====== Les droits sur les fichiers ======

===== Par quoi commencer ? =====

Euh...

Allez on va parler des

===== Valeurs possibles =====

  * lecture (on peut lire le contenu du fichier ou dossier)
  * l'ecriture (on peut ecrire dans le fichier ou dossier)
  * exécution (on peut lancer le programme si c'est un exécutable)

On commence avec la prise de tete avec le fait qu'un fichier peut etre executable mais pas un dossier donc pour un dossier le bit correspondant donne le droit de lister le contenu car on peut tres bien voir un dossier mais ne pas pouvoir voir ce qu'il y a dedans.

===== les valeurs =====

  * lecture = 4 (r comme read)
  * ecriture = 2 (w comme write)
  * exécution = 1 (x comme execute)

on donne des valeurs à un fichier et on les additionne.

===== les ayant droit =====

il y en a 3 (universale, sony et warner) mais ça c'est dans la musique

sous linux c'est

  * le propriétaire (u) du fichier (celui qui a créé le fichier ou à qui on a donné le fichier)
  * le groupe (g) (les utilisateurs peuvent etre mis dans des groupes d'utilisateurs)
  * tous les autres (o) (ne fait pas partie du groupe et n'est pas le owner)

quand on donne des droits à un fichier, on commence par le owner suivi par le groupe puis par les autres.

==== Concretement ====

Quand on fait un ls -al on voit que les droits sont marqués avec des rwx

Par exemple, si je vais dans mon home, je vois cela

<sxh bash>
drwxr-xr-x  3 ssm2017 ssm2017 4.0K Feb 13 02:37 .
drwxr-xr-x 11 root    root    4.0K Feb 13 22:24 ..
-rw-------  1 ssm2017 ssm2017   76 Feb 13 02:05 .bash_history
-rw-r--r--  1 ssm2017 ssm2017  220 Feb 13 01:17 .bash_logout
-rw-r--r--  1 ssm2017 ssm2017 3.4K Feb 16 23:07 .bashrc
-rw-r--r--  1 ssm2017 ssm2017  675 Feb 13 01:17 .profile
-rw-r--r--  1 ssm2017 ssm2017  675 Feb 13 01:17 tutu
</sxh>
en partant de gauche à droite, on a proprietaire, groupe et user

donc pour le fichier .bash_history on voit que le owner a le droit de l'ecrire et lire.
Si on additionne les valeurs, on a r = 4 et w = 2 et rien pour le reste donc le fichier a les droits 600.

par contre le fichier tutu on voit que le groupe et n'importe qui a le droit de le lire.
Si on additionne les valeurs, on a 6 pour le proprietaire, 4 pour le groupe et 4 pour les autres donc 644

===== Comment changer les droits ? =====

la commande pour changer les droits est

<sxh bash>
chmod
</sxh>
admettons qu'on ne veut plus que tout le monde puisse voir le contenu de tutu on utilise
<sxh bash>
chmod 640 tutu
</sxh>
ce qui donnera

<sxh bash>
-rw-r-----  1 ssm2017 ssm2017 3.4K Feb 16 23:07 tutu
</sxh>

on peut utiliser le parametre -R dans le cas ou on veuille assigner les valeurs pour des sous dossiers (R = récursif).

On a vu comment changer les valeurs avec des chiffres (je prefere) mais on peut utiliser des lettres (pour les artistes)

<sxh bash>
chmod u=rw,g=r tutu
</sxh>
on peut aussi utiliser des increments ou decrements

<sxh bash>
chmod ug+r,u+w tutu
</sxh>

===== Comment changer le owner ? =====

Quand on a les permissions necessaires, on peut changer le owner (propriétaire) d'un fichier ou dossier.
**Seul l'utilisateur root peut utiliser la commande chown**.

La commande est

<sxh bash>
chown
</sxh>

le premier parametre est le nom du user puis deux points puis le nom du groupe. (on peut aussi utiliser -R si on veut que ce soit récursif dans les sous dossiers)

<sxh bash>
chown toto:titi tutu
</sxh>
donne le fichier tutu à l'utilisateur toto et au groupe titi

<sxh bash>
-rw-r-----  1 toto titi 3.4K Feb 16 23:07 tutu
</sxh>

donc avec ces droits, seul l'utilisateur toto peut lire et ecrire dedans, les utilisateurs etant dans le groupe titi peuvent lire le contenu et les autres ne peuvent ni le voir ni y ecrire dedans. (donc si ssm2017 ne fait pas partie du groupe titi, il est mal)

===== Les groupes =====

Comme on vient de voir, le premier en partant de la gauche est le user et le second est le groupe.

