CHAPITRE 3 :

ADMINISTRATION DES SYSTEMES INFORMATIQUES

I. INTRODUCTION :

L’administration d’un système d’exploitation consiste essentiellement à :

 Installer des systèmes d’exploitation,
 Gérer des comptes utilisateurs,
 Gérer les fichiers et les disques,
 Organiser les sauvegardes,
 Ajouter / Supprimer de périphériques,
 Gérer un parc informatique,
 Installer des nouveaux produits,
 Veiller а la sécurité du système.

II. GESTION DES UTILISATEURS ET DES GROUPES :

Elle permet de :
 Créer un utilisateur/groupe ;
 Modifier un utilisateur/groupe ;
 Supprimer un utilisateur/groupe ;
 Ajouter un utilisateur à un groupe ;
 Distinguer les droits d’accès.

II.1- L’utilisateur :

C’est une entité reconnue par le système par son nom et éventuellement son mot de passe. Il doit
appartenir à un ou plusieurs groupes d’utilisateurs pour être autorise à utiliser le système.

a) La hiérarchie des comptes d’utilisateur :

On distingue hiérarchiquement :
 Le compte root : C’est un super utilisateur. Les permissions d’accès ne sont pas appliquées sur lui
il peut faire tout. C’est un compte pour l’administrateur du système.
 Les comptes bin, daemon, lp, sync, news, ftp..: ce sont des comptes utilisateur utilisés par
différentes applications et démons (deamons). Ce genre de compte ne peuvent pas (doivent pas)
être utilisé comme login.
 Les comptes ordinaires

b) Gestion des utilisateurs :

La gestion des utilisateurs consiste en ces trois opérations : l’ajout, la modification et la

suppression. Les informations d’un utilisateur sous Linux ont la forme suivante :
login:passwd:uid:gid:comment:home:shell

 Login : nom du compte de l’utilisateur. Composé d’au maximum 8 caractères alphanumériques.

  Passwd : mot de passe de l’utilisateur. Il est sous forme codée.

 UID : numéro unique d’identification de l’utilisateur. Compris entre 0 et 65535. Les 100 premiers
nombres sont réservés au système.

 GID : numéro d’identification du groupe de l’utilisateur. Un utilisateur peut appartenir à un ou

plusieurs groupes secondaires. La notion de groupe permet de gérer les permissions sur les fichiers.

 Comment : Commentaire dans lequel on peut trouver les informations sur l’utilisateur ou
simplement le nom complet de l’utilisateur.

 Home : Chemin complet du répertoire de l’utilisateur.

 Shell : Chemin complet du shell (programme qui interagit avec l’utilisateur et qui permet de taper
des commandes).

La commande qui permet de changer l’identité de l’utilisateur est su [[-] utilisateur]

b.1) création / ajout d’un compte d’utilisateur :

Elle demande les opérations suivantes :
 L’ajout d’une entrée dans le fichier /etc/passwd,
 La création du répertoire personnel de l’utilisateur,
 La mise en place de la configuration par défaut dans le répertoire de cet utilisateur.

Toutes ces opérations sont prises en charge par la commande adduser ou useradd dont la syntaxe
est : adduser [-c] [-d] [-e] [-f] [-g] [-G] [-] [-p] [-s] [-u] [-n] [-r] utilisateur

Liste des principales options :

Exemple : Créer un utilisateur nommé bana, mot de passe : Ali123 ; Nom complet : Kaneza Bana ;
Numéro de chambre : 14 ; Tél de bureau : 79 574 864 ; tél domicile : 14 789 645.

b.2) Suppression d’un compte d’utilisateur :

Pour supprimer un utilisateur on utilise la commande userdel. Pour cela, il faut que l’utilisateur ne
soit pas connecté. Sinon, utiliser l’option –r.

Exemple : # userdel -r jordie

b.3) Modification d’un compte d’utilisateur :

La commande de modification d’un utilisateur est : usermod. Elle a la même syntaxe et les mêmes
options que la commande useradd.

