IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Administration système Discussion :

Droits fichiers X pour un groupe X et Y pour un groupe Y


Sujet :

Administration système

  1. #1
    Membre prolifique
    Avatar de Sve@r
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Février 2006
    Messages
    12 853
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Février 2006
    Messages : 12 853
    Billets dans le blog
    1
    Par défaut Droits fichiers X pour un groupe X et Y pour un groupe Y
    Bonjour à tous

    Aujourd'hui, un collègue de travail m'a demandé de faire en sorte qu'un dossier soit modifiable pour un groupe X et en lecture seule pour un groupe Y.

    Je lui ai dit que ce n'était pas possible. Les droits d'un fichier (dossier) se divisent en 3: les droits du propriétaire du fichier, qui concernent tout user correspondant à ce propriétaire ; les droits du groupe du fichier, qui concernent tout user qui, directement ou indirectement (groupe invités) serait du même groupe que le groupe du fichier ; et les droits des autres.

    Mais lui il m'a soutenu que c'était possible (bien entendu sans me dire comment car "il ne se souvenait plus"). Alors dans le doute, je viens ici voir/demander si ce serait éventuellement possible...

    Merci à tous
    Mon Tutoriel sur la programmation «Python»
    Mon Tutoriel sur la programmation «Shell»
    Sinon il y en a pleins d'autres. N'oubliez pas non plus les différentes faq disponibles sur ce site
    Et on poste ses codes entre balises [code] et [/code]

  2. #2
    Membre chevronné
    Profil pro
    Inscrit en
    Août 2010
    Messages
    345
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2010
    Messages : 345
    Par défaut
    Salut,
    Tant qu'il n'y a que 2 groupes, le groupe Y fait parti des others non ?
    Cordialement.

  3. #3
    Membre prolifique
    Avatar de Sve@r
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Février 2006
    Messages
    12 853
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Février 2006
    Messages : 12 853
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par ctac_ Voir le message
    Tant qu'il n'y a que 2 groupes, le groupe Y fait parti des others non ?
    Excellent.
    Mais non, je pense que tu sais aussi bien que moi que aussi humoristique que soit ta réponse , elle ne convient pas. Il est implicite que le groupe Y se différentie du reste. Ou (dit autrement), il m'a été demandé que le dossier soit modifiable pour X, en lecture pour Y et rien pour les autres...
    Mon Tutoriel sur la programmation «Python»
    Mon Tutoriel sur la programmation «Shell»
    Sinon il y en a pleins d'autres. N'oubliez pas non plus les différentes faq disponibles sur ce site
    Et on poste ses codes entre balises [code] et [/code]

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    Août 2010
    Messages
    345
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2010
    Messages : 345
    Par défaut
    Citation Envoyé par Sve@r Voir le message
    aussi humoristique que soit ta réponse , elle ne convient pas. Il est implicite que le groupe Y se différentie du reste. Ou (dit autrement), il m'a été demandé que le dossier soit modifiable pour X, en lecture pour Y et rien pour les autres...
    Je m'en doutais un peu, mais je me disais que c'était peu être un peu un piége genre, attend le spécialiste, on va l'embrouiller.
    Pour ma part, je ne suis pas assez un spécialiste, Il y a peut être moyen de faire quelque chose sous X via dbus-pkexec, mais là, ça nécessite de se pencher plus sérieusement sur le sujet.
    Peut être en pressant un peu le collègue de travail , ça pourrait intéresser du monde ici!
    Cordialement.

  5. #5
    Modérateur
    Avatar de N_BaH
    Profil pro
    Inscrit en
    Février 2008
    Messages
    7 673
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2008
    Messages : 7 673
    Par défaut
    acl ?
    si dispo...

    il y a eu un article sur developpez.com, mais il a été purgé de son contenu.
    N'oubliez pas de consulter les cours shell, la FAQ, et les pages man.

  6. #6
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    18 322
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 18 322
    Par défaut
    Tu peux gérer les droits plus finalement avec les ACL. Voici un point de départ :
    https://debian-facile.org/doc:systeme:acl
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  7. #7
    Membre prolifique
    Avatar de Sve@r
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Février 2006
    Messages
    12 853
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Février 2006
    Messages : 12 853
    Billets dans le blog
    1
    Par défaut
    Merci à tous pour votre intérêt.

