Admin linux utilisateurs_et_groupes cours 1

ADMINISTRATION LINUX
LA GESTION DES UTILISATEURS
DES GROUPES & DES DROITS

Plan:
Administration système
Création modification et suppression d’un compte
utilisateur
Création modification et suppression d’un groupe
les fichiers de configuration :
 /etc/passwd
 /etc/group
 /etc/shadow
Les fichiers du profile
La bibliothèque PAM
Les droits utilisateur et groupe

Qu’est-ce qu’un administrateur
système?
Un administrateur système n’est qu’un utilisateur
ayant des privilèges spéciaux et des devoirs(super-
utilisateur ou superuser)
 administrateur sous Windows
 root sous Linux

Rôles d’un administrateur système
Maintenir le bon fonctionnement du parc
Configurer aux mieux les machines
Résoudre tout type d’incidents
Installer et mettre à jour le système et les nouveaux
logiciels.
Administrer les disques
Gérer les utilisateurs
Surveiller la sécurité
Organiser la sauvegarde des données
Administrer le réseau local et l’accès au réseau public…

Attention!!!
L’utilisateur root a tous les privilèges :il est très facile
de détériorer le système sous le compte root.
Conseils utiles:
 Pour l’effacement des fichier utiliser la commande rm –i
au lieu de rm
 Avant la modification d’un fichier de configuration faire
sa sauvegarde
 Ne pas prendre l’habitude d’utiliser le compte root

Useradd : syntaxe et options
Créer un compte utilisateur
Syntaxe: useradd [options] nom_login
Options: Option Rôle
-u uid pour fixer l'identifiant uid
-g groupe-primaire
-G liste fixe l'appartenance de
l'utilisateur à une liste
de groupes secondaires
(séparateur , sans espace)
-s shell par défaut, attribution du
shell par défaut bash
-c commentaire
-d rep. personnel par défaut dans le
répertoire /home

Useradd : syntaxe et options
Autres options
La commande useradd employée sans options
utilise des attributs prédéfinis par défaut
Pour les connaître : useradd -D
Option Rôle
-e date-expiration fixe la date d'expiration du
compte (format MM/JJ/AA)
-k rep-skel recopie le contenu de rep-
skel dans le rép. personnel,
par défaut /etc/skel
-m pour créer le répertoire
personnel

Userdel: syntaxe et options
Supprimer un compte utilisateur
Syntaxe: Userdel [options] nom_login
Par défaut le répertoire personnel n’est pas
supprimé
Options:
Option Rôle
-r supprimer l’utilisateur et son
répertoire personnel
-f forcer la suppression de
l’utilisateur même s’il
connecté

usermod: syntaxe et options
modifier un compte utilisateur
Syntaxe: Usermod [options] utilisateur
Options:
les options de useradd fonctionne aussi pour
usermod
Option Rôle
-c Commenter l’utilisateur
-e La datte dans laquelle le compte sera
désactivé format AAAA-MM-JJ
-g Modifier le groupe par défaut
-G Ajouter à un groupe supplémentaire
-L Verrouiller le compte
-U Déverrouiller le compte

groupadd:Syntaxe et options
Créer un groupe
Syntaxe: groupadd [options] nomgroupe
Options:
Option Rôle
-g Spécifier un GID au groupe
-p Spécifier un mot de passe au groupe

groupmod:syntaxe et options
Modifier un groupe
Syntaxe: groupmod [options] nomgroupe
Options:
Option Rôle
–g Modifier le GID du groupe
-n Renommer le groupe
-A Ajouter un utilisateur au groupe
-R Supprimer un utilisateur du groupe
-p Modifier le mot de passe du groupe

Groupdel: syntaxe
Supprimer un groupe
Suntaxe:
groupdel nomdugroupe
La commande vérifie d’abord si le groupe que vous
voulez supprimer est le groupe principal d’un
utilisateur. Dans ce cas le groupe ne peut pas être
supprimé.

