2021

ACL (Access Control List)

 RAPPORT DE PROJET SECURITE ET SYSTEME
RESEAUX

Niveaux: LP3-RESEAUX ET SERVICE

Module: Sécurité et système réseaux

Thème : Access Contrôle List (liste des contrôle d’accès

Table des matières
Liste des contrôle d’accès.......................................................................................................................1
Configuration du contrôle d’accès et mis en place de la liste des contrôle d’accès sous linux...........2
Introduction :..................................................................................................................................2
Vérifier la configuration du noyau..................................................................................................2
Installation du paquet acl...............................................................................................................3
Ajouter une ACL...........................................................................................................................3
Voir les ACL en place..................................................................................................................5
Le masque......................................................................................................................................5
Supprimer une ACL.....................................................................................................................5
ACL et interface graphique sous Windows.........................................................................................6

Liste des contrôle d’accès

Le contrôle d’accès est le processus qui consiste à autoriser les utilisateurs, les
groupes et les ordinateurs (collectivement désignés en tant que principaux) à
accéder aux objets (fichiers ou dossiers, par exemple) d’un réseau ou d’un
ordinateur. Pour que les principaux puissent accéder à un objet, ils doivent s’identifier

1
auprès du sous-système de sécurité du système d’exploitation. Cette identité est
contenue dans un jeton d’accès qui est recréé à chaque ouverture de session. Avant
d’autoriser le principal à accéder à un objet, le système d’exploitation vérifie si le
jeton d’accès du principal est autorisé à accéder à l’objet et à effectuer la tâche
souhaitée. Pour cela, il compare les informations contenues dans le jeton d’accès
aux entrées de contrôle d’accès de l’objet.
Les entrées de contrôle d’accès autorisent ou refusent un certain nombre de
comportements différents, en fonction du type d’objet. Par exemple, un objet fichier
peut inclure les options Lecture, Écriture et Exécution. Sur une imprimante, les
entrées de contrôle d’accès disponibles incluent Imprimer, Gérer les imprimantes et
Gérer les documents.
Les différentes entrées de contrôle d’accès d’un objet sont combinées dans une liste
de contrôle d’accès. Le sous-système de sécurité consulte la liste de contrôle
d’accès de l’objet à la recherche d’entrées de contrôle d’accès qui s’appliquent au
principal et aux groupes de sécurité auxquels il appartient. Il évalue chaque entrée
de contrôle d’accès jusqu’à ce qu’il en trouve une qui autorise ou refuse l’accès au
principal ou à l’un des groupes auxquels le principal appartient, ou jusqu’à ce qu’il n’y
ait plus d’entrées de contrôle d’accès à vérifier. S’il atteint la fin de la liste de contrôle
d’accès et que l’accès demandé n’est toujours pas autorisé ou refusé de manière
explicite, le sous-système de sécurité refuse l’accès à l’objet.

Configuration du contrôle d’accès et mis en place de la liste des

contrôle d’accès sous linux.

Introduction :
Les fichiers et répertoires possèdent des ensembles de permissions pour le
propriétaire du fichier, le groupe associé au fichier, ainsi que pour tous les autres
utilisateurs du système. Cependant, ces ensembles de permissions sont limités. Par
exemple, différentes permissions ne peuvent ne pas être configurées pour différents
utilisateurs. Donc, des listes de contrôle d'accès (ACL, de l'anglais (« Access Control
List ») ont été implémentées.
Le noyau Red Hat Enterprise Linux offre la prise en charge des ACL sur les
systèmes de fichiers ext3 et les systèmes de fichiers exportés NFS. On trouve aussi
des ACL sur les systèmes de fichiers ext3 auxquels on peut accéder via Samba.
Le paquet acl et la prise en charge dans le noyau sont requis pour implémenter les
ACL. Ce paquet contient les utilitaires nécessaires pour l'ajout, la modification, la
suppression et la récupération d'informations sur les ACL.

Vérifier la configuration du noyau

Tout d'abord, sachez que les ACL ne peuvent être utilisées que si le noyau le
supporte ; pour savoir si c'est votre cas, loguez-vous en tant que root avec sudo su si
vous êtes sous (k)Ubuntu ou su - sous debian et les autres distribs. Tapez ensuite

2
:Sur un contrôle de domaine, ouvrir le Centre d’Administration Active Directory
(ADAC).

 grep ACL /boot/config-*

La ligne suivante indique que le support général des ACL est présent :

 CONFIG_FS_POSIX_ACL=y

Ensuite des lignes du type suivant permettent de savoir pour quels systèmes de
fichiers les ACL sont disponibles :
On remarque que chez moi, Les ACL fonctionnent sur le volume formaté en EXT4 et
pleins d'autres formats exotiques :Les ACL ne sont pas disponibles sur les systèmes
vfat (FAT16 et FAT32), vous ne pourrez donc pas utiliser les ACL sur une clée USB
formatée pour Windows : Cela ne devrait toutefois pas poser problème :.

