> Tech > Unix : moins de clés, moins de serrures

Unix : moins de clés, moins de serrures

Tech - Par iTPro - Publié le 24 juin 2010
email

Obtenir l'accès à  un système Unix revient essentiellement au même que d'accéder à  NT. Les utilisateurs ont un profil utilisateur et un mot de passe pour s'identifier vis-à -vis du système. Lorsqu'ils se connectent au système Unix, leur identité détermine leur accès aux ressources. Tout comme NT, Unix désigne les utilisateurs

et les groupes pour déterminer l’accès aux ressources.

En revanche, xontrairement à  NT, Unix stocke des listes d’utilisateurs et de groupes
dans des fichiers textes (/etc/passwd pour les utilisateurs et /etc/group pour
les groupes). Ces fichiers textes contiennent toutes les informations sur l’environnement
initial de l’utilisateur, y compris le répertoire de base, le shell de démarrage,
l’ID utilisateur (UID), l’ID du groupe (GID), et sur certains systèmes, le mot
de passe crypté. La plupart des versions récentes d’Unix peuvent stocker les mots
de passe cryptés des utilisateurs dans un fichier distinct (habituellement le
fichier /etc/shadow), lequel n’est donc pas accessible aux utilisateurs.

Contrairement à  Windows NT, les versions actuelles d’Unix permettent aux utilisateurs
d’appartenir à  plusieurs groupes. Mais beaucoup de systèmes Unix n’autorisent
pas les groupes au sein de groupes. Il est possible d’ajouter cette fonctionnalité
à  un système Unix au moyen de NIS (Network Information Service), dont la version
la plus récente est NIS+. NIS est une base de données contenant des informations
sur les utilisateurs et les groupes, semblable à  la base de données des utilisateurs
de NT. NIS gère ces informations avec un serveur unique (le serveur maître) dans
un domaine, qui les duplique sur les ordinateurs du domaine. (Les domaines NIS
peuvent être distincts des domaines Internet ou NT).Comme dans Windows NT, l’UID
et le GID d’un utilisateur Unix déterminent l’accès aux ressources, mais n’offrent
que trois niveaux de permissions : lecture, écriture et exécution. Les permissions
spéciales, comme prendre possession ou changer les permissions, n’existent pas
dans Unix. Les systèmes Unix n’utilisent pas d’ACL et définissent l’accès avec
trois désignations : propriétaire, groupe et reste du monde (semblable au groupe
Everyone de NT).Lorsque vous utilisez la commande Ls l sur un système Unix (la
syntaxe varie légèrement en fonction de l’Unix concerné) pour obtenir la liste
des fichiers, une liste des permissions d’accès de plusieurs fichiers apparaît.
Cette liste a l’apparence du Tableau 1.
Chaque ligne consiste en quatre colonnes.
La première identifie les permissions d’accès aux fichiers.
La seconde, le propriétaire du fichier.
La troisième identifie le groupe d’appartenance du fichier.
La quatrième donne la taille du fichier, la date et l’heure de sa création et
son nom.

Regardons d’un peu plus près la première colonne – les permissions d’accès aux
fichiers.Dans l’exemple suivant de permissions d’accès aux fichiers :-rw-r—-
1 j immo admin 12709
15 Sep 98 12 :04 security.txt
la liste des permissions d’accès se compose de 10 caractères. Le premier est habituellement
soit un d, qui identifie un répertoire, soit un tiret (-), qui identifie un fichier.
Les neuf caractères suivants se divisent en trois jeux de trois caractères chacun.
Un r signifie permission de lecture, un w signifie permission d’écriture et un
x signifie permission d’exécution. Un tiret (-) indique l’absence de permission
spécifique. Le premier jeu de trois caractères représente les permissions du propriétaire
du fichier, le second représente les permissions des groupes de fichiers et le
troisième représente les permissions reste du monde du fichier.

Unix associe des fichiers à  un propriétaire et un groupe. Si vous n’êtes pas le
propriétaire du fichier et que vous n’appartenez pas au groupe, Unix détermine
l’accès par la valeur Reste du monde. Unix n’a pas de permission pour refuser
explicitement à  un utilisateur ou à  un groupe l’accès à  un fichier. C’est pourquoi
si un utilisateur Unix est membre d’un groupe ayant permission d’accès à  un fichier
ou à  un répertoire, il a lui aussi accès à  ce fichier ou à  ce répertoire. Dans
l’exemple cité plus haut, le propriétaire a une permission de lecture et d’écriture,
mais pas d’exécution. Le groupe de fichiers n’a qu’une permission de lecture et
le groupe Reste du monde n’a pas accès au fichier.

Comme nous l’avons vu plus haut, les systèmes Unix utilisent NFS pour partager
des fichiers. Le serveur NFS conserve à  jour une liste des répertoires de fichiers
et les administrateurs Unix peuvent définir l’accès à  ces répertoires pour des
utilisateurs et machines spécifiques.

Ainsi, même s’il a une permission d’accès à  un fichier particulier, un utilisateur
ne peut pas l’ouvrir sur une machine n’ayant pas de permission d’accès. Une des
différences essentielles entre NT et Unix tient à  ce que l’accès NFS dans Unix
se définit habituellement par machine, non par utilisateur.Tout comme dans NT,
vous allez à  l’encontre de problèmes dans Unix, lorsque vous voulez partager des
ressources entre des machines. Les utilisateurs Unix pouvant exister sur le serveur
NFS, mais pas sur la machine cliente, les administrateurs sont amenés à  se demander
comment déterminer l’accès à  une machine appropriée. Par défaut, Unix traite l’UID
sur le client de la même façon que sur le serveur.
Ce comportement par défaut oblige l’utilisateur à  avoir des UID qui se correspondent
sur le client et le serveur.
Bien que la conservation d’UID client et serveur correspondantes soit une tâche
simple dans Unix, il y a toujours la possibilité que les UID client et serveur
d’un utilisateur ne se correspondent pas. Les systèmes Unix exploitant NIS ont
une base de données utilisateurs commune où toutes les UID sont cohérentes.
Mais une telle correspondance bi-univoque entre client et serveur n’est pas toujours
désirable, par exemple dans le cas des utilisateurs de base. Un certain nombre
de versions Unix, comme Digital Unix, permettent par défaut la correspondance
des utilisateurs de base ; la base sur une machine est donc la base sur l’autre.
(Dans l’univers NT, la correspondance par défaut des utilisateurs de base reviendrait
à  donner à  un Administrateur local des droits sur chaque machine du domaine).Outre
le mapping NFS, les administrateurs Unix peuvent mapper des utilisateurs sur différentes
machines grâce à  l’équivalence. Celle-ci permet de définir deux machines comme
équivalentes (c’est-à -dire que les utilisateurs peuvent accéder aux deux machines),
mais l’équivalence peut aussi se définir par utilisateur. Dans ce cas l’équivalence
peut se définir entre plusieurs utilisateurs.

Par exemple, vous pouvez définir plusieurs utilisateurs sur une machine distante
comme équivalent à  un utilisateur unique sur la machine locale. L’équivalence
des utilisateurs fonctionne de la même manière qu’une relation d’approbation dans
NT, puisque les utilisateurs n’ont pas besoin de s’identifier sur toutes les machines
auxquelles ils se connectent.

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010