> Tech > Equivalents en matière de sécurité

Equivalents en matière de sécurité

Tech - Par iTPro - Publié le 24 juin 2010
email

  J'ai dit plus haut que la structure de sécurité de Linux était plus simple que celle de l'OS/400. Dans Linux, chaque fichier ou répertoire a trois jeux de permissions de sécurité : une pour le propriétaire d'un objet, une pour un groupe nommé d'utilisateurs, et une pour tous les autres

Equivalents en matière de sécurité

utilisateurs. Il n’y a que trois permissions de sécurité possibles : accès en lecture, accès en écriture et accès en exécution. La commande ls -l liste les répertoires en format long. Quand on affiche une liste de répertoires sous ce format, les attributs de sécurité apparaissent sur le côté gauche de la liste comme une suite de flags d’un caractère :

ls -l mydir
drwxr-xr-x root sys 33 Oct26 2000 bin
drwxrwxr-x tom staff 4096 Oct11 08:40 cusdb
-rw-r--rw- tom staff 9352 Nov04 2000 imprt

  Dans cet exemple, les répertoires sont repérés (flagged) avec un « d ». Le premier jeu de trois flags (rwx, par exemple) indique les permissions en lecture, écriture, et exécution pour le possesseur du fichier ou du répertoire. Le deuxième jeu montre les permissions du groupe et le troisième affiche les permissions pour tous les autres. Le premier mot après les flags de permission est l'ID utilisateur du possesseur et le deuxième est l'ID de groupe auquel le fichier ou le répertoire appartient. Signalons au passage que la racine « root »de l'ID utilisateur est équivalente au profil utilisateur QSECOFR de l'OS/400 : elle a toute autorité sur tous les objets. Mais, il y a une différence importante entre la root de Linux et QSECOFR de l'OS/400 : contrairement à  l'OS/400, Linux est très peu protégé contre une destruction accidentelle des données. Si l'on est enregistré comme l'utilisateur root, le système exécutera généralement sans sourciller toute commande reçue, sans s'inquiéter des conséquences aussi catastrophiques soient-elles. A bon entendeur salut : la commande de neuf caractères suivante effacera purement et simplement tout le système d'exploitation et tous les objets, données et utilisateurs sur une machine Linux opérationnelle :

rm -rf /*

  Pour éviter une catastrophe, il faut « en faire le moins possible » quand on travaille en tant que root d'ID utilisateur. Dans l'exemple de liste des répertoires ci-dessus, seule la root possède le répertoire bin et a une permission d'écriture sur lui. Les autres utilisateurs se cantonneront à  la lecture et à  l'exécution. Appliquée à  un répertoire, la permission d'exécution permet de naviguer dans celui-ci. Pour le répertoire cusdb, possédé par l'utilisateur tom, à  la fois tom et les utilisateurs du groupe d'utilisateurs « staff » ont une permission d'écriture sur le répertoire ; tous les autres utilisateurs n'ont qu'une permission de lecture et d'exécution. Pour le fichier imprt, seul tom a à  la fois l'accès en lecture et écriture - les autres peuvent seulement lire ce fichier. Comme il n'existe pas de permission d'exécution pour ce fichier, il ne pourra jamais fonctionner comme un programme. Le fichier imprt ne contient que des données d'application. Le répertoire /etc est plein de fichiers importants, dont beaucoup sont associés à  la sécurité. L'un des plus intéressants d'entre eux est le fichier passwd (password). Si on le visualise, on voit une liste de fichiers de mots de passe semblable à  celle que produit la commande OS/400 WRKUSRPRF (Work with User Profile) avec l'option *ALL. On peut utiliser la commande cat (concatenation) pour visualiser le fichier passwd (j'ai abrégé la liste de fichiers résultante ici) :

cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
ftp:x:14:50:FTP User:/home/ftp:
don:x:51:51:Denoncourt:/home/don:/bin/bash

  Bien que le fichier soit appelé passwd, Linux garde les mots de passe ailleurs, en format crypté. Comme nous l'avons vu plus haut, l'ID utilisateur root a la même puissance que QSECOFR de l'OS/400. On peut considérer root comme le superutilisateur Linux. Si l'on s'est connecté comme un utilisateur lambda et si l'on veut exécuter une commande nécessitant la puissance superutilisateur, on peut utiliser la commande su (superuser access) suivie par le mot de passe root pour donner à  la session la puissance de root. Quand on veut ajouter un utilisateur, on utilise la commande adduser (add user), tout comme on utiliserait CRTUSRPRF (Create User Profile) en OS/400. La touche F1 permet d'obtenir de l'aide sur toute commande OS/400. Dans Linux, on utilise la commande man (nanual) pour accéder à  l'aide concernant les commandes. Pour obtenir de l'aide sur adduser, par exemple, taper sur une ligne de commande :

man adduser

Téléchargez gratuitement cette ressource

Guide PME : 5 leviers pour accélérer votre développement

Guide PME : 5 leviers pour accélérer votre développement

Grandir, se développer et piloter la croissance sont des enjeux majeurs pour les PME qui doivent sécuriser le quotidien pour s’engager vers demain. Découvrez, dans ce Guide infographique, les différents leviers qui vous permettront de consolider durablement votre développement.

Tech - Par iTPro - Publié le 24 juin 2010