Académique Documents
Professionnel Documents
Culture Documents
Droits/permissions
Type d’accès
TECHNIQUES DAC
Propriété et autorisations
Identités
u — l'utilisateur qui possède le fichier (c'est-à-dire le
propriétaire)
g — le groupe auquel appartient l'utilisateur
o — autres (pas le propriétaire ou le groupe du
propriétaire)
a — tout le monde ou tous (u, g et o)
Autorisations
r — accès en lecture
w — accès en écriture
x — accès en exécution (Pour un répertoire, c’est le
déplacement)
Actions
+ — ajoute l'autorisation
- — supprime l'autorisation
= — en fait la seule autorisation
# ls -l file.txt
-rw-r--r-- 1 root root 0 Mar 31 05:48 file.txt
# chown tchafros file.txt
# ls -l file.txt
-rw-r--r-- 1 tchafros root 0 Mar 31 05:48 file.txt
# chown tchafros:tchafros file.txt
# ls -l file.txt
-rw-r--r-- 1 tchafros tchafros 0 Mar 31 05:48 file.txt
Droits étendus : suid, sgid, sticky bit
SITUATION
1)
[root@lab1 comptabilite]# setfacl -m tchafros:r-x / comptabilite
[root]# getfacl ./
# file: .
# owner: comptabilite
# group: comptabilite
user::rwx
User:tchafros:r-x
2)
[root@lab1 comptabilite]# mkdir ./tchafros
[root]# chown tchafros:comptabilite ./tchafros
[root]# getfacl ./tchafros
# file: tchafros
# owner: tchafros
# group: comptabilite
user::rwx
user: comptabilite:rwx
group::rwx
3)
[root@lab1 comptabilite]# su tchafros
[tchafros]$ touch test
touch: cannot touch ‘test’: Permission denied
[tchafros]$ cd ./tchafros
[tchafros]$ touch test
[tchafros]$ ls
Test
4)
On veut que les fichiers de tchafros soient secrets et aue
Paul ne les voit pas
LIMITE DAC
• Danger présenté par le compte root.
• Ce super-utilisateur a le pouvoir de contrôler tous les
fichiers et processus.
• Si le compte root, ou un processus qui s'exécute avec
ses privilèges, est compromis, un attaquant peut
prendre le contrôle total du système et de ses
données.
MODES MAC
SELinux : http://www.nsa.gov/selinux
• Application de type (TE – Type Enforcement),
• Contrôles d'accès basés sur les rôles (RBAC),
• Sécurité à plusieurs niveaux (MLS).
RSBAC (Rule Set Based Access Control):
http://www.rsbac.org/
• Restreindre le pouvoir de root
• Listes de contrôle d'accès
• Prisons de processus
• Limitation des ressources
• Limitation de l'accès au réseau
• Contrôles d'accès basés sur les rôles
• Protection de l'espace d'adressage avec PaX
(http://pax.grsecurity.net/)