    Alors les ACL je connais juste de nom et juste dans les grandes lignes. Je me doutais bien qu'avec cet outil on devait y arriver mais je n'en connais pas assez pour savoir comment faire. Un grand merci à chrtophe pour son lien qui est assez complet (il y a même un exemple correspodant exactement à ma demande) et me donne envie de m'y essayer.

    Je ne peux pas m'avancer plus avant dans ce sujet car comme je l'ai dit dès le départ il n'est pas de moi (l'homme qui a vu l'homme qui a vu...). Et en plus (comble du comble) je ne suis même pas l'admin du truc où il faudrait mettre ces droits. Donc en fait, si c'était possible (en dehors des ACL s'entend), il faudrait donc que 1) je sache comment faire et 2) que je l'explique à l'admin en charge. Et en plus le collègue m'a dit ça entre deux portes style "ah au fait il faudrait ..." en me laissant me démerder.
    Bref vous l'aurez compris, il s'agit d'un besoin sérieux, clair et bien établi tel que j'en vois souvent et qui je le pense va s'éteindre de sa mort naturelle d'ici lundi prochain. Vos retours me rassurent sur le fait qu'avec les droits standards cela n'est pas possible. Bien entendu si le collègue finit par me dire comment il a fait, je ne manquerai pas de vous en informer. Mais tel que je le connais, je pense qu'il se mélange totalement le cigare entre différents trucs qu'il a eu fait un jour et qui, dans son cerveau embrumé, deviennent une seule opération magique permettant de faire tout ça.

    Heureux d'avoir pu échanger avec vous dans cette rubrique où je ne viens pas souvent
    Mon Tutoriel sur la programmation «Python»
    Mon Tutoriel sur la programmation «Shell»
    Sinon il y en a pleins d'autres. N'oubliez pas non plus les différentes faq disponibles sur ce site
    Et on poste ses codes entre balises [code] et [/code]

  8. #8
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    18 322
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 18 322
    Par défaut
    Bref vous l'aurez compris, il s'agit d'un besoin sérieux, clair et bien établi tel que j'en vois souvent et qui je le pense va s'éteindre de sa mort naturelle d'ici lundi prochain.
    Si t'as besoin d'aide pour répondre au mail adressé à la terre entière ...

    C'est malheureusement dans l'air du temps.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  9. #9
    Expert confirmé Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 041
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 041
    Par défaut
    salut,

    je rejoins ctac_, les droits Unix suffisent, et par expérience les ACL ça complexifie souvent plus qu'autre chose sur une machine de prod.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    drwxrwxr-x   2 root comptabilite    4096 avril  1  2019 données_comptables/
    • root est le propriétaire, il fait ce qu'il veut (on s'en fout ici)
    • le groupe comptabilite est autorisé rwx, il fait ce qu'il veut y compris écrire
    • ceux qui ne font pas partie du groupe (others) n'ont que le droit de traverser le répertoire et lire ce qu'il y a dedans r-x


    reste juste à mettre les comptables dans le groupe qui convient.

  10. #10
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 295
    Par défaut
    Bonjour

    ceux qui ne font pas partie du groupe (others) n'ont que le droit de traverser le répertoire et lire ce qu'il y a dedans r-x
    Et de vider le contenu des fichiers.

  11. #11
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    18 322
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 18 322
    Par défaut
    @bufferbob,

    il semble que la demande soit :
    groupe X : accès complet
    groupe Y: accès en lecture seule uniquement
    autres groupes : aucun accès

    On ne peut donc pas utiliser les droits other, car ça ne couvre pas l'accès en lecture seule pour Y et aucun accès pour les autres groupes.
    Mis à part les ACL (qui sont un peu plus chiant à gérer que les droits de base, je te l'accorde), je vois pas.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  12. #12
    Expert confirmé Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 041
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 041
    Par défaut
    Citation Envoyé par Flodelarab Voir le message
    Et de vider le contenu des fichiers.
    hmm... j'ai pas testé, c'est sûr ça ? ce serait à cause du +x du coup ?

