Administration système et sécurité sous LINUX

La gestion des utilisateurs

Et des groupes

Enseignant: Arafet BOUSSAID

arafet.boussaid@gmail.com
1
Le nom de l’utilisateur

Le nom d’utilisateur doit commencer forcément par

une lettre et comporte maximum 32 caractères

« ahmed » et « Ahmed » son deux utilisateurs

différents.

L’utilisation des caractères spéciaux est déconseiller

dans le nom d’utilisateur tel que (_) , (.), l’espace.
Le UID, le GID

Linux identifie les utilisateurs et les groupes

par des numéros:
 UID (user identifier) : l’identifiant de l’utilisateur
 la correspondance entre le nom d’utilisateur et
son UID est assurer par le fichier /etc/passwd
 GID (group identifier) : l’identifiant du groupe,
 la correspondance entre le nom du groupe et son
GID est assurer par le fichier /etc/group
 Le fichier /etc/passwd
account:passwd:UID:GID:GECOS:directory:shell

– identifiant (ou login), par exemple salah;

salah

– mot de passe : il s'agit d'un mot de passe chiffré e par la fonction a sens unique
crypt ou md5. La valeur spéeciale < x > indique que le mot de passe chiffré est
stocké dans /etc/shadow

– uid : numéro unique identifiant l'utilisateur ;

– gid : numéro unique du groupe principal de l'utilisateur (Debian
( crée par défaut un
groupe spécifique à chacun) ;

– GECOS : champ de renseignements qui contient habituellement le nom complet de
l'utilisateur ;

– répertoire de connexion, attribué à l'utilisateur pour qu'il y stocke ses fichiers
personnels (la variable d'environnement $HOME y pointe habituellement) ;

– shell: Il s'agit généralement d'un interpréteur de commandes
Le UID, le GID

Linux réserve les ID de 0-99

99 pour l’utilisation système,

L’ID le plus important est le zero 0 pour identifier le root
(user et group),

Le UID 2 et GID 2 sont réservés pour le daemon ( pour
debian c’est le 1)

Le UID 8 et GID 8 ou 12 sont réservés pour le mail

Seul le UID 0 et le GID 0 son standardisés

Les UID et GID à partir des 100 son libérés pour les
utilisateurs mais il ya des distributions qui commencent
par 500 ou 1000
Créer un compte utilisateur

Création d’un nouveau utilisateur:

Useradd [-option] username

Options :
-c commentaires
-d home par défaut
-e expire-date : sous la forme YYYY-MM
MM-DD
-f inactive-days

-g default-group : le nom ou le GID

-G group[,...]: groupes additionnels (séparer par ,)
-m -k nom_rep : exigé la création du home diractory

-p password : spécifier un mot de pass crypté

-s shell : le shell par défaut
-u UID [-o]
-r : créer un compte système UID < 100

-n
Créer un compte utilisateur

# useradd -m -g auf -c
c "Mohamed tounsi" -s /bin/bash mohamed

les fichiers /etc/default/useradd et /etc/adduser.conf offrent quelques

paramétrages par défaut au compte créé avec useradd.
Il sont listées par l’option –D de commande useradd:
 GROUP=100
 HOME=/home
 INACTIVE=-1 useradd fabrique le répertoire personnel
 EXPIRE=
et y recopie le contenu du répertoire
modèle /etc/skel
 SHELL=/bin/bash
 SKEL=/etc/skel
 GROUPS=video,dialout
 CREATE_MAIL_SPOOL=no
Modifier le compte par la commande usermod

Usermod [-option] username

Les options :
 d : pour changer le home diractory de l’utilisateur
 m : pour copier les fichiers de l’utilisateur dans le nouveau home
diractory (à utiliser avec l’option –d)
d)

 l : pour changer le nom de l’utilisateur ( usermod ahmed –l hadi)

 L : bloquer un compte
 U : débloquer un compte
 g: changer le groupe primaire

 G : changer le groupe secondaire

Modifier le compte par la commande usermod

chfn (Change Full Name) : intervient sur le champs GECOS

chsh (Change Shell) : permet de changer le shell de login (le choix du shell est limité à
la liste dans /etc/shell)

userdel –r utilisateur : supprimer utilisateur ainsi que le répertoire personnel et les
fichiers de l'utilisateur.

usermod : Modifier un compte

– Changer le groupe primaire : usermod –g
g users msalah

– Changer les groupes secondaires : usermod –G stagiaire,prof msalah

Bloquer un compte d'un utilisateur : l'empêcher de se connecter à nouveau :

Bloquer Débloquer
passwd -l passwd -u
usermod -L usermod -U
Changer le mot de passe

Comme simple user :

Lancer la commande passwd pour changer votre mot de passe.