Principaux fichiers des comptes:
passwd : comptes utilisateurs
shadow : mots de passe et sécurité
group : les groupes utilisateurs

/etc/passwd
• Le Fichier /etc/passwd définie tous les
utilisateurs qui existent sur le système Linux.
• Ce fichier texte peut être visualisé par tous les
utilisateurs grâce à la commande cat /etc/passwd
(ou une autre commande de visualisation)
• Chaque ligne de ce fichier décrit le compte d’un
utilisateur
• Les lignes sont composés de champs séparés par le
symbole :

Description du fichier : /etc/passwd
• Signification des champs :
Shell par
défaut de
l’utilisateur ;
celuici sera
lancé
automatique
ment suite au
login
Répertoire
home ou
répertoire de
login de
l’utilisateur
Descrip
tion du
compte
Group
Identifier
Du
groupe
particu
lier
associé
User
Identifier
mot de
passe ;
Compte
utilisa
teur
(login)
/bin/bash/home/user1Utilisateu
r 1
1000501xuser1
SeptièmeSixièmeCinquièmeQuatrièmeTroisièmedeuxième1er
champ
• De nombreux comptes systèmes sont utilisés par
des composants Linux afin d’améliorer la sécurité.

Description du fichier : /etc/passwd
Nom de connexion (ex : user1)
Mot de passe : x (crypté dans /etc/shadow)
UID : User ID = identifie de manière unique chaque
utilisateur,
GID : Group ID : groupe de connexion ≠ groupe supplémentaire
Commentaire de l'administrateur
Répertoire de connexion (/home) : contient les fichiers de
configuration de chaque utilisateur
Commande de connexion : exécutée lors de chaque connexion de
l'utilisateur, en général shell ou script

La commande passwd
• la commande passwd permet de valider ou
modifier un mot de passe
• Deux syntaxes :
– passwd : changer son propre mot de passe
– passwd user1 : réservé à l’administrateur
pour modifier le mot de passe d’un utilisateur

Options de passwd
passwd –l : (lock) vérouille le compte de
l’utilisateur, ex: passwd –l user1
passwd -u : (unlock) : dévérouille le compte
passwd -d : (delete) : supprime le mot de passe

/etc/shadow
• ce fichier généralement associé à /etc/passwd
contient des informations d’encryptage des
mots de passe pour chaque utilisateur.
• Contrairement à /etc/passwd, seul
l’administrateur a le droit de lire ce fichier
• La structure de ce fichier texte est identique à
celle de /etc/passwd : chaque ligne est relative
au mot de passe d’un utilisateur ;
• Les ligne sont composés de champs séparés par
le symbole :

Description du fichier /etc/shadow
• Signification des champs :
Usage futur9
Nombre de jours depuis lequel ce compte est vérouillé (-1 =
toujours actif)
8
Nombre de jours après que le mot de passe ait expiré pour
verrouiller ce compte (-1 = jamais verrouiller)
7
Nombre de jours avant l’expiration du mot de passe pour
prévenir l’utilisateur (-1 = pas d’avertissement)
6
Nombre de jours avant que le système force l’utilisateur à
changer son mot de passe
5
Nombre de jours avant que le mot de passe puisse être changé
(0 = n’importe quand)
4
Date à laquelle le mot de passe a été modifié la dernière fois
(en jours depuis le 01/01/70)
3
Mot de passe encrypté : si ce champs est vide, pas de mot de passe nécessaire!2
Compte utilisateur
Champ
n°1

/etc/shadow & /etc/passwd
Contient entre autre le mot de passe crypté
Les lignes de /etc/passwd et /etc/shadow
correspondent une à une
Exemple :

Le fichier /etc/group
• Ce fichier décrit tous les groupes disponibles sous votre
système Linux
• Sa structure en ligne et en champs ressemble à celle de
/etc/passwd et /etc/shadow
– Le premier champ représente le nom du groupe
– Le second est un mot de passe, peu utilisé : il
contient aujourd’hui presque toujours un x
– Le troisième champ représente le GID
– Le dernier champ représente les utilisateurs
membres de ce groupe, séparés par une virgule, Ils
sont autorisés à se connecter par la commande
newgrp, séparés par ,

/etc/group
• Chaque utilisateur de /etc/passwd ayant un GID
Principal dans son quatrième champs se
retrouve automatiquement membre de ce groupe,
sans apparaître dans la liste du 4ème champs
de /etc/group
• La plupart des systèmes Linux, lors de la création
d’un utilisateur, créé automatiquement un groupe
de même nom et souvent de même ID, afin de
permettre à chaque utilisateur de placer les
comptes en qui ils ont confiance dans leur groupe

Editer les fichiers de configuration
de compte
• Les commandes vipw, vipw –s et vigr
permettent d’éditer respectivement
/etc/passwd et /etc/group
Intérêt : garder une cohérence entre les deux
fichiers

Les modèles de fichier de configuration
/etc/skel contient les fichiers ajoutés lors de la
connexion d'un nouvel utilisateur
.bash_profile : éxécuté automatiquement lors de la
connexion; contient essentiellement la définition des
variables d'environnement telles que le PATH
.bashrc : configuration des alias et définition des
fonctions; éxécute /etc/bashrc

.bash_profile
• On parle de « startup files »
• Le premier de ces fichiers est le .bash_profile
• C’est un fichier texte qui doit se trouver dans le
répertoire home de chaque utilisateur. Il est donc
individuel.

