Sur les systèmes Unix/Linux/BSD, les droits sur les fichiers sont définis pour le propriétaire, pour les utilisateurs appartenant au groupe et pour les autres utilisateurs. Ils sont représentés – par exemple lorsque l’on invoque la commande ls -l – par une suite de 3 lettres (r,w et x pour respectivement read/lire, write/écrire, execute/exécuter), mais peuvent être représentés par des chiffres, par exemple comme suit :

r w - r - - r - - est la même chose que 644

Il s’agit de la représentation octale. Pour être expliquée, il faut partir de la forme binaire des droits, suivant ce schéma :

000 = 0
001 = 1
010 = 2
011 = 3
100 = 4
101 = 5
110 = 6
111 = 7

On peut associer chaque triplet aux trois entités (propriétaire, groupe, autres) des droits, ainsi, un fichier ayant le droit du propriétaire en lecture et écriture (r w -) sera écrit 110, 1 pour le r, 1 pour le w et 0 pour le flag x qui n’est pas attribué. Le procédé est le même pour les deux autres triplets. Pour l’exemple complet, prenons : r w – r – - r – -, soit 110 100 100.
Ensuite on part du principe que l’on ajoute les chiffres des valeurs binaires des triplets pour obtenir la valeur octale. En continuant sur l’exemple précédent : 110 en binaire vaut 6 en décimal, 100 vaut 4, ainsi nous avons 6 – 4 – 4, simplifié en 644. Notre fichier a les droits 644.

r w -  r - -  r - - = 110 100 100 = 644
r w - r w -  r - - = 100 100 100 = 664
r - x r - x  r - x = 101 101 101 = 555
r w x  r - x r - - = 111 101 000 = 754

Comme dit dans le sous-titre, les setuid, setgid et sticky bit sont des droits dits spéciaux, ils s’ajoutent aux droits classiques (lecture, écriture et exécution) et fonctionnent différemment suivant qu’on les applique sur un fichier ou un répertoire.

setuid

Lorsqu’un utilisateur exécute un programme, celui-ci se lance avec les droits de cet utilisateur. Je (utilisateur fabien) lance un script toto.sh, celui-ci aura les droits de fabien, normal. Mais il arrive que l’on veuille lancer une commande spéciale – en général dévolue à root – en tant que simple utilisateur, l’exemple flagrant étant la commande passwd (sous /usr/bin/passwd) qui est une commande root, mais tout un chacun peut pourtant changer son mot de passe avec cette commande. En regardant les droits sur passwd, on s’aperçoit que ce fichier est setuidé :

$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 25708 sep 25  2007 /usr/bin/passwd

C’est-à-dire que lorsqu’un utilisateur lance la commande passwd, elle est lancée avec les droits du superutilisateur, ainsi l’écriture pourra se faire dans le fichier /etc/passwd et l’utilisateur aura changé son mot de passe sans être root. Sans le setuid, l’utilisateur n’aurait pas pu écrire dans le fichier /etc/passwd.
La notion de setuid n’existe pas pour les répertoires.

setgid

Le principe du setgid est le même que le setuid pour un fichier, mais bien entendu au niveau des droits du groupe. Un exécutable setgidé peut donc être lancé avec les droits du groupe auquel il appartient. Par contre, le comportement change lorsqu’il s’agit d’un répertoire. Lorsqu’un répertoire est setgidé, tous les fichiers créés dans ce répertoire appartiennent au même groupe que le répertoire. Ainsi, imaginons un répertoire conteneur, plusieurs personnes – Jean-Claude, André et Robert – travaillent dedans pour un même projet, il est bon de le setgider, de cette façon, les fichiers créés appartiendront tous au même groupe et non aux groupes de chaque utilisateur individuel.

Sticky bit

Lorsque l’on positionne le sticky bit, un exécutable restera en mémoire même lorsqu’il aura terminé son exécution, ainsi, il se lancera plus rapidement au prochain lancement. Cette pratique tend à être obsolète. Seul l’administrateur système peut positionner le sticky bit.

En ce qui concerne les répertoires, le sticky bit sert à sécuriser un fichier se trouvant dans un répertoire où tout le monde a les droits en écriture. Par exemple pour le répertoire /tmp (en général tout le monde a le droit d’écrire dedans), il serait gènant qu’un autre utilisateur puisse supprimer un de vos fichiers. Pour y remédier, on positionne le sticky bit sur ce répertoire, n’autorisant la suppression d’un fichier uniquement à son propriétaire.

Ecriture octale

Les permissions octales des setuid, setgid et sticky bit sont représentées par une série de 3 bits avant les 3 autres séries des permissions classiques :
setuid=4,
setgid=2,
sticky=1
Par exemple, un fichier ayant les droits rwsr-sr-x (rwxr-xr-x, setuid, setgid) donnera en octal 6755.