Chapitre 6.
• pwck,grpck— Outils permettant de vérifier le mot de passe, le groupe et les fichiers masqués connexes.
• pwconv,pwunconv— Outils permettant la conversion de mots de passe standard en mots de passe masqués et vice versa.
Pour obtenir un aperçu de la gestion des utilisateurs et des groupes, reportez-vous au manuel intitulé Introduction à l’administration système de Red Hat Enterprise Linux. Pour des informations plus détaillées sur les outils de la ligne de commande permettant de gérer les utilisateurs et les groupes, consultez le chapitre intituléConfiguration des utilisateurs et des groupesduGuide d’administration système de Red Hat Enterprise Linux.
6.2. Utilisateurs ordinaires
Le Tableau 6-1 énumère les utilisateurs ordinaires configurés dans le fichier/etc/passwdlors d’une installation complète (Tout). L’identificateur groupe (ID groupe ou GID) figurant dans ce tableau correspond augroupe primairepour l’utilisateur. Reportez-vous à la Section 6.3 pour obtenir une liste des groupes ordinaires.
Utilisateur UID GID Répertoire personnel Shell
root 0 0 /root /bin/bash
bin 1 1 /bin /sbin/nologin
démon 2 2 /sbin /sbin/nologin
adm 3 4 /var/adm /sbin/nologin
lp 4 7 /var/spool/lpd /sbin/nologin
sync 5 0 /sbin /bin/sync
arrêt 6 0 /sbin /sbin/shutdown
halt 7 0 /sbin /sbin/halt
message 8 12 /var/spool/mail /sbin/nologin
informations 9 13 /etc/news
uucp 10 14 /var/spool/uucp /sbin/nologin
opérateur 11 0 /root /sbin/nologin
jeux 12 100 /usr/games /sbin/nologin
gopher 13 30 /var/gopher /sbin/nologin
ftp 14 50 /var/ftp /sbin/nologin
personne 99 99 / /sbin/nologin
rpm 37 37 /var/lib/rpm /sbin/nologin
vcsa 69 69 /dev /sbin/nologin
dbus 81 81 / /sbin/nologin
ntp 38 38 /etc/ntp /sbin/nologin
canna 39 39 /var/lib/canna /sbin/nologin
Utilisateur UID GID Répertoire personnel Shell
nscd 28 28 / /sbin/nologin
rpc 32 32 / /sbin/nologin
postfix 89 89 /var/spool/postfix /sbin/nologin
mailman 41 41 /var/mailman /sbin/nologin
nommé 25 25 /var/named /bin/false
amanda 33 6 var/lib/amanda/ /bin/bash
postgres 26 26 /var/lib/pgsql /bin/bash
exim 93 93 /var/spool/exim /sbin/nologin
sshd 74 74 /var/empty/sshd /sbin/nologin
rpcuser 29 29 /var/lib/nfs /sbin/nologin
nsfnobody 65534 65534 /var/lib/nfs /sbin/nologin
pvm 24 24 /usr/share/pvm3 /bin/bash
apache 48 48 /var/www /sbin/nologin
xfs 43 43 /etc/X11/fs /sbin/nologin
gdm 42 42 /var/gdm /sbin/nologin
htt 100 101 /usr/lib/im /sbin/nologin
mysql 27 27 /var/lib/mysql /bin/bash
webalizer 67 67 /var/www/usage /sbin/nologin
mailnull 47 47 /var/spool/mqueue /sbin/nologin
smmsp 51 51 /var/spool/mqueue /sbin/nologin
squid 23 23 /var/spool/squid /sbin/nologin
ldap 55 55 /var/lib/ldap /bin/false
netdump 34 34 /var/crash /bin/bash
pcap 77 77 /var/arpwatch /sbin/nologin
radiusd 95 95 / /bin/false
radvd 75 75 / /sbin/nologin
quagga 92 92 /var/run/quagga /sbin/login
wnn 49 49 /var/lib/wnn /sbin/nologin
dovecot 97 97 /usr/libexec/dovecot /sbin/nologin
Tableau 6-1. Utilisateurs ordinaires
6.3. Groupes ordinaires
Le Tableau 6-2 énumère les groupes ordinaires configurés lors d’une installation complète (Tout). Les groupes sont enregistrés dans le fichier/etc/group.