Des syntaxes complémentaires existent. Il s’agit notamment de:

 passwd –l nomutilisateur pour désactiver un utilisateur
 passwd –u nomutilisateur pour activer un utilisateur

II.2- Gestion des groupes :

Sous Linux, un groupe est un ensemble d’utilisateurs qui partagent les mêmes fichiers et
répertoires. Un utilisateur doit appartenir au moins dans un groupe. Il peut appartenir dans un ou plusieurs
groupes secondaires mais le rôle du groupe initial reste prépondérant.

a) Création / ajout d’un groupe :

La commande groupadd permet de créer un groupe.

b) Modification d’un groupe :

Pour modifier un groupe, on utilise la commande groupmod. Cette commande admet les
paramètres suivants :

-n<nom>: pour renommer le groupe

-g <GID>: Modifie le GID. NB le groupe d’appartenance des fichiers concernés reste inchangé
-A<user>: ajoute l’utilisateur spécifié dans le groupe.
-R<user>: pour supprimer l’utilisateur spécifié du groupe

c) Suppression d’un groupe :

La suppression d’un groupe est faite avec la commande : groupdel.

II.3- Conversion des fichiers de mots de passe et actions de l’utilisateur :

a) Conversion de fichiers :

Les fichiers /etc/shadow (fichier lisible seulement par l’utilisateur root) et /etc/passwd (fichier
public contenant les mots de passe des utilisateurs) peuvent être convertis en un seul et unique fichier /etc/
passwd, à l’aide de la commande pwunconv.
 b) Vérification de cohérence :

La commande pwck effectue une vérification des fichiers /etc/passwd et / etc/shadow et reporte les
erreurs.

La commande grpck permet de faire la même chose pour les groupes. Pour ce cas les contrôles se
limitent aux doublons et à l’existence des utilisateurs pour les groupes secondaires.

c) Les actions de l’utilisateur :

Sur son propre compte, l’utilisateur a le droit de faire plusieurs actions en l’occurrence :
- La modification de son Shell de connexion ;
- La modification des informations le concernant ;
- La modification du groupe principal ;
- La prise de l’identité de quelqu’un d’autre.

 Modification du Shell : elle se fait à l’aide de la commande chsh.

 Modification du commentaire : la commande chfn permet de modifier le commentaire du fichier

/etc/passwd.

 Changement du groupe principal : la commande newgrp suivi du nom du nouveau groupe permet
de changer le groupe principal.

 Changement d’identité : la commande su (subtitute user) suivi du nom du nouvel utilisateur permet
de changer d’identité. Mais il est nécessaire de connaitre le mot de passe du nouvel utilisateur.

III. SYSTEME DE FICHIERS ET GESTION DES DISQUES :

III.1- Le système de fichiers :

Suivant le type de contrôleur et d’interface disques, Linux donne des noms différents aux fichiers
spéciaux des périphériques disques. Chaque disque est représenté par un fichier spécial de type bloc. On
distingue :
Pour les périphériques IDE :
 hda : IDE0, Master
 hdb : IDE0, Slave
 hdc : IDE1, Master
 hdd : IDE1, Slave
 etc.

Pour les périphériques SCSI, SATA, firewire, USB, … :

 sda : premier disque SCSI
 sdb : deuxième disque SCSI
 etc.
 a) Définitions :

Un fichier est une suite d’octets identifié par un nom auquel on associe un emplacement sur le
disque et un ensemble de propriétés appelées attributs.

Un système de fichiers est une organisation qui permet aux utilisateurs et aux programmes
d’accéder aisément aux fichiers et d’y effectuer des traitements via des commandes.

b) Caractéristiques des systèmes de fichiers :

Sous Linux, le système de fichiers est organisé sous forme d’un arbre de répertoires et de sous-
répertoires à partir d’une racine commune.

Plusieurs attributs (métadonnées) définissent un système de fichiers. Sous linux, les principaux
sont :
 La taille maximale ;
 Les droits d’accès ;
 Les dernières dates d’accès et de modification ;
 Le propriétaire et le groupe ;
 Le nombre de blocs utilisés ;
 Le type de fichiers ;
 Le compteur de liens ;
 Un arbre d’adresses de blocs de données.

c) Création d’un système de fichiers :

La création d’un système de fichiers se fait avec la commande mkfs sous Linux. Sa syntaxe est :
mkfs -t typefs options périphérique

Exemple : création d’un système de fichiers en ext3 ayant pour label « sys_data » :
mkfs -t ext3 -L sys_data /dev/sda5

L’option -t sert à spécifier le type du système de fichier, tandis que -L permet de définir le label du
volume. Par défaut le système de fichier est : ext2.

d) Montage d’un système de fichiers :

Il sert à accéder aux périphériques de type bloc sur lesquels le système de fichier existe. Il se fait a
l’aide de la commande mount dont la syntaxe est :
mount -t typefs -o options périphérique point_de_montage

Exemple : montage d’un système de fichier ext2 dans le périphérique hda2 :

# mount -t ext2 /dev/hda2 /home

Lorsqu’un fichier n’est plus utile, il peut être démonté à l’aide de la commande umount.
 III.2- La gestion des disques :

a) Le partitionnement :

Le partitionnement d'un disque consiste à le diviser en partitions. La partition est une zone du
disque qui peut être considérée comme un disque logique à part. On parle aussi de lecteur logique.

