Configurer un relais DHCP sur HP ProCurve

o
o

I. Prsentation
II. Configuration
A. Routage inter-vlan et relais DHCP
B. Attribuer ladresse du serveur DHCP de rfrence

I. Prsentation
Nous allons voir comment configurer un relais DHCP sur un switch HP ProCurve. Pour rappel et
pour faire simple, un serveur DHCP fournit une adresse IP des clients (PC, tablette,
smartphone). Lagent relais, lui, est charg dintercepter les messages de diffusion contenant
les demandes dadresses DHCP client et les transmet un serveur DHCP dun autre sous
rseau.

II. Configuration
Dans un premier temps, il faut activer les services. Ensuite, il faut indiquer chaque vlan (=
rseau local virtuel) ladresse IP du serveur DHCP.

A. Routage inter-vlan et relais DHCP

Se connecter au switch HP ProCurve et se mettre en mode configuration :

NOM_SWITCH# configure

Cette commande permet dactiver le routage inter-vlan :

NOM_SWITCH(config)# ip routing

Saisir cette commande pour activer lagent relais DHCP sur le switch HP
NOM_SWITCH(config)# dhcp-relay

Enregistrer la configuration :
NOM_SWITCH(config)# wr m

B. Attribuer ladresse du serveur DHCP de rfrence

Se connecter au switch HP ProCurve et se mettre en mode configuration :
NOM_SWITCH# configure

Slectionner le vlan concern. Pour ma part, il sagit du vlan 10 :

NOM_SWITCH(config)# vlan 10

Cette commande permet de dfinir ladresse IP du serveur DHCP. Pour mon rseau, le serveur
DHCP a comme adresse 192.168.30.5 .
NOM_SWITCH(vlan-10)# ip helper-address 192.168.30.5

Cette commande permet de revenir en mode configuration :

NOM_SWITCH(vlan-10)# exit

Enregistrer la configuration :
NOM_SWITCH(config)# wr m

Il faut renouveler les commandes de ltape B sur tous les vlans o les clients ont besoin
dune adresse IP.

Serveur DHCP sous Linux

o
o

o
o

o
o
o

I. Prsentation
II. Installation du serveur DHCP
A. Configuration du serveur DHCP
B. Test du DHCP
III. Adressage fixe avec les adresses mac
A. Configuration
B. Test de ladressage fixe
IV. DHCP Relais
A. Installation du DHCP relais
B. Configuration du relais DHCP
C. Test du DHCP Relais

I. Prsentation
Un serveur DHCP permet de fournir automatiquement une configuration IP une machine,
par exemple des ordinateurs, des smartphones, des imprimantes rseau, en gros tous ceux qui
peut tre connect un rseau. Cette configuration IP est compose :

dune adresse IP
dun masque de rseau
dune passerelle
dune adresse de DNS

Lorsquune machine sans configuration IP se connecte au rseau, celle-ci met un DHCP

DISCOVER en broadcast afin de demander si un serveur DHCP existe. Le serveur DHCP
rpond par un DHCP OFFER et commence donner des premiers paramtres, la machine
envois une demande DHCP REQUEST puis le serveur DHCP envois un DHCP ACK afin de
fournir la configuration IP.
La configuration IP peut tre fournie avec un bail. Ce bail indique que tel machine aura tel IP pour
une dure de 7 jours par exemple. la date limite, si la machine est toujours sur le rseau, elle
garde la mme IP pour un nouveau bail de 7 jours. Si au bout de 2 jours la machine quitte le
rseau, lIP quelle utilisait sera disponible pour les autresmachines la fin du bail.
Un seul serveur DHCP peut fournir des configurations IP plusieurs rseaux diffrents,
pour cela il faut utiliser le relais DHCP, nous mettrons en place ce systme en seconde partie du
tutoriel.
Le serveur DHCP fournit des IP qui sont dans une plage dIP disponibles, par exemple de
192.168.1.50 jusque 192.168.1.100.
Prrequis :

une machine Debian avec une IP fixe.

Aucun autre serveur DHCP actif afin dviter les conflits.
Une machine cliente (par exemple Debian) sans configuration IP afin de tester.
Une connexion Internet.