Groupe GID Membres
root 0 root
bin 1 root, bin, démon
démon 2 root, bin, démon
sys 3 root, bin, adm
adm 4 root, adm, démon
tty 5
disque 6 root
lp 7 démon, lp
mem 8
kmem 9
wheel 10 root
message 12 mail, postfix, exim
informations 13 informations
uucp 14 uucp
man 15
jeux 20
gopher 30
dip 40
ftp 50
verrouillage 54
personne 99
utilisateurs 100
rpm 37
utmp 22
disquette 19
vcsa 69
dbus 81
ntp 38
canna 39
nscd 28
rpc 32
postdrop 90
postfix 89
mailman 41
exim 93
Groupe GID Membres
nommé 25
postgres 26
sshd 74
rpcuser 29
nfsnobody 65534
pvm 24
apache 48
xfs 43
gdm 42
htt 101
mysql 27
webalizer 67
mailnull 47
smmsp 51
squid 23
ldap 55
netdump 34
pcap 77
quaggavt 102
quagga 92
radvd 75
slocate 21
wnn 49
dovecot 97
radiusd 95
Tableau 6-2. Groupes ordinaires
6.4. Groupes propres à l’utilisateur
Red Hat Enterprise Linux utilise un système degroupe privé d’utilisateurs(ouUPGde l’anglais User Private Group) qui facilite considérablement la gestion de groupes UNIX.
Un UPG est créé chaque fois qu’un nouvel utilisateur est ajouté au système. Les UPG portent le même nom que l’utilisateur pour lequel ils ont été créés et seul cet utilisateur est un membre de l’UPG.
Grâce à l’utilisation d’UPG, il est possible de déterminer en toute sécurité des permissions par défaut pour un nouveau fichier ou répertoire afin que l’utilisateur et legroupe de cet utilisateurpuissent modifier le fichier ou répertoire.
Le paramètre qui détermine les permissions spécifiques à accorder à de nouveaux fichiers ou réper-toires s’appelleumask; ce dernier est configuré dans le fichier/etc/bashrc. Sur des systèmes
UNIX,umaska traditionnellement une valeur de022, permettant uniquement l’utilisateur qui a créé le fichier ou répertoire de le modifier. Sous ce système, aucun autre utilisateur,même les membres appartenant au groupe du créateur, n’est autorisé à apporter quelque modification que ce soit. Ce-pendant, étant donné que chaque utilisateur a son propre groupe privé dans le système UPG, cette
"protection de groupe" n’est pas nécessaire.
6.4.1. Répertoire de groupes
Dans de nombreuses sociétés du secteur informatique il est courant de créer un groupe pour chaque grand projet et d’y assigner ensuites des personnes, si ces dernières doivent avoir accès aux fichiers du projet. Avec ce système traditionnel, un fichier est créé, il est associé au groupe primaire auquel son créateur appartient. Ainsi, lorsqu’une même personne travaille sur plusieurs projets, il devient difficile d’associer les bons fichiers au bon groupe. Toutefois, en utilisant le système UPG, les groupes sont automatiquement assignés aux fichiers créés dans un répertoire avec un bitsetgiddéterminé. Ce dernier facilite considérablement la gestion des projets de groupe qui partagent un répertoire commun étant donné que tous les fichiers créés par un utilisateur au sein du répertoire appartiennent au groupe propriétaire du répertoire.
Supposons par exemple qu’un groupe de personnes travaille sur des fichiers figurant dans le réper-toire/usr/lib/emacs/site-lisp/. Certaines personnes dignes de confiance peuvent certes être autorisées à modifier le répertoire, mais tout le monde ne peut pas jouir de ce privilège. Il est donc nécessaire de créer d’abord un groupeemacs, comme le fait la commande suivante :
/usr/sbin/groupadd emacs
Afin d’associer le contenu du répertoire au groupeemacs, tapez : chown -R root.emacs /usr/lib/emacs/site-lisp
Il est maintenant possible d’ajouter les utilisateurs appropriés au groupe à l’aide de la commande gpasswd:
/usr/bin/gpasswd -a v usernamew emacs
Afin d’autoriser les utilisateurs à créer des fichiers dans le répertoire, utilisez la commande suivante : chmod 775 /usr/lib/emacs/site-lisp
Lorsqu’un utilisateur crée un nouveau fichier, il se voit assigner le groupe privé par défaut du groupe de l’utilisateur. Ensuite, donnez une valeur au bit setgid, qui donne à tout fichier créé dans le répertoire la même permission de groupe que le répertoire lui-même (emacs). Utilisez la commande suivante : chmod 2775 /usr/lib/emacs/site-lisp
À ce stade, comme l’umask par défaut de chaque utilisateur est 002, tous les membres du groupe emacspeuvent créer et modifier des fichiers dans le répertoire/usr/lib/emacs/site-lisp/, sans que l’administrateur n’aie à changer les permissions de fichiers chaque fois que des utilisateurs enregistrent de nouveaux fichiers.
