2. Plan:
Administration système
Création modification et suppression d’un compte
utilisateur
Création modification et suppression d’un groupe
les fichiers de configuration :
/etc/passwd
/etc/group
/etc/shadow
Les fichiers du profile
La bibliothèque PAM
Les droits utilisateur et groupe
3. Qu’est-ce qu’un administrateur
système?
Un administrateur système n’est qu’un utilisateur
ayant des privilèges spéciaux et des devoirs(super-
utilisateur ou superuser)
administrateur sous Windows
root sous Linux
4. Rôles d’un administrateur système
Maintenir le bon fonctionnement du parc
Configurer aux mieux les machines
Résoudre tout type d’incidents
Installer et mettre à jour le système et les nouveaux
logiciels.
Administrer les disques
Gérer les utilisateurs
Surveiller la sécurité
Organiser la sauvegarde des données
Administrer le réseau local et l’accès au réseau public…
5. Attention!!!
L’utilisateur root a tous les privilèges :il est très facile
de détériorer le système sous le compte root.
Conseils utiles:
Pour l’effacement des fichier utiliser la commande rm –i
au lieu de rm
Avant la modification d’un fichier de configuration faire
sa sauvegarde
Ne pas prendre l’habitude d’utiliser le compte root
6. Useradd : syntaxe et options
Créer un compte utilisateur
Syntaxe: useradd [options] nom_login
Options: Option Rôle
-u uid pour fixer l'identifiant uid
-g groupe-primaire
-G liste fixe l'appartenance de
l'utilisateur à une liste
de groupes secondaires
(séparateur , sans espace)
-s shell par défaut, attribution du
shell par défaut bash
-c commentaire
-d rep. personnel par défaut dans le
répertoire /home
7. Useradd : syntaxe et options
Autres options
La commande useradd employée sans options
utilise des attributs prédéfinis par défaut
Pour les connaître : useradd -D
Option Rôle
-e date-expiration fixe la date d'expiration du
compte (format MM/JJ/AA)
-k rep-skel recopie le contenu de rep-
skel dans le rép. personnel,
par défaut /etc/skel
-m pour créer le répertoire
personnel
8. Userdel: syntaxe et options
Supprimer un compte utilisateur
Syntaxe: Userdel [options] nom_login
Par défaut le répertoire personnel n’est pas
supprimé
Options:
Option Rôle
-r supprimer l’utilisateur et son
répertoire personnel
-f forcer la suppression de
l’utilisateur même s’il
connecté
9. usermod: syntaxe et options
modifier un compte utilisateur
Syntaxe: Usermod [options] utilisateur
Options:
les options de useradd fonctionne aussi pour
usermod
Option Rôle
-c Commenter l’utilisateur
-e La datte dans laquelle le compte sera
désactivé format AAAA-MM-JJ
-g Modifier le groupe par défaut
-G Ajouter à un groupe supplémentaire
-L Verrouiller le compte
-U Déverrouiller le compte
10. groupadd:Syntaxe et options
Créer un groupe
Syntaxe: groupadd [options] nomgroupe
Options:
Option Rôle
-g Spécifier un GID au groupe
-p Spécifier un mot de passe au groupe
11. groupmod:syntaxe et options
Modifier un groupe
Syntaxe: groupmod [options] nomgroupe
Options:
Option Rôle
–g Modifier le GID du groupe
-n Renommer le groupe
-A Ajouter un utilisateur au groupe
-R Supprimer un utilisateur du groupe
-p Modifier le mot de passe du groupe
12. Groupdel: syntaxe
Supprimer un groupe
Suntaxe:
groupdel nomdugroupe
La commande vérifie d’abord si le groupe que vous
voulez supprimer est le groupe principal d’un
utilisateur. Dans ce cas le groupe ne peut pas être
supprimé.
16. Description du fichier : /etc/passwd
• Signification des champs :
Shell par
défaut de
l’utilisateur ;
celuici sera
lancé
automatique
ment suite au
login
Répertoire
home ou
répertoire de
login de
l’utilisateur
Descrip
tion du
compte
Group
Identifier
Du
groupe
particu
lier
associé
User
Identifier
mot de
passe ;
Compte
utilisa
teur
(login)
/bin/bash/home/user1Utilisateu
r 1
1000501xuser1
SeptièmeSixièmeCinquièmeQuatrièmeTroisièmedeuxième1er
champ
• De nombreux comptes systèmes sont utilisés par
des composants Linux afin d’améliorer la sécurité.