II. Installation du serveur DHCP

On commence par une mise jour des paquets du systme :
apt-get update

Nous allons maintenant installer le paquet suivant :

apt-get install dhcp3-server

A. Configuration du serveur DHCP

Comme vous vous en doutez, installer le paquet ne suffit pas faire fonctionner notre serveur
DHCP, il y a des petites configurations faire. On va se rendre dans le fichier suivant :
nano /etc/default/isc-dhcp-server

la fin de ce fichier ce trouve la ligne suivante :

INTERFACES=""

On va indiquer quelle interface rseau nous utiliserons, si votre serveur DHCP nest pas sur un
routeur, il y a alors normalement quune seule carte rseau qui est eth0 :

INTERFACES="eth0"

On enregistre et on ferme ce fichier. Nous avons maintenant un dernier fichier configurer, cest
dans celui-l que nous indiquerons les configurations IP fournir :
nano /etc/dhcp/dhcpd.conf

Dans ce fichier on peut trouver beaucoup dexplications et des exemples en anglais. On copie le
texte ci-dessous tout la fin du fichier :
# Notre configuration pour le rseau 172.18.0.0
subnet 172.18.0.0 netmask 255.255.0.0 {
range 172.18.0.20 172.18.0.30;
option domain-name-servers 8.8.8.8;
option domain-name "reseau.lan";
option routers 172.18.0.1;
option broadcast-address 172.18.255.255;
default-lease-time 600;
max-lease-time 7200;
}

Alors pour les explications :

La premire ligne est un commentaire, elle ne sert donc rien part pour indiquer sur
quel rseau on va paramtrer.

La seconde ligne, on indique le rseau ainsi que le masque de rseau.

La troisime ligne, on indique le rang dadresses IP fournit.

La quatrime ligne, on indique le DNS. Ici nayant pas de DNS, jai mis ladresse dun
DNS de Google.

La cinquime ligne, on indique le nom de notre domaine.

La sixime ligne, on indique ladresse de notre passerelle.

La septime ligne, on indique ladresse broadcast du rseau.

Et enfin les 2 dernires lignes, sont pour le bail. On indique le bail par dfaut et le bail
maximum. Ce bail est exprim en secondes.
On sauvegarde ce fichier et on le quitte puis on redmarre le service serveur DHCP :

service isc-dhcp-server restart

La configuration est maintenant termine, on va pouvoir passer la phase de test.

B. Test du DHCP
Pour le test, on va simplement dmarrer une machine Debian. On va ensuite dire la machine de
se
mettre
en
DHCP
plutt
que
dutiliser
une
IP
fixe.
Pour cela on va dans le fichier de configuration des cartes rseaux :
nano /etc/network/interfaces

On modifie ce fichier afin davoir les lignes suivantes :

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp
On enregistre et on quitte.
On tape ensuite les commandes suivantes :
ifdown eth0
ifup eth0

On fait un ifconfig afin davoir les informations sur les cartes. On voit maintenant quon a bien
dans eth0 :

Une adresse IP dans le rang quon a dfini (logiquement la premire adresse, donc dans
mon cas : 172.18.0.20).
Une adresse de broadcast en 172.18.255.255.
Un masque en 255.255.0.0.

On peut pinger la passerelle qui est en 172.18.0.1.Et pour finir, on peut galement pinger le site
www.it-connect.fr.

III. Adressage fixe avec les adresses mac

On peut avoir besoin dindiquer au serveur DHCP que telle machine aura toujours telle adresse
IP.
Prrequis :

un serveur DHCP fonctionnel.

une machine cliente.

A. Configuration
Pour raliser cela, il suffit juste daller dans le fichier de configuration du serveur DHCP :
nano /etc/dhcp/dhcpd.conf

Tout la fin on rajoute les lignes suivantes :

host client1_debian {
hardware ethernet 08:00:27:bb:40:6b;
fixed-address 172.18.0.26;
}

Les explications:

la premire ligne, on indique le nom de la machine cliente.

La seconde ligne, on indique son adresse mac.

La dernire ligne, on indique quelle adresse IP elle aura en permanence.