Installation du paquet acl

3
Les ACL sont activées, mais nous ne pouvons toujours pas les modifier, pour cela
nous devons installer le paquet ACL :

# apt-get install acl

Le plus dur est fait, nous pouvons enfin nous servir des ACL :

Ajouter une ACL

1. Droits classiques
Pour ajouter une ACL, vous devez utiliser la commande setfacl avec l'option -m :

setfacl -m permissions fichierOuDossier

les permissions s'écrivent sous cette forme :

préfixe:[utilisateurOuGroupe:]droits

 Les préfixes disponibles sont :

o U : pour modifier les droits d’un utilisateur
o G : pour modifier les droits d’un groupe
o O : pour modifier les droits du reste du monde

 Pour le préfixe o:, il ne faut pas spécifier d'utilisateur (logique, puisque ces
droits s'appliquent au reste du monde, qui n'est pas un utilisateur précis ;) )
(d'où le utilisateurOuGroupe: entre crochets pour ceux qui ne connaissent pas
les expressions régulières)
 Les droits s'écrivent sous la forme d'un triplet rwx que vous devez déjà
connaitre :
o R : droit de lecture
o W : droit d’écriture
o X : droit d’exécution pour les fichier et pour les dossier c’est le droit
d’entrer dans une dossier

Ajouter l'option -R permet d'appliquer des droits à tout un répertoire

setfacl -Rm u:diakhate:rw RepertoireDeTest/

4
Il est possible aussi de spécifier des permissions pour plusieurs utilisateurs ou
groupe a la fois , pour cela séparez les par un virgule :

setfacl -m u:diakhate:rw,u:abdou:rwx,g:class:r,o:--- test

2. Doits par défaut et héritage

Avec ce que je vous ai appris, si vous appliquez une ACL à un dossier, les fichiers
créés ensuite dans se dossier n'hériteront pas de son ACL. Heureusement, l'héritage
des ACL est possible :) , il suffit de rajouter le préfixe d: (comme default) au début de
l'ACL :

setfacl -m d:u:diakhate:rw RepertoireDeTest/

Il cependant possible de se passer du préfixe d:, grâce à l'option -d, dans ce cas,
toutes les permissions spécifiées seront des permissions par défaut.

setfacl -dm u:diakhate:rw,o:--- RepertoireDeTest/

... aura le même effet que le code précédent.

NB : l’option –d doit être spécifier avant le –m

 Ajouter des droits par défaut ne modifie pas les droits existants : , si vous
souhaitez ajouter une ACL à tout un répertoire et ses sous-répertoires ET que cette
ACL soit héritée par la suite, vous devez le faire de cette manière : (notez la
présence de l'option -R)

setfacl -Rm d:u:diakhate:rwx,d:g:class:r--,d:o:---,u:diakhate:rwx,g:class:r--,o:---

RepertoireDeTest/

Voir les ACL en place

La commande getfacl vous permet de connaitre les ACL en place :

getfacl reperoireDeTest/

5
Le masque
Le masque vous permet de savoir quelles sont les autorisations maximales
accordées à un fichier ou dossier (utilisateurs et groupes confondus), les droits
classiques (chmod) ne sont pas comptabilisés.

Supprimer une ACL

Pour supprimer une ACL, il suffit d'utiliser l'option -b ...

setfacl -b test

…supprimera toute l'ACL du fichier test :magicien:

Vous pouvez supprimer une partie de l'ACL avec l'option -x :

setfacl -x u:diakhate,g:class test

6
 supprimera les permission de l'utilisateur diakhate et du groupe amis du fichier
test :class:

ACL et interface graphique sous Windows

Sous Windows, les ACL sont activées par défaut et paramétrables via l'interface
graphique : Il suffit de sélectionner un dossier ou fichier puis d'afficher le panneau
d'informations

a. On se met dans un dossier on fait click droit

b. Sécurité

7
c. Avancé

8
d. Activer l’héritage

9
e. Modifier

10
f. Nouveaux autorisation

g. Choix des authorisations

h. Validation

11
i. Application

12
j. Mettre OK pour terminer la configuration

13
14