17. Description du fichier : /etc/passwd
Nom de connexion (ex : user1)
Mot de passe : x (crypté dans /etc/shadow)
UID : User ID = identifie de manière unique chaque
utilisateur,
GID : Group ID : groupe de connexion ≠ groupe supplémentaire
Commentaire de l'administrateur
Répertoire de connexion (/home) : contient les fichiers de
configuration de chaque utilisateur
Commande de connexion : exécutée lors de chaque connexion de
l'utilisateur, en général shell ou script
18. La commande passwd
• la commande passwd permet de valider ou
modifier un mot de passe
• Deux syntaxes :
– passwd : changer son propre mot de passe
– passwd user1 : réservé à l’administrateur
pour modifier le mot de passe d’un utilisateur
19. Options de passwd
passwd –l : (lock) vérouille le compte de
l’utilisateur, ex: passwd –l user1
passwd -u : (unlock) : dévérouille le compte
passwd -d : (delete) : supprime le mot de passe
21. Description du fichier /etc/shadow
• Signification des champs :
Usage futur9
Nombre de jours depuis lequel ce compte est vérouillé (-1 =
toujours actif)
8
Nombre de jours après que le mot de passe ait expiré pour
verrouiller ce compte (-1 = jamais verrouiller)
7
Nombre de jours avant l’expiration du mot de passe pour
prévenir l’utilisateur (-1 = pas d’avertissement)
6
Nombre de jours avant que le système force l’utilisateur à
changer son mot de passe
5
Nombre de jours avant que le mot de passe puisse être changé
(0 = n’importe quand)
4
Date à laquelle le mot de passe a été modifié la dernière fois
(en jours depuis le 01/01/70)
3
Mot de passe encrypté : si ce champs est vide, pas de mot de passe nécessaire!2
Compte utilisateur
Champ
n°1
22. /etc/shadow & /etc/passwd
Contient entre autre le mot de passe crypté
Les lignes de /etc/passwd et /etc/shadow
correspondent une à une
Exemple :
26. Les modèles de fichier de configuration
/etc/skel contient les fichiers ajoutés lors de la
connexion d'un nouvel utilisateur
.bash_profile : éxécuté automatiquement lors de la
connexion; contient essentiellement la définition des
variables d'environnement telles que le PATH
.bashrc : configuration des alias et définition des
fonctions; éxécute /etc/bashrc
31. La bibliothèque PAM
PAM (Pluggable Authentification Modules) est un
ensemble de modules permettant de mettre en place
des mécanismes d’authentification avancés pour tous
les outils nécessitant une sécurité accrue.
L’authentification est basée sur des modules.
Chaque module peut utiliser des mécanismes
différents pour tenter d’authentifier un utilisateur.
32. Fichiers de configuration PAM
Les fichiers de configuration sont placés dans:
/etc/pam.d. Il en existe généralement un par application
utilisant PAM et il porte le même nom. Si le fichier est
manquant c’est « other » qui est utilisé. La syntaxe est la
Suivante:
Type_module contrôle module arguments
33. Type module:
auth : authentifie l'utilisateur par une demande de
mot de passe ou par une autre méthode.
account : restriction du compte : expiration, en
fonction de l'heure, de la machine source, des
ressources disponibles.
password : Gestion des mots de passe.
session : Tout ce qui concerne l'ouverture d'une
session, avant et après.
Fichiers de configuration PAM
34. contrôle
required : réussite requise. En cas d’échec, les
modules restants sont tout de même appelés mais
quoi qu’il arrive au final PAM retournera un échec.
requisite : un échec termine immédiatement
l’authentification. La réussite l’autorise à continuer.
optimal : Est ignoré, en fait que le test réussisse ou
pas cela ne change pas la suite.
sufficient : une réussite contourne les autres modules.
Autrement dit PAM retourne ok quoi qu’il arrive en
cas de réussite ici.
Fichiers de configuration PAM
35. Module
Les modules sont nombreux. Une authentification
normale Unix utilise le module pam_unix.so ; une
authentification LDAP (Lightweight Directory
Access Protocol ou service d’annuaire) utilise le
module pam_ldap.so.
Fichiers de configuration PAM
36. Arguments
Les arguments permettent de spécifier des règles à
utiliser avec des modules.
Exemple:
min=4 max=8
Fichiers de configuration PAM
38. Droits et utilisateurs
À chaque fichier (inode) sont associés un UID et un
GID définissant son propriétaire et son groupe
d’appartenance.
Vous affectez des droits pour le propriétaire, pour le
groupe d’appartenance et pour le reste du monde. On
distingue
trois cas de figure :
39. Droits et utilisateurs
• UID de l’utilisateur identique à l’UID défini pour le
fichier. Cet utilisateur est propriétaire du fichier.
• Les UID sont différents : le système vérifie si le GID de
l’utilisateur est identique au GID du fichier. Si oui
l’utilisateur appartient au groupe associé au fichier.