On sauvegarde ce fichier et on le quitte puis on redmarre le service serveur DHCP :

service isc-dhcp-server restart

B. Test de ladressage fixe

Pour le test, on va simplement dmarrer une machine Debian. On va ensuite dire la machine de
se
mettre
en
DHCP
plutt
que
dutiliser
une
IP
fixe.
Pour cela on va dans le fichier de configuration des cartes rseaux.
nano /etc/network/interfaces

On modifie ce fichier afin davoir les lignes suivantes :

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

On enregistre et on quitte puis on tape ensuite les commandes suivantes :

ifdown eth0
ifup eth0

On fait un ifconfig afin davoir les informations sur les cartes.

On voit maintenant quon a bien dans eth0 :

une adresse qui est celle que lon a dfinie (172.18.0.26).

Une adresse de broadcast en 172.18.255.255.
Un masque en 255.255.0.0.
On peut pinger la passerelle qui est en 172.18.0.1.

Et pour finir, on peut galement pinger le site www.it-connect.fr .

IV. DHCP Relais

Le DHCP Relais permet au serveur DHCP de fournir des configurations IP des machines
situes dans un rseau diffrent du sien. En fonction du rseau o la machine cliente se
trouve, celle-ci aura telle configuration IP ou tel autre.
Prrequis :

un serveur DHCP fonctionnel.

Un routeur afin de lier les rseaux.

Minimum 2 rseaux : un pour le serveur DHCP, un pour la machine cliente.

Une connexion Internet.
2 machines clientes.

A. Installation du DHCP relais

Sur le routeur on installe le paquet suivant :
apt-get install dhcp3-relay

Lors de linstallation, on indique ladresse IP du serveur DHCP :

172.18.0.2

On indique galement linterface o le relais DHCP coutera :

10.0.0.1

Pour les options supplmentaires on laisse vide.

B. Configuration du relais DHCP

On modifie notre fichier de configuration sur le serveur DHCP. On indique notre rseau o nous
voulons fournir des configurations IP :
nano /etc/dhcp/dhcpd.conf

la fin, on rajoute les lignes suivantes :

# Notre configuration pour le rseau 10.0.0.0
subnet 10.0.0.0 netmask 255.0.0.0 {
range 10.0.0.40 10.0.0.60;
option domain-name-servers 8.8.8.8;
option domain-name "reseau.lan";
option routers 10.0.0.1;
option broadcast-address 10.255.255.255;
default-lease-time 600;
max-lease-time 7200;
}

On enregistre et on quitte. Puis pour finir, on relance le service de serveur DHCP :

service isc-dhcp-server restart

Sur le routeur, on relance le service de DHCP relais :

service isc-dhcp-relay restart

C. Test du DHCP Relais

Pour le test, on va simplement dmarrer une machine Debian quon aura dj connecte notre
routeur, dans le bon vlan. On va ensuite dire la machine de se mettre en DHCP plutt que
dutiliser une IP fixe. Pour cela on va dans le fichier de configuration des cartes rseaux :
nano /etc/network/interfaces

On modifie ce fichier afin davoir les lignes suivantes :

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

On enregistre et on quitte. On tape ensuite les commandes suivantes :

ifdown eth0
ifup eth0

On fait un ifconfig afin davoir les informations sur les cartes.

On voit maintenant quon a bien dans eth0 :

ne adresse IP dans le rang quon a dfini (logiquement la premire adresse, donc dans
mon cas : 10.0.0.40).
Une adresse de broadcast en 10.255.255.255.
Un masque en 255.0.0.0.
On peut pinger la passerelle qui est en 10.0.0.1. Et pour finir, on peut galement pinger le
site www.it-connect.fr .

Pour conclure, dans ce tutoriel nous avons vu :

Quun serveur DHCP sert fournir une configuration IP une machine qui se branche
sur le rseau.

Cette configuration IP fonctionne avec un systme de bail.

Quun serveur DHCP peut fournir toujours la mme adresse IP une machine grce
son adresse mac.