/etc/profile
• Comme pour un script (ou un batch sous
DOS), vous pouvez ajouter des commandes
dans ce fichier, et ces commandes seront
automatiquement exécutées par le bash lors
du login de l’utilisateur, comme si l’utilisateur
les avait saisies luimême au clavier
• Le fichier /etc/profile est un fichier système,
géré par l’administrateur, qui est exécuté lors
du login de n’importe quel utilisateur.

/etc/profile
• Outre la possibilité de factoriser dans un seul
fichier l’ensemble des commandes qui doivent
être exécutées lors du login de tous les
utilisateurs, c’est un outil donné à
l’administrateur pour contrôler les connections
au système
• /etc/profile est exécuté avant .bash_profile

/etc/profile & /etc/skel
• L’administrateur a la responsabilité du bon
fonctionnement de /etc/profile
• Lorsque l’on utilise la commande useradd pour
créer un nouveau compte utilisateur, celleci recopie
le contenu du répertoire /etc/skel vers le répertoire
de login du nouvel utilisateur
• Ceci permet aux nouveaux utilisateurs de disposer
d’une première configuration par défaut (en
particulier les fichiers .bashrc et .bash_profile)
qu’ils pourront bien entendu modifier par la suite

La bibliothèque PAM
PAM (Pluggable Authentification Modules) est un
ensemble de modules permettant de mettre en place
des mécanismes d’authentification avancés pour tous
les outils nécessitant une sécurité accrue.
L’authentification est basée sur des modules.
Chaque module peut utiliser des mécanismes
différents pour tenter d’authentifier un utilisateur.

Fichiers de configuration PAM
Les fichiers de configuration sont placés dans:
/etc/pam.d. Il en existe généralement un par application
utilisant PAM et il porte le même nom. Si le fichier est
manquant c’est « other » qui est utilisé. La syntaxe est la
Suivante:
Type_module contrôle module arguments

Type module:
auth : authentifie l'utilisateur par une demande de
mot de passe ou par une autre méthode.
account : restriction du compte : expiration, en
fonction de l'heure, de la machine source, des
ressources disponibles.
password : Gestion des mots de passe.
session : Tout ce qui concerne l'ouverture d'une
session, avant et après.

contrôle
required : réussite requise. En cas d’échec, les
modules restants sont tout de même appelés mais
quoi qu’il arrive au final PAM retournera un échec.
requisite : un échec termine immédiatement
l’authentification. La réussite l’autorise à continuer.
optimal : Est ignoré, en fait que le test réussisse ou
pas cela ne change pas la suite.
sufficient : une réussite contourne les autres modules.
Autrement dit PAM retourne ok quoi qu’il arrive en
cas de réussite ici.

Module
Les modules sont nombreux. Une authentification
normale Unix utilise le module pam_unix.so ; une
authentification LDAP (Lightweight Directory
Access Protocol ou service d’annuaire) utilise le
module pam_ldap.so.

Arguments
Les arguments permettent de spécifier des règles à
utiliser avec des modules.
Exemple:
min=4 max=8

Les droits d’utilisateur et de
groupe

Droits et utilisateurs
À chaque fichier (inode) sont associés un UID et un
GID définissant son propriétaire et son groupe
d’appartenance.
Vous affectez des droits pour le propriétaire, pour le
groupe d’appartenance et pour le reste du monde. On
distingue
trois cas de figure :

Droits et utilisateurs
• UID de l’utilisateur identique à l’UID défini pour le
fichier. Cet utilisateur est propriétaire du fichier.
• Les UID sont différents : le système vérifie si le GID de
l’utilisateur est identique au GID du fichier. Si oui
l’utilisateur appartient au groupe associé au fichier.
• Dans les autres cas (aucune correspondance) : il s’agit
du reste du monde (others), ni le propriétaire, ni un
membre du groupe.
Exemple: ls –l

Signification des droits
Cas général
Droit Signification
r Readable (lecture).
w Writable (écriture).
x Executable (exécutable comme programme).

Fichier normal
Droit Signification
r Le contenu du fichier peut être l u , chargé en
mémoire, visualisé, recopié.
w Le contenu du fichier peut être modifié, on peut
écrire dedans. La suppression n’est
pas forcément liée à ce droit (voir droits sur
répertoire).
x Le fichier peut être exécuté depuis la ligne de
commande, s’il s’agit soit d’un programme
binaire (compilé), soit d’un script (shell, perl...).

