, juste le temps et sous le contrôle <strong>de</strong> l'exécution <strong>de</strong> la comman<strong>de</strong>, SANS qu'il<br />
soit nécessaire d'attribuer ces droits en permanence sur les fichiers.<br />
Ce droit est noté symboliquement s et se positionne à la place du x du propriétaire u (mais sans écraser le droit<br />
x)<br />
Sa valeur octale est 4000<br />
Exemple significatif<br />
Examiner les droits du fichier exécutable /usr/bin/passwd, qui permet <strong>de</strong> (re)définir un mot <strong>de</strong> passe et le<br />
comparer à ceux du fichier /etc/shadow qui contient les mots <strong>de</strong> passe cryptés.<br />
Observez :<br />
ll /etc/shadow<br />
-r-------- root root shadow<br />
ll -l /usr/bin/passwd<br />
-r-sr-xr-x root bin passwd<br />
Comme le droit x est accordé à tous, chacun peut donc exécuter la comman<strong>de</strong> passwd, mais personne ne<br />
possé<strong>de</strong> pas lui-même le droit d'écriture dans le fichier /etc/shadow qui doit le stocker.<br />
Le positionnement du SUID permet d'agir en tant que root lors <strong>de</strong> la <strong>de</strong>man<strong>de</strong> d'accès au fichier et comme root<br />
a tous les droits, il est alors possible <strong>de</strong> mettre à jour ce fichier <strong>de</strong>s mots <strong>de</strong> passe.<br />
Manipulation<br />
Comment connaitre les comman<strong>de</strong>s comme passwd, qui offre cette permission SUID ? Voici plusieurs façons<br />
cd /usr/bin<br />
# grep filtre les lignes produites par ls en utilisant<br />
# l'expression rationnelle ^...s<br />
ls -l | grep "^...s"<br />
55 /163