Y a-t-il quelque chose pour Linux où vous avez plus de contrôles avancés pour les permissions Linux sur les utilisateurs et les groupes comme Windows. Est-ce ce que SeLinux est?
Réponse
Trop de publicités?
James Mertz
Points
390
Presque tous les systèmes de type Unix prennent en charge les ACL ; sur Linux, le format ACL POSIX est utilisé. FreeBSD prend en charge à la fois les ACL de style POSIX et NFSv4 (il y a périodiquement des tentatives pour ajouter des ACL NFSv4 à Linux également).
Le format des ACL POSIX est principalement une extension permettant de spécifier les autorisations de lecture/écriture/exécution pour plusieurs utilisateurs :
$ setfacl -m u::rw,u:httpd:r,g::- ssl.key
$ getfacl ssl.key
# propriétaire : root
# groupe : root
user::rw-
user:openldap:r--
user:httpd:r--
user:postfix:r--
group::---
mask::r--
other::---L'héritage est réalisé en utilisant les "ACL par défaut" :
$ getfacl /var/log/journal/
# propriétaire : root
# groupe : systemd-journal
# flags: -s-
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:group:adm:r-x
default:group:wheel:r-x
default:mask::r-x
default:other::r-x
$ touch /var/log/journal/test
$ getfacl /var/log/journal/test
# propriétaire : root
# groupe : systemd-journal
user::rw-
group::r-x #effective:r--
group:adm:r-x #effective:r--
group:wheel:r-x #effective:r--
mask::r--
other::r--D’autre part, le format des ACL NFSv4 serait très similaire à celui de Windows et NTFS - des noms de principaux légèrement différents (utilisant user@domain de style NFSv4 au lieu des SIDs de Windows ou du NOM DE DOMAINE\nom), mais des drapeaux de permission presque identiques.
Les ACL et les autorisations de base Unix sont un outil de "contrôle d’accès discrétionnaire" - généralement définis par le propriétaire de l'objet ; si vous créez un fichier, vous pouvez le rendre lisible par n’importe qui. SELinux, quant à lui, est une implémentation de contrôle d'accès obligatoire - toutes les règles SELinux sont rédigées par l'administrateur du système et ne peuvent pas être modifiées par les utilisateurs, même pour les fichiers qu'ils ont créés. D'autres systèmes similaires sont AppArmor, SMACK ; Windows Vista dispose d'un schéma très basique appelé Contrôle d'Intégrité Obligatoire.