    Citation Envoyé par chrtophe Voir le message
    il semble que la demande soit :
    groupe X : accès complet
    groupe Y: accès en lecture seule uniquement
    autres groupes : aucun accès
    ah oui ok, vu sous cet angle ça semble difficile en effet

  13. #13
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 295
    Par défaut
    hmm... j'ai pas testé, c'est sûr ça ? ce serait à cause du +x du coup ?
    Oui c'est sûr. C'est justement la bizarrerie. Les droits du dossier s'appliquent au dossier mais les fichiers contenus gardent leurs droits propres.
    On ne peut donc pas créer ou supprimer un fichier, mais, vider un fichier et laisser une coquille vide, on peut, car le dossier est inchangé.

    Quant au +x du dossier, c'est vrai que si on ne peut pas le traverser, on ne peut rien faire dedans.

    À noter : sed -i ne devrait pas marcher dans un dossier protégé en écriture car sed commence par créer un fichier temporaire dans le-dit dossier (ce qui est interdit).
    Mais un vim avec un ggvG$d:wq devrait faire couler une larme.

  14. #14
    Membre prolifique
    Avatar de Sve@r
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Février 2006
    Messages
    12 853
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Février 2006
    Messages : 12 853
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par BufferBob Voir le message
    ah oui ok, vu sous cet angle ça semble difficile en effet
    chrtophe a très bien résumé. C'est exactement ce qui a été demandé. Et oui, si ça avait été aussi simple que mettre le dossier gid=groupeX avec ses droits en 775 je ne serais pas venu ici
    Ceci dit, je ne regrette pas d'y être venu. J'aime cette ambiance "bon enfant" pleine d'humour tout en restant professionnelle.

    Citation Envoyé par Flodelarab Voir le message
    Oui c'est sûr. C'est justement la bizarrerie. Les droits du dossier s'appliquent au dossier mais les fichiers contenus gardent leurs droits propres.
    On ne peut donc pas créer ou supprimer un fichier, mais, vider un fichier et laisser une coquille vide, on peut, car le dossier est inchangé.
    Cela n'a rien de bizarre. Le droit "w" pour un dossier autorise à y écrire dedans, donc autorise la création et/ou la suppression des fichiers qu'il contient, cette suppression s'appliquant quels que soient les droits du fichier (si celui-ci n'est pas un sous-dossier bien entendu sinon il faudrait d'abord pouvoir le vider avant de l'effacer). Ainsi, aussi incongru que soit ce constat, un dossier en drwxrwxrwx avec un fichier en -r--r--r-- autorise son effacement. Et autorise même sa modification. En effet
    1. le fichier est en lecture donc je peux le copier chez-moi
    2. la copie m'appartient donc je peux la modifier
    3. le dossier est en écriture donc je peux supprimer le fichier qu'il contient
    4. le dossier est en écriture donc je peux y rajouter ma propre copie

    Seule trace du méfait: la copie de remplacement est à mon nom (ce qui explique aussi pourquoi la commande chown qui permettait à une époque de donner un fichier à un tiers a été interdite ensuite).

    Inversement si maintenant le dossier ne possède pas de droit "w", alors on ne peut pas y rajouter ou supprimer de fichiers. Mais si un fichier (fichier classique) dudit dossier possède le droit "w", alors on peut y écrire dedans et donc le vider de son contenu. Dans ce cas le fichier reste mais il est vide.

    Brefs pour bien comprendre ce qu'il est possible de faire et de ne pas faire sur un fichier, il faut prendre en considération les droits du fichier mais aussi ceux du dossier qui le contient. Quand on me demande les droits à mettre pour offrir le plus de latitude tout en préservant l'intégrité, généralement je conseille le dossier en drwxr-xr-x et les fichiers en -rw-r--r--. Ainsi on peut tout lire mais rien modifier.

    Accessoirement le droit "x" au dossier est nécessaire même pour simplement le lire car le ls -l a besoin de s'y déplacer pour récupérer les stats des fichiers qu'il veut afficher. Sans droit "x" sur un dossier, le ls -l arrive à lister son contenu mais ne peut rien en dire de plus détaillé.