Par defaut, quand on crée un utilisateur sous Debian, un groupe du meme nom est créé.

On peut tres bien ajouter un utilisateur à un groupe.

Par exemple, je peux creer le groupe "opensimeros" sur le serveur et ajouter des users dedans avec

<sxh bash>
addgroup ssm2017 opensimeros
</sxh>
donc si je change le propriétaire du fichier tutu avec
<sxh bash>
chown toto:opensimeros tutu
</sxh>
ce qui donnera
<sxh bash>
-rw-r-----  1 toto opensimeros 3.4K Feb 16 23:07 tutu
</sxh>
ssm aura maintenant le droit de lire le contenu car il fait partie du groupe opensimeros.

Les utilisateurs n'ayant pas les droits root peuvent changer le groupe d'un fichier ou dossier avec la commande chgrp

<sxh bash>
chgrp opensimeros tutu
</sxh>

===== Le droit d'exécution =====

Un fichier peut etre un executable (.exe ou .com) sous windows et ce que l'on veut sous linux ou osx.

On peut suprimer ou ajouter le droit d'exécution sur un fichier.

Par exemple, je cree un script bash qui se nomme pouet et qui contient un script qui dit "coucou".

Pour cela, je lance

<sxh bash>
nano pouet
</sxh>
et dedans je mets
<sxh bash>
#!/bin/bash
echo "coucou"
</sxh>
puis je sauvegarde et je quitte.

par defaut, le fichier pouet sera en 644 donc on a

<sxh bash>
-rw-r--r-- 1 ssm2017 ssm2017    0 Feb 17 01:51 pouet
</sxh>
si on veut le lancer, ça nous dit

<sxh bash>
ssm2017@atelier-fg:~$ ./pouet
-bash: ./pouet: Permission denied
</sxh>
car il n'a pas le bit d'exécution

pour le rendre exécutable, on lance

<sxh bash>
chmod 744 pouet
</sxh>
ce qui rend le fichier exécutable seulement pour le owner (si on veut le rendre exécutable aussi pour le groupe, on fera un chmod 774)

donc on relance et ca donne

<sxh bash>
ssm2017@atelier-fg:~$ ./pouet
coucou
</sxh>
Le bit d'exécution pour les dossiers permet d'autoriser le listing du contenu.

Si on crée un dossier temp dans son home avec la commande

<sxh bash>
mkdir
</sxh>
on utilise

<sxh bash>
mkdir temp
</sxh>
ce qui va créer un dossier ayant pour droits par défaut 755

ce qui veut dire que
  * le owner peut lire, ecrire et voir le contenu,
  * le groupe peut lire et voir le contenu
  * et les autres peuvent lire et voir le contenu

ensuite on decide qu'il appartient a ssm2017 et au groupe opensimeros

<sxh bash>
chown ssm2017:opensimeros temp
</sxh>
puis on lui donne les droits

<sxh bash>
chmod 750 temp
</sxh>
donc
  * le owner pourra lire, ecrire, et lister le contenu
  * le groupe pourra lire et lister le contenu
  * et les autres ne pourront rien faire

===== Permissions spéciales =====

On va parler de bit (ça devrait vous plaire... ou pas)

Il y en a 3 :

  * user id bit
  * group id bit
  * sticky bit

==== User ID bit ====

On s'en fout (matez google si vous voulez)

==== Group ID bit ====

Celui ci est utile dans le cas d'un serveur web par exemple ou OpenSimulator selon les cas.

Il ne fonctionne que sur les dossiers et on l'assigne comme cela

<sxh bash>
chmod 2775 temp
</sxh>
ceci voudra dire que peu importe le fichier qui sera créé dans le dossier temp, le groupe sera le meme que le dossier.

Par exemple, si le dossier appartient au groupe opensimeros, tous les fichiers crées dedans auront aussi le groupe opensimeros meme si c'est un autre user qui le crée.

==== Sticky bit ====

Le sticky bit permet de donner le droit de suppression seulement au user qui a créé le fichier.

Par exemple, si dans le dossier temp qui appartient au groupe opensimeros, toto cree un fichier, l'utilisateur ssm2017 pourra le supprimer si il a le meme groupe et bien sur si le groupe a le droit en ecriture sur le fichier.

Pour eviter cela, on met le sticky bit au dossier et seul l'utilisateur ayant créé le fichier aura le droit de le supprimer meme si les autres ont le droit en ecriture sur le fichier (par exemple le dossier /tmp de linux a le chmod 1777).

il ne fonctionne que sur les dossiers et on l'assigne comme cela

<sxh bash>
chmod 1775 temp
</sxh>