Linux est résolument multi-utilisateur ; il est donc nécessaire de prévoir un système de permissions contrôlant les opérations autorisées pour chacun sur les fichiers et répertoires, recouvrant toutes les ressources du système (y compris les périphériques : sur un système Unix, tout périphérique est représenté par un fichier ou répertoire). Ce principe est commun à tous les Unix mais un rappel est toujours utile, d'autant qu'il existe quelques usages avancés méconnus et relativement intéressants.
Chaque fichier ou répertoire dispose de permissions spécifiques pour trois catégories d'utilisateurs :
son propriétaire (symbolisé par u
comme user) ;
son groupe propriétaire (symbolisé par g
comme group) — représentant tous les utilisateurs membres du groupe ;
les autres (symbolisés par o
comme other).
Trois types de droits peuvent s'y combiner :
lecture (symbolisé par r
comme read) ;
écriture (ou modification, symbolisé par w
comme write) ;
exécution (symbolisé par x
comme eXecute).
Dans le cas d'un fichier, ces droits sont faciles à interpréter : l'accès en lecture permet d'en consulter le contenu (et notamment de le copier), l'accès en écriture de le modifier et l'accès en exécution permet de tenter de l'exécuter (ce qui ne fonctionnera que s'il s'agit d'un programme).
Un répertoire est traité différemment. L'accès en lecture donne le droit de consulter la liste de ses entrées, l'accès en écriture celui d'y créer ou supprimer des fichiers et l'accès en exécution de le traverser (et notamment de s'y rendre avec la commande cd
). Pouvoir traverser un répertoire sans le lire donne le droit d'accéder à celles de ses entrées dont on connaît le nom, mais pas de les trouver si on ignore leur existence ou leur nom exact.
Trois commandes manipulent les permissions associées à un fichier:
chown utilisateur fichier
affecte un nouveau propriétaire à un fichier;
chgrp groupe fichier
opère sur son groupe propriétaire;
chmod droits fichier
intervient sur ses droits.
Il existe deux manières de présenter les droits ; parmi elles, la représentation symbolique, sans doute la plus simple à comprendre et mémoriser, met en jeu les lettres symboles déjà citées. Pour chaque catégorie d'utilisateurs (u
/g
/o
), on peut définir les droits (=
), en ajouter (+
), ou en retrancher (-
). Ainsi, la formule u=rwx,g+rw,o-r
donne au propriétaire les droits de lecture, d'écriture et d'exécution ; ajoute au groupe propriétaire les droits de lecture et d'écriture ; et supprime le droit de lecture aux autres utilisateurs. Les droits non concernés par les opérations d'ajout ou de retranchement restent inchangés. La lettre a
, pour all, recouvre les trois catégories d'utilisateurs, de sorte que a=rx
donne aux trois catégories les mêmes droits (lecture et exécution, mais pas écriture).
La représentation numérique octale associe chaque droit à une valeur : 4 pour la lecture, 2 pour l'écriture et 1 pour l'exécution. On associe à chaque combinaison de droits la somme de ces chiffres, valeurs qu'on attribue ensuite aux différentes catégories d'utilisateurs en les mettant bout à bout dans l'ordre habituel (propriétaire, groupe, autres).
La commande chmod 754 fichier
mettra donc en place les droits suivants : lecture, écriture et exécution au propriétaire (car 7 = 4 + 2 + 1) ; lecture et exécution au groupe (car 5 = 4 + 1) ; lecture seule aux autres. Le chiffre 0
correspond à l'absence de droits, ainsi chmod 600 fichier
ne donne que les droits de lecture/écriture au propriétaire, les autres ne pouvant rien faire du tout. Les droits les plus fréquents sont 755
pour les exécutables ou les répertoires et 644
pour les fichiers de données.
Pour représenter le cas échéant les droits spéciaux, on pourra préfixer à ce nombre un quatrième chiffre selon le même principe, sachant que les bits setuid
, setgid
et sticky
valent respectivement 4, 2 et 1. chmod 4754
associera donc le bit setuid
aux droits décrits précédemment.
On notera que l'utilisation de la notation numérique octale ne permet que de modifier en bloc l'ensemble des droits sur un fichier ; on ne peut pas l'utiliser pour se contenter d'ajouter par exemple le droit en lecture pour le groupe propriétaire, puisqu'il faut obligatoirement prendre en compte les droits existants et calculer la nouvelle valeur numérique correspondante.