• Dans les autres cas (aucune correspondance) : il s’agit
du reste du monde (others), ni le propriétaire, ni un
membre du groupe.
Exemple: ls –l
40. Signification des droits
Cas général
Droit Signification
r Readable (lecture).
w Writable (écriture).
x Executable (exécutable comme programme).
41. Fichier normal
Droit Signification
r Le contenu du fichier peut être l u , chargé en
mémoire, visualisé, recopié.
w Le contenu du fichier peut être modifié, on peut
écrire dedans. La suppression n’est
pas forcément liée à ce droit (voir droits sur
répertoire).
x Le fichier peut être exécuté depuis la ligne de
commande, s’il s’agit soit d’un programme
binaire (compilé), soit d’un script (shell, perl...).
Signification des droits
42. Cas d’un répertoire
Droit Signification
r Les éléments du répertoire (catalogue) sont accessibles
en lecture. Sans cette autorisation, ls et les critères de
filtre sur le répertoire et son contenu ne sont pas
possibles. L’accès individuel à un fichier reste possible
si vous connaissez son chemin
w Les éléments du répertoire (catalogue) sont
modifiables et il est possible de créer, renommer et
supprimer des fichiers dans ce répertoire. C’est ce
droit qui contrôle
l’autorisation de suppression d’un fichier.
x Le catalogue peut être accédé par CD et listé. Sans
cette autorisation il est impossible
d’accéder au répertoire et d’agir sur son contenu qui
Signification des droits
43. Modification des droits
Lors de sa création, un fichier ou un répertoire
dispose de droits par défaut. Utilisez la commande
chmod (change mode) pour modifier les droits sur un
fichier ou un répertoire. Il existe deux méthodes pour
modifier ces droits : par la forme symbolique et par la
base 8.
Seul le propriétaire d’un fichier peut en modifier les
droits (plus l’administrateur système). Le paramètre
-R change les droits de manière récursive.
44. Modification des droits
Par symbole
La syntaxe est la suivante :
chmod modifications Fic1 [Fic2...]
u:utilisateur
g:groupe
o:other
+ et = : droit oui
- : pas de droit
et le droit d’accès :r,w ou x
46. Modification des droits
Par base 8
La syntaxe est identique à celle des symboles.
À chaque droit correspond une valeur octale,
positionnelle et cumulable. Pour encoder trois droits
rwx, il faut trois bits, chacun prenant la valeur 0 ou 1
selon que le droit est absent ou présent d’où une
notation octale possible.
• Le r vaut 4.
• Le w vaut 2.
• Le x vaut 1.
47. Masque des droits
Lors de la création d’un fichier ou d’un répertoire, des
droits leur sont automatiquement attribués.
Ces valeurs sont contrôlées par un masque, lui-même
modifiable par la commande umask.
Le masque par défaut est 022, soit ----w--w-.
Par défaut, tous les fichiers sont créés avec les droits
666 (rw-rw-rw-).
Par défaut tous les répertoires sont créés avec les
droits 777 (rwxrwxrwx).
48. Changer de propriétaire et de groupe
Il est possible de changer le propriétaire et le groupe
d’un fichier à l’aide des commandes chown (change
owner) et chgrp (change group). Le paramètre -R
change la propriété de manière récursive.
chown utilisateur fic1 [Fic2...]
chgrp groupe fic1 [Fic2...]
Il est possible de modifier en une seule commande à
la fois le propriétaire et le groupe:
chown utilisateur[:groupe] fic1 [fic2...]
chown utilisateur[.groupe] fic1 [fic2...]
49. Les droits étendus(SUID)
Le droit SUID:
Sa présence permet à un fichier exécutable de s'exécuter
sous l'identité de root et donc les droits de son
propriétaire, à la place des droits de l'utilisateur actuel
qui l'exécute.
Ce droit est noté symboliquement s et se positionne à
la place du x du propriétaire u (mais sans écraser le
droit x)
Sa valeur octale est 4000
50. Le droit SGID:
Pour un fichier exécutable, il fonctionne de la même
façon que le SUID, mais transposé aux membres du
groupe.
Notation symbolique s, mis à la place du x du groupe,
valeur octale 2000
Les droits étendus(SGID)
51. Le « sticky bit »:
Ce droit spécial, traduit en "bit collant", a surtout un
rôle important sur les répertoires.
Il réglemente le droit w sur le répertoire, en
interdisant à un utilisateur quelconque de supprimer
un fichier dont il n'est pas le propriétaire.
Ce droit noté symboliquement t occupe par
convention la place du droit x sur la catégorie other
de ce répertoire.
Sa valeur octale associée vaut 1000.
Les droits étendus(Sticky bit)
52. Atelier
Création des utilisateurs et paramétrage d’ouverture
de
Session
Création des groupes
Attribution des droits.