Gourt Home::Gourt :: Access Control List
Access Control List (ACL), en français liste de contrôle d'accès, désigne deux choses en sécurité informatique :
- un système permettant de faire une gestion plus fine des droits d'accès aux fichiers que ne le permet la méthode employée par les systèmes UNIX.
- en réseau, une liste des adresses et ports autorisés ou interdits par un pare-feu.
ACL sur les fichiers
Sous UNIX, les ACL ne remplacent pas la méthode habituelle des droits, pour garder une compatibilité, elle s'ajoute à elle, ce qui permet aux systèmes l'utilisant de rester conformes à la norme POSIX.
Pourquoi les ACL?
Les systèmes de type UNIX (dont Linux) n'acceptent que trois type de droits :
- lecture
- écriture
- exécution
- le propriétaire du fichier
- les membres du groupe auquel appartient le fichier
- tous les autres utilisateurs
En utilisant cette méthode on couvre un certains nombre de cas, mais pas tous. Il est impossible d'autoriser un seul utilisateur, qui ne fait pas partie du groupe auquel appartient le fichier, à avoir certains droits sur ce dernier.
Les ACL permettent de combler ce manque. On peut permettre à n'importe quel utilisateur, ou groupe, un des trois droits (lecture, écriture et exécution) et cela sans être limité par le nombre d'utilisateur que l'on veut ajouter.
Utilisation
Les deux commandes permettant de visualiser les droits ACL et de les modifier sont, sous UNIX :
- getfacl : pour visualiser
- setfacl : pour modifier
Les ACL chez les autres systèmes
Les ACL sont présentes sous Windows NT et ses successeurs (Windows 2000 et Windows XP). Le support des ACL n'est effectif que pour des fichiers se trouvant sur une partition NTFS, car la FAT32 ne supporte pas la gestion des droits
Mac OS X supporte les ACL depuis la version 10.4 (Tiger).
ACL en réseau
Une ACL sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou de ports autorisés ou interdits par le dispositif de filtrage.
Par exemple, sous Linux c'est le système Netfilter qui gère l'ACL. La création d'ACL qui autorise le courrier électronique entrant, depuis n'importe quelle adresse IP, vers le port 25 (alloué communément à SMTP) se fait avec la commande suivante : iptables --insert INPUT --protocol tcp --destination-port 25 --jump ACCEPT Iptables est la commande qui permet de configurer NetFilter.
Les ACL conviennent bien à des protocoles dont les ports sont statiques (connus à l'avance) comme SMTP, mais ne suffisent pas avec des logiciels comme BitTorrent où les ports peuvent varier.
Liens externes
- ACL sur les fichiers
Access Control List | Access control list | Lista di controllo degli accessi | Access Control List | ACL | ACL
"Access Control List"