Manuel FreeBSD
Précédent	Chapitre 3. Quelques bases d'UNIX	Suivant

3.3. Permissions

FreeBSD, étant un descendant direct de l'UNIX® BSD, est basé sur plusieurs concepts clés d'UNIX. Le premier, et le plus prononcé, est le fait que FreeBSD est un système d'exploitation multi-utilisateurs. Le système peut gérer plusieurs utilisateurs travaillant tous simultanément sur des tâches complètement indépendantes. Le système est responsable du partage correct et de la gestion des requêtes pour les périphériques matériels, la mémoire, et le temps CPU de façon équitable entre chaque utilisateur.

Puisque le système est capable de supporter des utilisateurs multiples, tout ce que le système gère possède un ensemble de permissions définissant qui peut écrire, lire, et exécuter la ressource. Ces permissions sont stockées sous forme de trois octets divisés en trois parties, une pour le propriétaire du fichier, une pour le groupe auquel appartient le fichier, et une autre pour le reste du monde. Cette représentation numérique fonctionne comme ceci:

Valeur	Permission	Contenu du répertoire
0	Pas d'accès en lecture, pas d'accès en écriture, pas d'accès en exécution	`---`
1	Pas d'accès en lecture, pas d'accès en écriture, exécution	`--x`
2	Pas d'accès en lecture, écriture, pas d'accès en exécution	`-w-`
3	Pas d'accès en lecture, écriture, exécution	`-wx`
4	Lecture, pas d'accès en écriture, pas d'accès en exécution	`r--`
5	Lecture, pas d'accès en écriture, exécution	`r-x`
6	Lecture, écriture, pas d'accès en exécution	`rw-`
7	Lecture, écriture, exécution	`rwx`

Vous pouvez utiliser l'option -l avec la commande ls(1) pour afficher le contenu du répertoire sous forme une longue et détaillée qui inclut une colonne avec des informations sur les permissions d'accès des fichiers pour le propriétaire, le groupe, et le reste du monde. Par exemple un ls -l dans un répertoire quelconque devrait donner:

% ls -l
total 530
-rw-r--r--  1 root  wheel     512 Sep  5 12:31 myfile
-rw-r--r--  1 root  wheel     512 Sep  5 12:31 otherfile
-rw-r--r--  1 root  wheel    7680 Sep  5 12:31 email.txt
...

Voici comment est divisée la première colonne de l'affichage généré par ls -l:

-rw-r--r--

Le premier caractère (le plus à gauche) indique si c'est un fichier normal, un répertoire, ou un périphérique mode caractère, une socket, ou tout autre pseudo-périphérique. Dans ce cas, - indique un fichier normal. Les trois caractères suivants, rw- dans cet exemple, donnent les permissions pour le propriétaire du fichier. Les trois caractères qui suivent, r--, donnent les permissions pour le groupe auquel appartient le fichier. Les trois derniers caractères, r--, donnent les permissions pour le reste du monde. Un tiret signifie que la permission est désactivée. Dans le cas de ce fichier, les permissions sont telles que le propriétaire peut lire et écrire le fichier, le groupe peut lire le fichier, et le reste du monde peut seulement lire le fichier. D'après la table ci-dessus, les permissions pour ce fichier seraient 644, où chaque chiffre représente les trois parties des permissions du fichier.

Tout cela est bien beau, mais comment le système contrôle les permissions sur les périphériques? En fait FreeBSD traite la plupart des périphériques sous la forme d'un fichier que les programmes peuvent ouvrir, lire, et écrire des données dessus comme tout autre fichier. Ces périphériques spéciaux sont stockés dans le répertoire /dev.

Les répertoires sont aussi traités comme des fichiers. Ils ont des droits en lecture, écriture et exécution. Le bit d'exécution pour un répertoire a une signification légèrement différente que pour les fichiers. Quand un répertoire est marqué exécutable, cela signifie que l'on peut être traversé, i.e. il est possible d'utiliser ``cd'' (changement de répertoire). Ceci signifie également qu'à l'intérieur du répertoire il est possible d'accéder aux fichiers dont les noms sont connues (en fonction, bien sûr, des permissions sur les fichiers eux-mêmes).

En particulier, afin d'obtenir la liste du contenu d'un répertoire, la permission de lecture doit être positionnée sur le répertoire, tandis que pour effacer un fichier dont on connaît le nom, il est nécessaire d'avoir les droits d'écriture et d'exécution sur le répertoire contenant le fichier.

Il y a d'autres types de permissions, mais elles sont principalement employées dans des circonstances spéciales comme les binaires ``setuid'' et les répertoires ``sticky''. Si vous désirez plus d'information sur les permissions de fichier et comment les positionner, soyez sûr de consulter la page de manuel chmod(1).

3.3.1. Permissions symboliques

Contribution de Tom Rhodes.

Les permissions symboliques, parfois désignées sous le nom d'expressions symboliques, utilisent des caractères à la place de valeur en octal pour assigner les permissions aux fichiers et répertoires. Les expressions symboliques emploient la syntaxe: (qui) (action) (permissions), avec les valeurs possibles suivantes:

Option	Lettre	Représente
(qui)	u	Utilisateur
(qui)	g	Groupe
(qui)	o	Autre
(qui)	a	Tous (“le monde entier”)
(action)	+	Ajouter des permissions
(action)	-	Retirer des permissions
(action)	=	Fixe les permissions de façon explicite
(permissions)	r	Lecture
(permissions)	w	Ecriture
(permissions)	x	Exécution
(permissions)	t	bit collant (sticky)
(permissions)	s	Exécuter avec l'ID utilisateur (UID) ou groupe (GID)

Ces valeurs sont utilisées avec la commande chmod(1) comme précédemment mais avec des lettres. Par exemple, vous pourriez utiliser la commande suivante pour refuser l'accès au fichier FICHIER à d'autres utilisateurs:

% chmod go= FICHIER

Une liste séparé par des virgules peut être fournie quand plus d'un changement doit être effectué sur un fichier. Par exemple la commande suivante retirera les permissions d'écriture aux groupes et au ``reste du monde'' sur le fichier FICHIER, puis ajoutera la permission d'exécution pour tout le monde:

% chmod go-w,a+x FICHIER

Précédent	Sommaire	Suivant
Consoles virtuelles & terminaux	Niveau supérieur	Organisation de l'arborescence des répertoires