Académique Documents
Professionnel Documents
Culture Documents
Par : L’équipe
administration et
sécurité LINUX
1 1
Préambule
2
Objectifs
3
Termes, fichiers et utilitaires utilisés:
4
Prérequis
5
L’identification et l’authentification
6
Mécanisme d’authentification
1:init lance un terminal (processus getty)
INIT : crée un terminal
1 fils
2: le programme getty demande le nom
de l'utilisateur,
2 Terminal : Attente du 5 Login : Sortie
nom d’utilisateur
3: le processus getty passe ce nom au
programme login qui l'authentifie en lui
demandant son mot de passe.
Terminal : saisie du
3 nom d’utilisateur et
4: authentification de l’utilisateur afin de
Lancement du donner à chacun les droits d'accès aux
programme login Non différents services du système en fonction
de ses privilèges.
8
Types d’utilisateurs
L’administrateur
Appelé aussi le root, il possède le contrôle total sur le système.
11
Les groupes(1/3)
12
Types des groupes (2/3)
13
Les groupes (3/3)
Pour un fichier créé par esprit, son propriétaire sera esprit et son
groupe sera le groupe principal de esprit : users.
14
Le GID (Group IDentifier)
Le GID c’est un entier positif identifiant un groupe d’utilisateurs
sur le système,
Le groupe par défaut est le même pour tous, le groupe « users » avec
le GID 100
Le nom du groupe est semblable à celui de login, c’est la notion de
groupe privé par utilisateur (UPG user private group), c’est la
stratégie la plus utilisée actuellement.
15
Les mots de passe (1/2)
Les mots de passe sont cryptés (MD5, DES par exemple) et ne sont
pas directement lisibles sous leur forme cryptée par l’utilisateur afin
que personne ne puisse tenter de le décrypter via un quelconque
traitement.
16
Les mots de passe (2/2)
Il est possible de forcer la longueur et la complexité via les
mécanismes d’authentification PAM et le fichier /etc/login.defs.
Ce fichier est également consulté afin de modifier les
informations relatives aux utilisateurs (uid,gid,umask,…).
Exemple : /etc/login.defs
17
Les mots de passe (2/2)
Il est possible de forcer la longueur et la complexité via les
mécanismes d’authentification PAM et le fichier /etc/login.defs.
Ce fichier est également consulté afin de modifier les
informations relatives aux utilisateurs (uid,gid,umask,…).
Exemple : /etc/login.defs
18
Quelques champs de /etc/login.defs
PASS_MIN_DAYS nbr Nbr min. de jours autorisé avant la modification d'un mot de
passe. Toute tentative de modification du mot de passe avant
cette durée est rejetée. Une valeur négative ou si rien n’est
précis signifie pas de nbr min
PASS_WARN_AGE nbr Nbr jours durant lesquels l'utilisateur recevra un avertissement
avant que son mot de passe n'arrive en fin de validité. Une
valeur négative ou si rien n’est précis signifie qu'aucun
avertissement n'est donné.
PASS_MAX_DAYS, PASS_MIN_DAYS et PASS_WARN_AGE: Ne sont utilisés qu'au moment
de la création d'un compte. Les changements n'affecteront pas les comptes existants.
19
Les fichiers
/etc/passwd
/etc/group
/etc/shadow
20
Le fichier /etc/passwd (1/3)
21
Le fichier /etc/passwd (2/3)
1 2 3 4 5 6 7
23
Le fichier /etc/group (1/2)
Ce fichier contient la définition des groupes d’utilisateurs
et pour chacun la liste des utilisateurs dont il est groupe
secondaire.
Chaque ligne est composé sur 4 champs :
1 2 3 4
1 Le nom du groupe
2 Le mot de passe du groupe
24
Le fichier /etc/group (2/2)
3 Le groupe identifier
4 La liste des utilisateurs appartenant à ce groupe(secondaire)
séparés par une virgule.
NB :
Il est inutile de replacer dans le quatrième champ les utilisateurs ayant
ce groupe pour groupe principal, c’est induit.
Le champ mot de passe pour les groupes est rarement utilisé en
pratique:
1 2 3 4 5 6 9
78
26
Le fichier /etc/shadow (2/3)
1 Le login
2 Le mot de passe crypté. Le $xx$ initial indique le type de cryptage.
4 Nombre de jours avant lesquels le mot de passe ne peut pas être changé (0 :
il peut être changé n’importe quand).
5 Nombre de jours après lesquels le mot de passe doit être changé.
28
La gestion des utilisateurs
29
Ajout d’un utilisateur (1/4)
31
Ajout d’un utilisateur (3/4)
Options:
L’option Le rôle
-m Crée aussi le répertoire personnel /home/login. Elle est parfois comprise par défaut.