    Citation Envoyé par Flodelarab Voir le message
    Quant au +x du dossier, c'est vrai que si on ne peut pas le traverser, on ne peut rien faire dedans.
    Exact. Il peut même y avoir des dossiers en d--x--x--x permettant de les traverser sans regarder leur contenu. Un dossier par exemple "projetsSecrets" dans lequel on pourrait se déplacer dans son propre projet individuel situé en dessous mais dans lequel on ne pourrait pas regarder quels autres projets il contient...

    Citation Envoyé par Flodelarab Voir le message
    Mais un vim avec un ggvG$d:wq devrait faire couler une larme.
    Il te dirait que le fichier est protégé en écriture et te demanderait de rajouter le point d'exclamation (:wq!) pour forcer l'écriture donc non, pas de larme
    Mon Tutoriel sur la programmation «Python»
    Mon Tutoriel sur la programmation «Shell»
    Sinon il y en a pleins d'autres. N'oubliez pas non plus les différentes faq disponibles sur ce site
    Et on poste ses codes entre balises [code] et [/code]

  15. #15
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 295
    Par défaut
    Il te dirait que le fichier est protégé en écriture
    Ah non non non. Un fichier rw- dans un dossier r-- est vidé. Pas de message. Pas de protection du fichier par le dossier.
    Fais le test.

  16. #16
    Membre prolifique
    Avatar de Sve@r
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Février 2006
    Messages
    12 853
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Février 2006
    Messages : 12 853
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Flodelarab Voir le message
    Ah non non non. Un fichier rw- dans un dossier r-- est vidé. Pas de message.
    Ah désolé, j'avais compris l'inverse (un fichier r-- dans un dossier rw-)

    Citation Envoyé par Flodelarab Voir le message
    Pas de protection du fichier par le dossier.
    Ben oui, normal. Il n'est pas prévu que les droits d'un dossier s'étendent aux fichiers qu'il contient. En plus du temps que ça prendrait, ça génèrerait plus de soucis que de solutions (comment justement dans ce cas gérer le cas d'un fichier modifiable dans un dossier qui ne l'est pas ?)

    Donc non. Chacun à sa place. Les droits d'un dossier s'appliquent au dossier uniquement. Et (plus général) les droits d'un fichier s'appliquent uniquement au fichier (fichier à prendre au sens large Unix qui inclus donc aussi les dossiers). Toutefois, comme je l'ai dit, certaines actions que l'on penserait s'appliquer au fichier s'appliquent en fait au dossier qui le contient et peuvent alors surprendre le débutant. Et tel cet avocat qui s'est jeté du 24° parce qu'il voulait montrer la robustesse de ses fenêtres (http://www.darwinawards.fr/top15), le petit malin qui mettrait son fichier en 000 et mettrait au défi ses collègues de l'effacer pourrait avoir des surprises
    Mon Tutoriel sur la programmation «Python»
    Mon Tutoriel sur la programmation «Shell»
    Sinon il y en a pleins d'autres. N'oubliez pas non plus les différentes faq disponibles sur ce site
    Et on poste ses codes entre balises [code] et [/code]

  17. #17
    Rédacteur/Modérateur
    Avatar de troumad
    Homme Profil pro
    Enseignant
    Inscrit en
    Novembre 2003
    Messages
    5 607
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Novembre 2003
    Messages : 5 607
    Par défaut
    Bonsoir

    Pour un problème semblable, je me suis posé la question su je ne pouvais pas le résoudre avec un partage samba.
    Modérateur Mageia/Mandriva Linux
    Amicalement VOOotre
    Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org
    Mes tutoriels : xrandr, algorigramme et C, xml et gtk...

Discussions similaires

  1. Réponses: 3
    Dernier message: 15/05/2015, 19h49
  2. Droits d'écriture pour un fichier
    Par ganguill dans le forum Langage
    Réponses: 7
    Dernier message: 26/04/2010, 15h18
  3. [MySQL] Système de droits d'accès pour l'administration (groupe)
    Par Moxostoma dans le forum PHP & Base de données
    Réponses: 8
    Dernier message: 24/10/2009, 16h59
  4. Droit d'écriture pour le groupe
    Par d10g3n dans le forum Sécurité
    Réponses: 4
    Dernier message: 18/04/2008, 14h06
  5. Réponses: 3
    Dernier message: 19/05/2007, 17h19

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo