Référence chmod
Référentiel des modes chmod courants : 644, 755, 700... avec leur signification, cas d'usage et bits spéciaux (SUID, SGID, sticky bit). Inclut un calculateur visuel pour construire un mode à partir de cases à cocher.
Comprendre chmod
chmod modifie les permissions Unix d'un fichier ou répertoire. Le mode est exprimé en octal (ex: 0644) ou en symbolique (ex: rwxr-xr-x).
Chaque chiffre octal représente les permissions pour le propriétaire, le groupe, et les autres : 4=lecture, 2=écriture, 1=exécution. Le 1er chiffre (optionnel) gère les bits spéciaux : SUID (4), SGID (2), sticky (1).
Calculateur visuel Cases à cocher → mode
Coche les permissions souhaitées et le mode octal et symbolique se calculent en temps réel.
Bits spéciaux
Propriétaire
Groupe
Autres
Octal :
0644
Symbolique :
rw-r--r--
Commande :
chmod 0644 fichier
Modes courants
| Octal | Symbolique | Nom & description | Cas d'usage |
|---|---|---|---|
| 0644 | rw-r--r-- |
Lecture publique, écriture propriétaire
Le propriétaire peut lire et écrire ; le groupe et tous les autres ne peuvent que lire.
|
Fichiers de configuration non sensibles, contenu web statique (HTML, CSS, images). |
| 0640 | rw-r----- |
Lecture groupe, écriture propriétaire
Le propriétaire peut lire et écrire ; le groupe peut seulement lire ; les autres n'ont aucun accès.
|
Configurations sensibles (mots de passe, .env), avec www-data dans le groupe. |
| 0600 | rw------- |
Privé propriétaire
Seul le propriétaire peut lire et écrire ; aucun accès pour le groupe ou les autres.
|
Clés SSH privées (~/.ssh/id_rsa), fichiers très sensibles, tokens API. |
| 0755 | rwxr-xr-x |
Répertoire public traversable
Le propriétaire a tous les droits ; le groupe et les autres peuvent lister et entrer mais pas modifier.
|
Répertoires web (DocumentRoot Apache), répertoires partagés en lecture, /usr/local/bin. |
| 0750 | rwxr-x--- |
Répertoire groupe traversable
Le propriétaire a tous les droits ; le groupe peut lister et entrer ; les autres n'ont aucun accès.
|
Répertoires d'application avec www-data dans le groupe (cas typique LAMP). |
| 0700 | rwx------ |
Répertoire privé
Seul le propriétaire peut lister et entrer ; aucun accès pour le groupe ou les autres.
|
Répertoires home utilisateur, ~/.ssh, données privées personnelles. |
| 0775 | rwxrwxr-x |
Exécutable collaboratif
Propriétaire et groupe peuvent tout faire ; les autres peuvent lire et exécuter.
|
Scripts partagés en équipe avec un groupe dédié (dev, ops). |
| 4755 | rwsr-xr-x |
SUID set (s)
Bit SUID activé : le programme s'exécute avec les privilèges du PROPRIÉTAIRE, pas de l'utilisateur appelant.
|
Commandes type passwd, sudo, ping (où root=owner et les utilisateurs normaux peuvent les exécuter). |
| 2755 | rwxr-sr-x |
SGID set (s)
Bit SGID activé : sur un fichier, exécution avec les privilèges du groupe ; sur un répertoire, les nouveaux fichiers héritent du groupe du répertoire.
|
Répertoires partagés où tous les nouveaux fichiers doivent appartenir au même groupe (ex: /var/log par groupe adm). |
| 1777 | rwxrwxrwt |
Sticky bit (t)
Bit sticky activé sur un répertoire : tout le monde peut écrire dedans, MAIS seul le propriétaire d'un fichier peut le supprimer.
|
Répertoires temporaires partagés : /tmp, /var/tmp (empêche un utilisateur de supprimer les fichiers d'un autre). |
| 0777 | rwxrwxrwx |
Tout le monde peut tout faire (DANGEREUX)
Tous les utilisateurs peuvent lire, écrire et exécuter. À éviter sauf cas très spécifiques.
|
⚠️ Quasiment jamais justifié. Souvent vu sur des dossiers d'upload mal configurés. |
| 0666 | rw-rw-rw- |
Tout le monde peut écrire (DANGEREUX)
Tous les utilisateurs peuvent lire et écrire ; mais ne peuvent pas exécuter.
|
⚠️ Risqué : n'importe quel utilisateur peut modifier le fichier. Préférer 0664 avec un groupe dédié. |