Quun serveur DHCP peut fournir des configurations IP des machines qui sont dans des
rseaux diffrents du serveur.
Pour apprendre comment mettre en redondance deux serveurs DHCP sur Linux, cest
ici : redondance de serveurs DHCP sous Linux

Hyper-V : Protection contre les DHCP malicieux

avec DHCP Guard

I. Prsentation
II. Activer cette option
III. Activation sur plusieurs machines

I. Prsentation
Avant de commencer, je tiens prciser que cette option est disponible depuis Windows
Server 2012.
Le service DHCP est omniprsent dans les rseaux dentreprises afin de distribuer une
configuration rseau aux postes clients et mme aux serveurs. Gnralement, plusieurs serveurs
sont prsents dans le but dassurer la disponibilit et la stabilit du service. Ces serveurs
greront des tendues communes et se synchroniseront pour viter tout doublon.
Imaginez maintenant quun serveur DHCP autre que les vtres vient se connecter votre rseau,
il pourra distribuer des mauvaises configurations IP et cela perturbera fortement votre rseau
Dautant plus que selon le fonctionnement du protocole DHCP, un client ngocie avec le premier
serveur DHCP qui lui rpondra donc il suffit que le serveur DHCP malicieux rponde avant le
vtre et le tour est jou.
Par ailleurs, on peut imaginer un environnement hors production o se situe une machine
virtuelle de test excutant un serveur DHCP, si celle-ci se retrouve malencontreusement
connecte au rseau, les perturbations auront lieu galement.
Pour cela, Hyper-V intgre une fonctionnalit nomme DHCP Guard , en franais
Protection DHCP , qui lorsquelle est active sur une machine virtuelle lempche denvoyer
des trames de type DHCP Offer , et donc de faire une proposition de configuration IP un
client potentiel.
Comment activer cette option ? Peut-on lactiver par dfaut ? Peut-on la configurer
rapidement sur plusieurs machines virtuelles ? Ce tutoriel rpondra ces questions, allez
on commence !

II. Activer cette option

Loption peut tre dfinie sur chaque machine virtuelle, au cas par cas, voyons comment
procder.
Note : Nactivez pas cette option sur une machine virtuelle qui est un serveur DHCP lgitime, car
sinon il ne pourra pas traiter la demande des clients.

Commencez par ouvrir le Gestionnaire Hyper-V et slectionnez une de vos machines

virtuelles qui na pas envoyer de trames de type DHCP Offer, autrement dit une machine qui ne
joue pas le rle de serveur DHCP sur votre rseau.
Effectuez un clic droit sur votre machine virtuelle dans linventaire et cliquez sur Paramtres ,
comme ceci :

Sur la gauche, cliquez sur le + au niveau de Carte rseau et slectionnez

Fonctionnalits avances . Ensuite, la partie de droite affiche les options avances
disponibles, vous trouverez une section nomme Protection DHCP . Cochez la case
Activer la protection DHCP et appliquez les paramtres. La configuration de cette VM est
termine.

Il ne reste plus qu recommencer lopration sur les autres machines virtuelles sur lesquelles
vous souhaitez activer cette protection.
Note : Pour activer par dfaut le DHCP Guard, vous devez spcifier ce paramtre dans un
template lorsque vous utilisez System Center Virtual Machine Manager.

III. Activation sur plusieurs machines

Via linterface graphique, cela peut vite devenir long et ennuyeux deffectuer la configuration sur
chacune de vos VMs. Pour contrer cela, nous allons passer par PowerShell et quelques
commandes. Commencez par ouvrir une console PowerShell et charger le module Hyper-V :
Import-Module Hyper-v

Ensuite, on va commencer par lister lensemble des machines virtuelles rfrences dans
linventaire de notre serveur Hyper-V, en ajoutant une colonne qui permet de savoir ltat du
paramtre DHCP Guard.
Get-VMNetworkAdapter * | ft VMName,Name,DhcpGuard

On remarque sur la copie dcran ci-dessous, que, parmi mes 3 VMs une seule dispose dune
protection DHCP active (SRV-01).