Comme root :
Lancer la commande passwd suivie du nom de l’utilisateur pour
changer son mot de passe

#passwd mohamed
Changing password for user sally
New UNIX password:
Retype new UNIX password:
passwd:: all authentication tokens updated successfully
Modifier le compte par la commande passwd

passwd [-option] username

Options: [-k] : activer un compte expiré (only root)

[-l] : bloquer un compte par l’ajout du caractère “!”
devant son mot de passe dans /etc/shadow
/ (only root)
[-u] : débloquer un compte (only root)
[-d] : supprimer le mot de passe (only root)
[-S] : afficher l’état de l’utilisateur
Le fichier /etc/shadow

Fichier de mots de passe chiffrés.

– Identifiant ou login

– Mot de passe chiffré

– Plusieurs champs de gestion de l'expiration du mot de passe.

Améliorer la sécurité : stocker les mots de passe chiffrés dans

/etc/shadow.

– Créer /etc/shadow à partir de /etc/passwd : pwconv

– Stocker les mots de passe dans /etc/passwd : pwunconv
Les groupes

Un utilisateur appartient toujours au moins à un

groupe dit « groupe initial » (primary
( group)

Si le groupe n’est pas spécifié au moment de la

création de l’utilisateur, deux stratégies sont
employées pour assigner un groupe par défaut :

 Le groupe par défaut est le même pour tous, le groupe

« users » avec le GID 100
 Le nom du groupe est semblable à celui de login, c’est la
notion de groupe privé par utilisateur (UPG user private
group), c’est la stratégie la plus utilisée actuellement.
La gestion des groupes et le fichier /etc/group

Base de données des groupes

Un groupe Unix est une entité regroupant plusieurs utilisateurs afin
qu'ils puissent facilement se partager des fichiers à l'aide du système
de droits intégré (en jouissant justement des mêmes droits).

– identifant (le nom du groupe) ;

– mot de passe (facultatif) : il ne sert qu'à intégrer un groupe dont
on n'est pas habituellement membre (avec la commande newgrp ou
sg )

– gid : numéro unique identifiant le groupe ;

– liste des membres : liste des utilisateurs membres du groupe,
séparée par des virgules.
La gestion des groupes et le fichier /etc/group

groupadd esprit : créer un nouveau groupe esprit

groupdel esprit: supprimer le groupe

groupmod : modifier les informations d'un groupe

gpasswd : affecter un mot de passe a un groupe

# groupmod -A mohamed esprit

# groups mohamed

mohamed : info4R dialout video users esprit

# grep esprit /etc/group  esprit:!:1010:mohamed
esprit:!:1010:

# groupmod -R mohamed esprit

#grep esprit /etc/group  esprit:!:1010:
La commande chage

Les caractéristiques par défaut du mot de passe sont définis à partir du

fichier /etc/login.defs, sauvegardés dans le fichier /etc/shadow

La commande chage permet de modifier ces informations contenues dans

le fichier /etc/shadow

chage –l [user]
l’option -l donne les valeurs actuelles du compte
La commande chage

chage [-m mindays] [-M maxdays]] [-d

[ lastday] [-E expiredate]
[-W warndays] user

E permet de fixer une date d'expiration sous la forme Unix standard
(nombre de jours depuis le 1er janvier 1970) ou sous la forme
YYYY/MM/DD

M permet de changer la valeur du nombre maximal de jours de validité du
mot de passe.

m permet de changer la valeur du nombre minimal de jours de validité de
mot de passe.

w permet de changer le nombre de jours d'alerte avant un changement
obligatoire de mot de passe.

d permet de changer la date de dernier changement de mot de passe sous
forme Unix standard
La commande chage