N.B
Si aucune option n’est précisée, les valeurs par défaut sont
récupérées au sein du fichier /etc/default/useradd ou
/etc/adduser.conf (Debian).
33
Exercice :
Donner la commande qui ajoute la ligne suivante dans le fichier
/etc/passwd
# passwd robert
Changing password for robert.
Nouveau mot de passe :
Retaper le nouveau mot de passe :
Mot de passe changé.
34
Modifier le mot de passe (1/6)
La commande passwd permet de gérer les mots de passe mais aussi
les autorisations de connexion et la plupart des champs présents dans
/etc/shadow.
35
Modifier le mot de passe (2/6)
La commande passwd :
Syntaxe :
$ passwd <options> login
Description :
Permet le gestion des informations de validité
Tous les champs de /etc/shadow peuvent être modifiés par la
commande passwd.
36
Modifier le mot de passe (3/6)
Options:
Option Rôle
-l Lock : verrouille le compte (! devant le mot de passe crypté).
-u Unlock : déverrouille le compte. Il n’est pas possible de déverrouiller
un compte qui n’a pas de mot de passe, il faut utiliser en plus -f pour
cela.
-d Supprime le mot de passe du compte.
-n <j> Durée de vie minimale en jours du mot de passe.
-x <j> Durée de vie maximale en jours du mot de passe.
-w <j> Nombre de jours avant avertissement.
-i <j> Délai de grâce avant désactivation si le mot de passe est expiré.
-S Statut du compte.
37
Exercice
Le compte esprit doit être modifié comme ceci :
• Il doit attendre 5 jours après saisie d’un nouveau mot de passe pour
pouvoir le changer,
• Son mot de passe est valide 45 jours,
• Il est prévenu 7 jours avant qu’i l doit changer de mot de passe,
• S’il ne change pas de mot de passe après 45 jours, il dispose encore de
5 jours avant d’être désactivé.
# passwd -n 5 -x 45 -w 7 -i 5 esprit
39
Modifier le mot de passe (5/6)
Options:
Option Rôle
-E permet de fixer une date d'expiration sous la forme Unix standard
(nombre de jours depuis le 1er janvier 1970) ou sous la forme
YYYY/MM/DD
-M permet de changer la valeur du nombre maximal de jours de validité
du mot de passe.
-m permet de changer la valeur du nombre minimal de jours de validité
de mot de passe.
-W permet de changer le nombre de jours d'alerte avant un changement
obligatoire de mot de passe.
-d permet de changer la date de dernier changement de mot de passe
40
Modifier le mot de passe (6/6)
41
Modification d’un utilisateur (1/2)
42
Modification d’un utilisateur (2/2)
Options usermod:
Option Rôle
-g Changer le groupe primaire
-G Changer le(s) groupe (s) secondaire(s).
Si l’utilisateur fait actuellement partie d’un groupe qui n’est pas listé, il
sera supprimé de ce groupe.
-L verrouillage du compte, comme passwd -l . Il n'est disponible que pour
root. Le verrouillage est effectué en rendant le mot de passe crypté
invalide (en le préfixant par un !).
-U Déverrouillage du compte, comme passwd -u.
-e <n> Expire : le mot de passe expire n jours après le 01/01/1970.
-u <UID> Modifie l’UID associé au login. Le propriétaire des fichiers appartenant à
l’ancien UID au sein du répertoire personnel est modifié en conséquence.
-l <login> Modifie le nom de login.
-m Move : implique la présence de -d pour préciser un nouveau répertoire 43
personnel. Le contenu de l’ancien répertoire est déplacé dans le nouveau.
Suppression d’un utilisateur
# userdel -r esprit
44
La gestion des groupes
45
Ajout d’un groupe
# groups Salah
Esprit
Ecole
Admin
46
Modification d’un groupe
Syntaxe:
Options:
Option Role
Exemple :
# groupdel amis
48
Suppression d’un groupe
Exemple :
# groupdel amis
49
Gestion des groupes: gpasswd
La commande gpasswd permet d’administrer le fichier /etc/group
(ainsi que le fichier /etc/gshadow si l'option SHADOWGRP a été
définie lors de la compilation).
Chaque groupe peut avoir des administrateurs, des membres ainsi
qu'un mot de passe.
Le root possède les droits d'administrateur de groupe et de
membre:
l'option –A: définit le(s) administrateur(s) de groupe
l'option -M : définit les membres
Un administrateur de groupe peut ajouter ou supprimer des
utilisateurs en utilisant respectivement les options -a et –d
#gpasswd –a user group // gpasswd –d user group
Les administrateurs peuvent utiliser l'option -r pour supprimer le
mot de passe d'un groupe. 50
Contrôle du propriétaire d'un fichier
51
Récapitulatif
52
Récapitulatif
53