Pour activer le DHCP Guard sur lensemble des machines virtuelles on utilisera (cela peut tre
plus intressant de lactiver partout et de dsactiver loption sur les quelques serveurs DHCP de
votre entreprise) :
Set-VMNetworkAdapter * -DhcpGuard On

linverse pour le dsactiver sur toutes les machines :

Set-VMNetworkAdapter * -DhcpGuard Of

Si vous souhaitez viser uniquement une ou plusieurs machines virtuelles, remplacez le signe
* par le nom de la VM. Dans le cas o il y a plusieurs noms prciser, sparez-les par une
virgule.

Cration dune tendue DHCP en PowerShell

I. Prsentation
II. Les commandlets
III. Procdure

I. Prsentation
Pour faire suite mon tutoriel sur linstallation du rle DHCP via PowerShell, continuons avec cet
article qui explique comme configurer une tendue DHCP en ligne de commande.
On appelle galement une tendue un scope .

II. Les commandlets

Avant de passer laction, voici la liste des commandlets que nous allons utiliser et leur rle :
Add-DhcpServerv4Scope : Cration de ltendue
Add-DhcpServerv4ExclusionRange : Ajouter lexclusion de certaines adresses dans une
tendue
Set-DhcpServerv4OptionDefinition : Configurer les options comme le DNS, un suffixe DNS,
la passerelle par dfaut, etc.
Get-DhcpServerv4Scope : Lister les scopes DHCP

III. Procdure
Commenons
par
crer
une
tendue
nomme
Scope1
plage 192.168.1.50 192.168.1.100, sur un masque 255.255.255.0.

ayant

pour

Add-DhcpServerv4Scope -Name "Scope1" -StartRange 192.168.1.50 -EndRange 192.168.1.100

-SubnetMask 255.255.255.0

Par contre, je souhaite exclure 5 adresses de cette tendue : 192.168.1.70 192.168.1.75, ce qui
donnera :
Add-DHCPServerV4ExclusionRange -ScopeId 192.168.1.0 -StartRange 192.168.1.70 -EndRange
192.168.1.75

On dfinit la passerelle par dfaut 192.168.1.254, grce loption DHCP n3 :

Set-DhcpServerv4OptionDefinition -OptionId 3 -DefaultValue 192.168.1.254

On fait la mme chose avec le DNS correspondant loption n6. Pour ma part, je prend comme
adresse de DNS192.168.1.253.
Set-DhcpServerv4OptionDefinition -OptionId 6 -DefaultValue 192.168.1.253

Quant au suffixe DNS, correspondant au nom de domaine de lentreprise, il correspond

loption n15. Dans lexemple ci-dessous, je dfinis it-connect.fr.
Set-DhcpServerv4OptionDefinition -OptionId 15 -DefaultValue it-connect.fr

Note : Si vous avez besoin de dfinir des options supplmentaires, vous pouvez lister les options
disponibles grce cette commande : Get-DhcpServerv4OptionDefinition
Enfin, pour finir, on active ltendue que nous venons de configurer :
Set-DhcpServerv4Scope -ScopeId 172.16.0 -Name "Scope1" -State Active

Note : Pour les adaptes de netsh, il est toujours possible de passer par son intermdiaire pour la
configuration. Vous obtiendrez de laide grce cette commande : netsh dhcp /?
Afin de vrifier que la configuration est bien prise en compte, on peut lister les scopes DHCP du
serveur :
Get-DhcpServerv4Scope

Si vous avez besoin de plus dinformations, aidez-vous des commandes obtenu via :
Get-Command *dhcp*

NAS Asustor : Configurer lauthentification en deux

tapes

I. Prsentation
II. ADM : Configurer la synchronisation NTP
III. ADM : Configurer la double authentification

I. Prsentation
Depuis la version 2.6.3 de lADM sortie il y a quelques jours, Asustor propose lauthentification
en 2 tapes pour se connecter linterface dadministration de lADM. Le principe cest
quen plus du mot de passe habituel, vous devrez saisir un code phmre 6 chiffres fournis
par le service Google Authenticator et faisant office de deuxime phase dauthentification.
Ce code phmre est gnr par rapport la cl utilisateur qui vous est attribue, et il
change toutes les 30 secondes ! Do lutilit ce que le NAS et le smartphone soient bien
lheure, pour que le code fourni par le smartphone soit accept par le NAS.
Dans ce tutoriel, nous allons voir comment configurer cette fonctionnalit sur un compte
utilisateur.