Chaque partition peut recevoir un SE différent, si le disque est amorçable et si le programme

d'amorçage du système est placé dans le secteur de boot.

Le disque est organisé de la manière suivante :

 Le premier secteur (MBR : Master Boot Record) qui sert à amorcer la machine lorsqu’il contient le
SE, il charge également le SE dans la RAM,

 Les partitions primaires (contenant le MBR), la partition étendue (zone du disque n’ayant pas de
partition primaire), les lecteurs logiques (subdivisions de la partition étendue).

 L’EBR (Extended Boot Record) qui décrit tous les lecteurs logiques d’une partition étendue.

 Le PBR (Partition Boot Record) ou VBR (Volume Boot Record) qui est le premier secteur de
chaque partition et lecteur logique. Il joue le rôle du MBR même lorsque la partition ne comprend
pas de système d’exploitation. En l’absence du MBR au démarrage, le bios tente de démarrer à
partir d’un PBR.

b) Manipulation des partitions :

Les outils suivants permettent de manipuler les partitions :

 fdisk : C’est le plus ancien et le plus utilisé des outils de partitionnement. Il est à base de menus et
raccourcis textuels.

 Cfdisk : Il est un peu plus « visuel » et s’utilise avec les flèches directionnelles. Il permet les
mêmes opérations que fdisk mais de manière plus conviviale.

 Sfdisk : Il fonctionne en interactif ou non, est assez compliqué mais plus précis.

 parted : Il permet des opérations très avancées sur les partitions comme par exemple leur
redimensionnement. Il est soit interactif (c’est un interpréteur de commandes) soit scriptable. Il
existe des interfaces graphiques comme qtparted ou gparted.

c) Le swap :

C’est une zone d’échange créée dans le disque dur et qui permet de décharger temporairement les
segments de la mémoire physique, libérant ainsi l’espace au profit d’un processus qui en a besoin.

Les règles suivantes définissent généralement la détermination de la taille du swap :

 Moins de 512 Mo de RAM : la taille du swap est deux fois celle de la RAM.
  1 Go à 4 Go de la RAM : la taille du swap est égale à celle de la RAM.
 Plus de 4 Go de la RAM : la taille du swap est de 4 Go, plus ou moins, selon l’utilisation des
processus.

Création d’une partition swap :

 Créer une partition ou un fichier destiné à accueillir l’espace swap (commande fdisk) ;
 Générer un fichier de swap (commande dd) ;
 Synchronisez la table des partitions avec partprobe ;
 Formater la zone à l’aide de la commande mkswap.

Activation et désactivation d’un swap :

L’activation et la désactivation dynamiques se font respectivement à l’aide des commandes
swapon et swapoff. On utilise les options suivantes :
 -p : pour définir la priorité du swap (de 0 à 32 767).
 -L : pour activer une zone de swap grâce à son étiquette.
Exemple :
# swapon /dev/sda5

Dans /etc/fstab, l’options noauto permet l’activation automatique du swap au démarrage du PC, et
sa désactivation à l’arrêt du PC. L’option pri=X permet de définir la priorité de la zone de swap.

d) Les quotas :

Ils permettent de poser des limites à l’utilisation de systèmes de fichiers. Ces limites sont de deux
types :
 I-nodes : limite le nombre de fichiers.
 Blocs : limite la taille disque.

On peut mettre en place deux limites dans le temps :

 Limite dure (hard) : quantité maximale d’i-nodes ou de blocs utilisés que l’utilisateur ou le
groupe ne peuvent absolument pas dépasser. Dans ce cas, plus rien ne sera possible (création de
fichier ou fichier dont la taille dépasse la limite).

 Limite douce (soft) : quantité maximale d’i-nodes ou de blocs utilisés que l’utilisateur ou le
groupe peuvent temporairement dépasser. Dans ce cas, les créations et modifications seront
possibles jusqu’à un certain point : limite dure et délai de grâce.

 Un délai de grâce est mis en place. Durant ce temps, l’utilisateur peut continuer à travailler sur le
système de fichiers. Le but est qu’il revienne à terme sous la limite douce. Le délai dépassé, la
limite douce devient la limite dure. Quoi qu’il arrive, l’utilisateur ne pourra jamais dépasser la
limite dure.

