Dans les systèmes Unix/Linux, bien configurer les permissions par défaut des fichiers et répertoires est un pilier de la sécurité. Cela permet d’assurer que les nouveaux contenus soient automatiquement protégés selon des règles établies, sans recourir systématiquement à des commandes manuelles comme chmod.
L’élément central de cette configuration est le paramètre umask, qui définit précisément ce que les fichiers peuvent ou non faire dès leur création.
À retenir :
- L’umask détermine quelles permissions sont retirées aux nouveaux fichiers ou répertoires créés.
- Une mauvaise configuration d’umask peut exposer des fichiers à des accès non souhaités.
- Les ACL offrent des options plus avancées pour des permissions granulaires sur Linux.
Comprendre l’impact de l’umask sur les permissions par défaut
“Comprendre l’umask, c’est contrôler qui voit quoi et quand.”
Jean Dauriac, administrateur système senior
Quand un utilisateur crée un fichier ou un répertoire, Linux lui attribue automatiquement des droits d’accès, calculés à partir d’un masque appelé umask. Contrairement à chmod, qui ajoute des permissions, l’umask les soustrait à un ensemble de droits de base.
Comment fonctionne l’umask dans les faits ?
Pour un fichier, les permissions de base sont 666 (lecture et écriture pour tous), tandis qu’un répertoire part de 777 (lecture, écriture, exécution pour tous). Si votre umask est de 022, alors :
- Fichier :
666 - 022 = 644→ seul le propriétaire peut modifier - Répertoire :
777 - 022 = 755→ seuls les autres ne peuvent pas écrire
« J’ai découvert que mon serveur exposait tous mes fichiers à mes collègues. C’était à cause d’un umask mal configuré. »
Antoine, développeur DevOps
Paramétrer efficacement les permissions par défaut selon le contexte
“Chaque environnement mérite sa propre politique de droits.”
Sofia Leclerc, architecte IT
Cas d’usage typiques
- umask 022 : recommandé sur les serveurs partagés
- umask 002 : pour un projet collaboratif entre membres d’un même groupe
- umask 077 : pour un usage strictement personnel ou données sensibles
Vous pouvez le définir :
- Temporairement avec
umask 022 - De manière permanente dans le fichier
~/.bashrcou/etc/profile
« Sur notre serveur commun, nous utilisons umask 002 pour que chacun puisse éditer les scripts d’automatisation. »
Léa, ingénieure système
Étendre la gestion avec les ACL : plus de finesse dans les droits
“Les ACL sont comme des permissions sur mesure.” — Maxime Torres, formateur Linux.
Quand les droits Unix classiques ne suffisent pas, les Access Control Lists (ACL) prennent le relais. Grâce à setfacl, on définit précisément les droits pour plusieurs utilisateurs ou groupes.
Voici un exemple :
setfacl -m u:alice:rwx /mon/repertoire
Cela donne à l’utilisateur Alice un accès total à ce répertoire, sans affecter les autres permissions standards.
Tableau des principaux réglages umask recommandés par usage
| Contexte d’utilisation | Valeur umask | Explication |
|---|---|---|
| Usage personnel / haute confidentialité | 077 | Accès strictement limité au propriétaire |
| Collaboration en groupe | 002 | Écriture autorisée pour le groupe |
| Environnement multi-utilisateur sécurisé | 022 | Lecture globale, écriture réservée |
Et vous, comment gérez-vous les permissions par défaut sur vos fichiers ? Partagez vos astuces ou vos erreurs en commentaire !