II. ADM : Configurer la synchronisation NTP

Commencez par accder aux Paramtres de votre NAS depuis linterface ADM, puis sous
Options rgionales vous pouvez ensuite configurer le serveur NTP au sein de longlet Date
& Heure .
Jai pour habitude de me rfrencer sur fr.pool.ntp.org qui cible un pool de serveurs NTP
franais et qui sont publics. Dans un environnement dentreprise, on ciblera surement un serveur
en interne, comme un contrleur de domaine, par exemple.
Pour configurer le serveur, on passe en mode Synchroniser depuis un serveur NTP et on
indique son adresse, pensez le tester pour sassurer que la configuration fonctionne. Pour la
frquence de mise jour, mettez Journalier pour viter au maximum une
dsynchronisation horaire du NAS qui perturberait le bon fonctionnement de la double
authentification.
Cliquez sur Appliquer pour valider.

Puisque nous sommes en France et quil y a lheure dt, il va falloir effectuer la configuration
galement. Pour cela, dans longlet Fuseau Horaire activez la fonction heure dt avec un
ajustement automatique, ce qui permettra au NAS de se mettre jour tout seul comme un grand.

L encore, cliquez sur Appliquer et on va pouvoir passer la suite.

III. ADM : Configurer la double authentification

La configuration de la double authentification seffectue au niveau de votre propre compte
utilisateur, vous ne pouvez pas configurer cette fonctionnalit pour quelquun dautre ! A moins de
se connecter lADM avec diffrents comptes
Cliquez sur votre nom en haut droite puis sur Paramtres .

Dans longlet Personnel cochez la case Activer la validation en 2 tapes .

Un assistant va souvrir Cliquez sur Suivant .

Dsormais, il va falloir passer sur le smartphone, Android dans mon cas et installer lapplication
Google Authenticator . Ensuite, vous devez soit scanner le code QR affich dans lassistant,
soit fonctionner par code, cest dailleurs ce que jai choisi.
Depuis votre smartphone, dans lapplication Google Authenticator, accdez au menu en haut
droite puis appuyez sur Configurer un compte .

Choisissez Saisir la cl fournie (ou Scanner un code-barres , mais il faudra installer une
application pour lire les codes QR). Vous devrez alors saisir les informations fournies dans
lassistant sur lADM.

Si vous saisissez les bonnes informations, ce dont je ne doute pas, le compte doit se valider et
votre NAS apparatra dans lapplication. Le compte rebours sur la droite vous indique le temps
de validit restant du code actuellement affich sur lcran du smartphone. Sans plus attendre,
testons notre configuration

Alors quau niveau du NAS, vous tes normalement la fin du processus de configuration,
cliquez sur Finir .

Reconnectez-vous votre NAS avec le compte que lon vient de configurer :

Tiens tiens, le mot de passe est pass, mais on me demande un code (Asustor corrigera
probablement le Undefined par un mot plus explicite dans une mise jour future). Rendezvous sur lapplication pour obtenir le code est saisissez-le pour finaliser lauthentification

Note : Pour le moment, il nest pas possible de dfinir un ordinateur dans une liste de clients de
confiance pour viter de saisir un code chaque fois.

Voil, la configuration est oprationnelle ! Sachez que vous pouvez tout moment dsactiver la
fonctionnalit dans les paramtres de votre compte utilisateur. Pour finir, voici une note
importante :
Note : Si vous navez pas votre smartphone avec vous, vous naurez pas de code et donc vous
ne pourrez pas vous connecter votre NAS ! Je prconise de garder, par scurit, un compte
administrateur sans double authentification avec un mot de passe trs scuris, vous savez la
fameuse ceinture bretelles , elle est l.