6.5. Mots de passe masqués
Dans un environnement multi-utilisateurs, il est primordial d’utiliser desmots de passe masqués (four-nis par le paquetageshadow-utils). Ce faisant, la sécurité des fichiers d’authentification du système se voit accrue. C’est pour cette raison que le programme d’installation active des mots de passe mas-qués par défaut.
Ci-dessous figure une liste des avantages associés aux mots de passe masqués par rapport à l’ancienne manière de stocker des mots de passe sur des systèmes basés sur UNIX :
• Amélioration de la sécurité du système en déplaçant les hachages de mots de passe cryptés d’un fichier/etc/passwdlisible par quiconque à un fichier/etc/shadowlisible uniquement par le super-utilisateur.
• Stockage d’informations sur l’expiration des mots de passe.
• Possibilité d’utiliser le fichier/etc/login.defspour mettre en oeuvre les politiques de sécurité.
La plupart des utilitaires fournis par le paquetageshadow-utilsfonctionnent correctement, que des mots de passe masqués soient activés ou non. Toutefois, comme les informations sur l’expiration des mots de passe sont stockées exclusivement dans le fichier/etc/shadow, aucune commande créant ou modifiant les informations sur l’expiration des mots de passe ne fonctionnera.
Ci-après figure une liste des commandes ne fonctionnant pas sans que les mots de passe masqués ne soient préalablement activés :
• chage
• gpasswd
• /usr/sbin/usermodoptions-eou-f
• /usr/sbin/useraddoptions-eou-f
6.6. Ressources supplémentaires
Afin d’obtenir davantage d’informations sur les utilisateurs et les groupes ainsi que sur les outils permettant leur gestion, reportez-vous aux ressources mentionnées ci-dessous.
6.6.1. Documentation installée
• Pages de manuel sur le sujet — Il existe un certain nombre de pages de manuel pour les différentes applications et divers fichiers de configuration intervenant dans la gestion des utilisateurs et des groupes. La liste suivante présente certaines des pages de manuel les plus importantes :
Applications administratives pour les utilisateurs et les groupes :
• man chage— Une commande pour modifier les politiques d’expiration des mots de passe et des comptes.
• man gpasswd— Une commande pour gérer le fichier/etc/group.
• man groupadd— Une commande pour ajouter des groupes.
• man grpck— Une commande pour vérifier le fichier/etc/group.
• man groupdel— Une commande pour supprimer des groupes.
• man groupmod— Une commande pour modifier le propriétaire d’un groupe.
• man pwck— Une commande pour vérifier les fichiers/etc/passwdet/etc/shadow.
• man pwconv— Un outil permettant la conversion de mots de passe standard en mots de passe masqués.
• man pwunconv— Un outil permettant la conversion de mots de passe masqués en mots de passe standard.
• man useradd— Une commande pour ajouter des utilisateurs.
• man userdel— Une commande pour supprimer des utilisateurs.
• man usermod— Une commande pour modifier des utilisateurs.
Fichiers de configuration :
• man 5 group— Le fichier contenant les informations de groupes pour le système.
• man 5 passwd— Le fichier contenant les informations d’utilisateurs pour le système.
• man 5 shadow— Le fichier contenant les informations d’expiration des mots de passe et des comptes pour le système.
6.6.2. Livres sur le sujet
• Introduction à l’administration système de Red Hat Enterprise Linux; Red Hat, Inc. — Ce manuel offre un aperçu des concepts et techniques d’administration système. Le chapitre intituléGestion des comptes utilisateur et de l’accès aux ressourcescontient de nombreuses informations sur la gestion des comptes utilisateur et groupe.
• Guide d’administration système de Red Hat Enterprise Linux; Red Hat, Inc. — Ce manuel contient davantage d’informations sur la gestion des utilisateurs et des groupes ainsi que sur la configuration avancée des permissions à l’aide des LCA. Reportez-vous aux chapitres intitulésConfiguration des utilisateurs et des groupesetListes de contrôle d’accèsafin d’obtenir de plus amples informations.
• Guide de sécurité de Red Hat Enterprise Linux; Red Hat, Inc. — Ce manuel fournit les aspects associés à la sécurité sur les comptes utilisateur, par exemple sur le choix de bons mots de passe.