Mise en place des quotas :

La mise en place des quotas sur la partition /home respecte les étapes suivantes :

 Modifier les options de partition dans /etc/fstab. Rajouter dans les options usrquota (utilisateur) ou
grpquota (groupe), ou les deux.
LABEL=/home /home ext3 defaults,usrquota 1 2

 Remonter le système de fichiers.

 # mount -o remount /home

 Créer les fichiers contenant les informations de quota (base de données de quotas).
# cd /home
# touch aquota.user aquota.group

 Mettre à jour la base de données avec la commande quotacheck.

# quotacheck -c /home

 Démarrer (ou arrêter) les quotas. Cette opération n’est pas nécessaire après un redémarrage de
Linux car la mise en place des quotas est comprise dans les scripts de démarrage. La commande
quotaon démarre les quotas pour le système de fichiers indiqué (-a pour tous). La commande
quotaoff stoppe les quotas.
#quotaon /home

 Éditer les quotas pour les utilisateurs ou les groupes. La commande edquota est utilisée. En
pratique, si tous les utilisateurs doivent avoir les mêmes quotas ou avec quelques variantes, on crée
un utilisateur lambda dont on recopiera les propriétés.

 Établir les quotas pour roger :

# edquota roger # = edquota -u roger

 Les quotas de arthur sont identiques à ceux de roger :

# edquota -p roger arthur

 Établir le délai de grâce. Le délai accepte les unités « seconds », « minutes », « hours», « days », «
weeks », « monthes ».
# edquota -t

 Vérifier les quotas. Les utilisateurs peuvent vérifier l’état de leurs quotas avec la commande quota.
L’administrateur peut générer un rapport avec repquota. Enfin la commande warnquota qui peut
être exécutée via cron peut envoyer un mail aux utilisateurs pour les prévenir en cas de
dépassement.

IV. SAUVEGARDE ET RESTAURATION :

IV.1- Généralités :

La sauvegarde est un processus de conservation des données de manière redondante en vue de

pouvoir restaurer le système en cas d’un incident désastreux.

Un plan de sauvegarde bien planifiée et efficace permet à l’administrateur d’identifier les fichiers à
sauvegarder, à quelle fréquence les sauvegarder, où garder la sauvegarde et aussi quand effectuer la
procédure de sauvegarde?

IV.2- Méthodes et stratégies de sauvegarde :

Les principales méthodes de sauvegarde (backup) sont les suivantes :

 a) Sauvegarde complète :

Elle copie tous les fichiers (les fichiers système, les fichiers logiciels et les fichiers de données)
contenus sur un support source vers un support de sauvegarde. Ceci présente l’avantage de restaurer tout, à
l’état précédent si un problème survient. Mais il est très gourmand en ressources.

b) Sauvegarde incrémentale :

Sauvegarde partielle qui inclut uniquement les fichiers qui ont changé depuis la dernière opération
de sauvegarde.

c) Sauvegarde différentielle :

Sauvegarde incrémentale qui inclut tous les fichiers modifiés ou non depuis la dernière sauvegarde
complète, si elles ont été modifiées depuis la dernière opération de sauvegarde ou non. Elle est souvent
désignée comme système de sauvegarde cumulative.

Une stratégie de sauvegarde est une approche planifiée à la protection des données et à leur
récupération.

IV.3- Quelques commandes utiles :

a) La commande dump :

Elle permet de faire une sauvegarde complète ou incrémentale du système. Elle utilise les options
suivantes :

b) La commande restore :

Elle permet de faire la restauration. Elle utilise les options suivantes :

 c) La commande tar :

Elle permet créer des archives des fichiers ainsi que leur arborescence. Elle utilise les options
suivantes :

d) La commande cpio :

Elle sauvegarde sur la sortie standard les fichiers dont on saisit les noms sur l’entrée standard, par
défaut l’écran et le clavier. Sa syntaxe est la suivante :

cpio <options> [<répertoire>] [<fichier…>]

Elle utilise les options suivantes :

 -o (output) ou --create : Lecture des noms de fichiers à partir de l’entrée standard et envoie de leur
contenu sur la sortie standard. Cela permet donc de créer une archive.

 -i (input) ou --extract : Lecture des données à partir de l’entrée standard. Combinée avec d’autres
options, cela permettra de consulter ou d’extraire les fichiers d’une archive.
  -p (porting) ou –pass-through : Copie des fichiers dont le nom est transmis sur l’entrée standard,
dans le répertoire donné en paramètre. Ce mode permet la copie d’arborescences.