Les droits sous Linux

o
o

o
o
o

I. Prsentation
II. Les droits sous Linux
A.Visualisation
B. Signification des droits
III Modifier les droits
A. La commande Change Mod (chmod)
B. Utilisations des valeurs octales
C. Exemples
IV. Conclusion

I. Prsentation
Pour les systmes dexploitation multi-utilisateurs tel que Linux il est primordial de mettre en place
une politique de permissions contrlant les actions autorises sur les fichiers, rpertoires et sur
lensemble des ressources du systme.
Sous Linux les droits sappliquent sur les fichiers en fonction de 3 identits : le propritaire du
fichier, le groupe (qui contient un ou plusieurs utilisateurs) et les autres utilisateurs qui ne sont
ni propritaires, ni prsents dans le groupe.
Les droits sont propres chaque fichier et sont reprsents par 3 sries de 3 lettres. Ces
lettres peuvent prendre comme valeurs r, w, x ainsi que s et t qui peuvent parfois tre en
majuscule S, T.

II. Les droits sous Linux

A.Visualisation

La commande ls -l permet de lister le contenu dun dossier et de fournir un certain nombre

dinformations. Elle permet notamment de connatre le propritaire et le groupe propritaire dun
fichier ainsi que leurs droits respectifs, elle renseigne galement sur les droits accords
aux autres utilisateurs. De plus, cette commande indique le type de fichier, identifi par une lettre
ou un tiret en dbut de ligne.
Exemple : Listing du dossier /usr
[root@server:~]# ls -l /usr
[]
drwxr-xr-x 75 root root 12288 sept. 1 04:00 lib
drwxrwsr-x 13 root staf 4096 sept. 1 13:04 local
-rw-rw-r-- 1 aline aline 0 sept. 4 10:47 testDroit01.txt

-rw-rw-r-- 3 aline aline 0 sept. 5 15:59 fichier1.jpg

Ici nous avons le dossier /local appartenant root qui possde les droits rwx. Le groupe
propritaire de ce dossier est staff et possde quant lui les droits rws. Tous
les autres utilisateurs ont seulement les droits r-x, ici le tiret indique labsence du droit w.

B. Signification des droits

Il est important de distinguer les dossiers (reprsents par la lettre d) des autres fichiers car les
droits nont pas la mme signification.
1- Pour les fichiers

r : Lecture Permet de lire, ouvrir, visualiser (cas dune image)

Exemple de commande permise : cat
w : criture Permet de modifier le fichier
Exemple de commandes permises : utilisation des sorties standards > ou >> pour crire dans
le fichier.
Il est possible dcrire dans un fichier sans quil possde le droit de lecture comme le
demande la plupart des diteurs de texte.
x : Excution Autorise lutilisateur excuter le fichier
Programmes, scripts shell.
s : SetUID Excution avec les droits du propritaire.
Exemples : /bin/mount, /bin/ping, /usr/bin/passwd sexcutent avec le droit setUID.
Ainsi un simple utilisateur pourra changer son mot de passe en lanant la
commande passwd qui appartient root et crire dans le fichier /etc/sadow qui appartient
galement root.
-rwsr-xr-x 1 root root 51096 mai 25 2012 /usr/bin/passwd

s : SetGID Excution avec les droits du groupe.

Exemples : /usr/bin/wall, /usr/bin/crontab sexcutent avec le droit setGID
-rwxr-sr-x 1 root crontab 35984 fvr. 9 2013 /usr/bin/crontab

t : sticky bit Mise en zone de swap.

Exemples : /dev/ptya0, /dev/mem, /dev/port, /dev/ram0
crw-rw-rwT 1 root tty 2, 176 mai 6 05:03 /dev/ptya0

Le but est que le fichier puisse tre stock en mmoire pour pouvoir tre relanc plus
rapidement.
2 Pour les dossiers

r : Lecture Permet de lire le contenu du dossier (listage des fichiers, arborescence)

Exemple de commande permise : ls
w : criture Permet de modifier le contenu du dossier (crer, copier, renommer,
supprimer)
Exemples de commandes permises : mkdir, touch, cp, rm
x : Excution Autorise lutilisateur traverser le dossier ou accder un fichier dans
le dossier
Exemple de commande permise : cd
s : SetUID Nest pas utilis sous UNIX.
Il est cependant possible (avec chmod) de positionner ce droit mais reste sans effet.

s : SetGID Tout fichier cre dans ce dossier hritera du groupe du dossier parent. Les
sous-dossiers cres hriteront quant eux du droit setGID
Exemples : /usr/local, /usr/local/bin, /usr/local/lib
drwxrwsr-x 13 root staf 4096 sept. 1 13:04 local

Utile lorsque plusieurs utilisateurs travaillent sur un projet commun

t : sticky bit Tout fichier cre ne pourra tre supprim que par son propritaire et par
root.
Exemple : /var/tmp, /dev/sda, /dev/port, /var/spool/cron/crontabs
drwxrwxrwt 2 root root 4096 sept. 11 08:45 tmp

Cest aussi le principe utilis par les wikis.