Cas d’un répertoire
Droit Signification
r Les éléments du répertoire (catalogue) sont accessibles
en lecture. Sans cette autorisation, ls et les critères de
filtre sur le répertoire et son contenu ne sont pas
possibles. L’accès individuel à un fichier reste possible
si vous connaissez son chemin
w Les éléments du répertoire (catalogue) sont
modifiables et il est possible de créer, renommer et
supprimer des fichiers dans ce répertoire. C’est ce
droit qui contrôle
l’autorisation de suppression d’un fichier.
x Le catalogue peut être accédé par CD et listé. Sans
cette autorisation il est impossible
d’accéder au répertoire et d’agir sur son contenu qui

Modification des droits
 Lors de sa création, un fichier ou un répertoire
dispose de droits par défaut. Utilisez la commande
chmod (change mode) pour modifier les droits sur un
fichier ou un répertoire. Il existe deux méthodes pour
modifier ces droits : par la forme symbolique et par la
base 8.
Seul le propriétaire d’un fichier peut en modifier les
droits (plus l’administrateur système). Le paramètre
-R change les droits de manière récursive.

Par symbole
La syntaxe est la suivante :
chmod modifications Fic1 [Fic2...]
u:utilisateur
g:groupe
o:other
+ et = : droit oui
- : pas de droit
et le droit d’accès :r,w ou x

Exemples:
 chmod g+w fic1
 chmod u=rwx,g=x,o=rw fic2
 chmod o-r fic3
 chmod o= fic2

Par base 8
La syntaxe est identique à celle des symboles.
À chaque droit correspond une valeur octale,
positionnelle et cumulable. Pour encoder trois droits
rwx, il faut trois bits, chacun prenant la valeur 0 ou 1
selon que le droit est absent ou présent d’où une
notation octale possible.
• Le r vaut 4.
• Le w vaut 2.
• Le x vaut 1.

Masque des droits
Lors de la création d’un fichier ou d’un répertoire, des
droits leur sont automatiquement attribués.
Ces valeurs sont contrôlées par un masque, lui-même
modifiable par la commande umask.
Le masque par défaut est 022, soit ----w--w-.
Par défaut, tous les fichiers sont créés avec les droits
666 (rw-rw-rw-).
Par défaut tous les répertoires sont créés avec les
droits 777 (rwxrwxrwx).

Changer de propriétaire et de groupe
Il est possible de changer le propriétaire et le groupe
d’un fichier à l’aide des commandes chown (change
owner) et chgrp (change group). Le paramètre -R
change la propriété de manière récursive.
chown utilisateur fic1 [Fic2...]
chgrp groupe fic1 [Fic2...]
Il est possible de modifier en une seule commande à
la fois le propriétaire et le groupe:
chown utilisateur[:groupe] fic1 [fic2...]
chown utilisateur[.groupe] fic1 [fic2...]

Les droits étendus(SUID)
Le droit SUID:
Sa présence permet à un fichier exécutable de s'exécuter
sous l'identité de root et donc les droits de son
propriétaire, à la place des droits de l'utilisateur actuel
qui l'exécute.
Ce droit est noté symboliquement s et se positionne à
la place du x du propriétaire u (mais sans écraser le
droit x)
Sa valeur octale est 4000

Le droit SGID:
Pour un fichier exécutable, il fonctionne de la même
façon que le SUID, mais transposé aux membres du
groupe.
Notation symbolique s, mis à la place du x du groupe,
valeur octale 2000
Les droits étendus(SGID)

Le « sticky bit »:
Ce droit spécial, traduit en "bit collant", a surtout un
rôle important sur les répertoires.
Il réglemente le droit w sur le répertoire, en
interdisant à un utilisateur quelconque de supprimer
un fichier dont il n'est pas le propriétaire.
Ce droit noté symboliquement t occupe par
convention la place du droit x sur la catégorie other
de ce répertoire.
Sa valeur octale associée vaut 1000.
Les droits étendus(Sticky bit)

Atelier
 Création des utilisateurs et paramétrage d’ouverture
de
Session
 Création des groupes
 Attribution des droits.

Admin linux utilisateurs_et_groupes cours 1

Contenu connexe

Tendances (20)

Similaire à Admin linux utilisateurs_et_groupes cours 1 (20)

Dernier (13)

Admin linux utilisateurs_et_groupes cours 1