Pour restaurer la sauvegarde, on utilise la commande : cpio -i[umd]

 -u : restauration inconditionnelle, avec écrasement des fichiers qui existent déjà. Par défaut les
fichiers ne sont pas restaurés si ceux présents sur le disque sont plus récents ou du même âge.
 -m : les fichiers restaurés conservent leur dernière date de modification.
 -d : cpio reconstruit l’arborescence des répertoires et sous-répertoires manquants.

e) La commande dd :

Elle permet de réaliser des copies physiques de disques et de systèmes de fichiers. L’option conv
admet les paramètres suivants :

V. SÉCURITÉ :

V.1- Les objectifs de la sécurité informatique :

Les objectifs principaux de la sécurité informatique concernent :

1. La sécurité de la connexion : il s’agit de contrôler que les utilisateurs qui se connectent sont
bien autorisés à le faire et de leur interdire l’accès au système dans le cas contraire.
2. L’intégrité des données : il s’agit de faire en sorte que les fichiers et les bases de données ne
soient pas corrompus et de maintenir la cohérence entre les données.
3. La confidentialité des données : l’accès aux données en consultation et en modification doit
être limité aux seuls utilisateurs autorisés.

V.2- Contrôle des droits d’endossement :

Le droit d’endossement est une technique qui consiste à donner les droits d’accès à une commande.

Les droits d’endossement (bits SUID et SGID) sont souvent une cause d’insécurité du système. En
effet un utilisateur mal intentionné profitant de l’inattention ou de l’absence d’un collègue ou d’un
administrateur n’étant pas déconnecté de sa console peut modifier les droits de certaines commandes à son
avantage. Cette activité a été l’occasion d’explorer l’endossement, les problèmes qu’il peut occasionner, la
politique des mots de passes et les restrictions d’accès.

L’interdiction des connexions se fait par les fichiers suivants :

 /bin/false
 /etc/nologin
 /etc/securetty

V.3- Les droits d’accès :

Tout fichier a 3 types d’utilisateurs :

 Un propriétaire (utilisateur reconnu du système),
 Un groupe (pas nécessairement celui de son propriétaire),
  Les autres utilisateurs (ni propriétaires, ni membres du groupe du fichier, mais ayant le droit
d’utiliser le fichier).

Tout fichier peut être lu, écrit (modifié) ou exécuté.

Le propriétaire peut attribuer les droits qu’il veut aux 3 types d’utilisateurs du fichier. Il peut même
s’interdire des droits. Il y a donc 9 droits à préciser pour chaque fichier :

Utilisateur
Propriétaire Groupe Autres
Droits
Lecture
4 4 4
(22)
Écriture
2 2 2
(21)
Exécution
1 1 1
(20)
Somme … … …

L’encodage se fait par puissances de 2 de sorte que la somme de chaque colonne détermine les
droits de chacun des trois types d’utilisateur. Cet encodage est encore appelé mode du fichier.

Exemple : le mode 640 donne les droits de lecture et écriture au propriétaire, le droit de lecture aux
membres du groupe du fichier, et aucun droit aux autres.

V.4- Mots de passe et rootkits :

La force d’un mot de passe réside dans la difficulté de le deviner. Des techniques de crack de mot
de passe existent (les outils crack et commande john). Une fois les mots de passe devinés les hackers
peuvent contrôler votre machine par l’intermédiaire de petits programmes dissimulés dans votre ordinateur
(toolkits).

Les pirates parviennent à placer des scripts, de modifier l’environnement, de remplacer un fichier
par un autre de manière à obtenir un accès privilégié (root) à une machine. Ce procédé s’appelle installer
un rootkit.

L’outil chkrootkit est un outil simple permettant de rechercher la présence des rootkits les plus
connus et les plus courants.

V.5- Sécurité des services et des réseaux :

La connexion d’une machine sur un réseau augmente les risques d’attaques. Afin de minimiser ces
attaques, quelques précautions peuvent être prises notamment la vérification des ports ouverts et la
fermeture des services inutiles. C’est le rôle du firewall (mur de feu) comme Netfilter.

La commande netstat (network statistics) permet de vérifier quels sont les ports à l’écoute sur
votre machine, qui a établi une connexion, et quels sont les processus (services) locaux à l’écoute.

nmap est un outil qui permet de tester les connexions réseaux d’une machine donnée, en analysant
les trames. Il arrive souvent à déterminer le type et la version du système d’exploitation distant.