III Modifier les droits

A. La commande Change Mod (chmod)

La commande permettant de changer les permissions est chmod. Son utilisation est la suivante :
chmod (-R) [u g o a] [+ - =] [r w x (X) s t] fichier(dossier)

Les options u, g, o et a spcifient lattribution des droits pour le propritaire (u : user), le groupe
(g : group), les autres utilisateurs (o : other). Loption a : all permet dappliquer les droits
tous les utilisateurs. Les symboles +, , =indiquent lajout dun droit, le retrait et enfin lgalit.
chmod ugo=rwx fichier

est quivalent :
chmod a=rwx fichier

Le X majuscule permet, dans le cas dune attribution rcursive des droits (option -R), de
spcifier uniquement le droit dexcution sur les dossiers contenus dans un rpertoire sans
toucher aux autres fichiers.
chmod -R g=rwX dossier/

B. Utilisations des valeurs octales

Il est possible avec la commande chmod dutiliser les valeurs octales correspondantes aux
droits r, w, x, s et t.
Tableaux des quivalences des droits (binaire, octal, lettres) :

Lorsque les droits s et t sont activs ils viennent se positionner sur les droits dexcutions :

Important : Lorsque les droits s ou t sont appliqus le droit x nest plus visible.

Si le droit x est absent alors les droits setUID, setGID, stickyBit seront en majuscule
Si le droit x est prsent alors les droits setUID, setGID, stickyBit seront en minuscule

Exemple de calcul de la valeur octale :

Vrification :
chmod
2744
fichier1
&
ls
-l
-rwxr-Sr-1
aline
aline
0
-rwxr-sr-- 1 aline aline 0 sept. 23 16:58 fichier2

chmod
sept.

2754
23

16:58

fichier2
fichier
fichier1

C. Exemples
Les commandes suivantes sont quivalentes :
chmod
777
chmod
ugo=rwx
//rsultat
de
ls
-rwxrwxrwx 1 user group 0 sept. 8 09:54 fichier
chmod
600
chmod
u=rw
fichier
&
chmod
//rsultat
de
ls
-rw------- 1 user group 0 sept. 8 09:56 fichier
chmod
42
chmod
u=fichier
&
chmod
g=r
fichier
&
//rsultat
de
ls
----r---w- 1 user group 0 sept. 8 09:59 fichier
chmod
1337
chmod
ug=wx
fichier
&
chmod
//rsultat
de
ls
--wx-wxrwt 1 user group 0 sept. 8 10:01 fichier
chmod
2016
chmod
g=xs
fichier
&
chmod
//rsultat
de
ls
------srw- 1 user group 0 sept. 8 10:03 fichier
chmod
7000
chmod
//rsultat
de
ls
---S--S--T 1 user group 0 sept. 8 10:05 fichier

fichier
fichier
:

-l

fichier
fichier
:

go=-l
chmod
-l
o=rwxt
-l

o=w

fichier
fichier
:
fichier
fichier
:

-l

fichier
fichier
:

-l

fichier
ugo=st
:

o=rw

Il est parfois bien plus rapide dutiliser les valeurs octales mais elles restent nanmoins plus
difficiles apprhender.

IV. Conclusion
La gestion des droits sur Linux est simple et permet davoir une bonne matrise du systme.
Cependant cette simplicit ne permet pas toujours de couvrir lensemble des besoins en
entreprise. Chaque fichier appartient en effet un utilisateur et un groupe unique, ce qui peut tre
problmatique et restrictif.
Pour permettre une gestion plus fine des permissions daccs il existe les ACL (Acess Control
List) qui accordent des privilges plusieurs utilisateurs ou plusieurs groupes pour un mme
fichier.