• Aucun résultat trouvé

Gestion des utilisateurs

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Gestion des utilisateurs"

Copied!
26
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Gestion des utilisateurs

Administration des Systèmes UNIX

Noureddine GRASSA ISET MAHDIA

Septembre 2009

(2)

2

© Dominique Lazure

Politiques de gestion des comptes

Comptes individuels

Responsabilisation

Sécurité

Personnalisation du service rendu

Cloisonnement des espaces

Comptes collectifs

Facilité de gestion (ouverture par lots)

Dangers multiples

(3)

3

© Dominique Lazure

Comptes systèmes

Comptes d'application

Souvent nécessaires, mais dangereux Choisir (si possible) UID < 1024

Interdire le login :

Supprimer l'image cryptée (/etc/shadow) *

Limiter l'usage de su

Surveiller :

Rediriger le mail par un alias (/etc/aliases)

(4)

4

© Dominique Lazure

Charte / Licence utilisateurs

Indispensable, se doit de traiter de :

Partage de compte, de données

Cadre des manipulations (fichier passwd)

Usurpation d'identité

Monopolisation de ressources

Exportation de données, image de l'entreprise

Respect des licences des logiciels installés

Respect des droits sur des données importées (MP3,DivX…)

Respect du matériel

Activités illégales (fraude, diffamation, harcèlement)

Usage « en bon père de famille »

(5)

5

© Dominique Lazure

Choix du login

Seule contrainte : il est unique

Généralement 8 caractères (16 sous FreeBSD…) Rester simple pour éviter les problèmes :

pas de ponctuation

8 caractères maximum (NIS, autre système…)

Pas de majuscules (sendmail)

Respecter une convention maison (expliquer !):

lazure, dlazure, lazured, lazure1, domi, chdom

(6)

6

© Dominique Lazure

Choix du passwd

Sensibiliser les utilisateurs Règles usuelles :

Entre 6 et 8 caractères (PASS_MAX_LEN)

Majuscules, minuscules, chiffres et ponctuations

Pas dans un dictionnaire (initiales d'une phrase)

Aucune fiabilité :

crack

Imposer le changement de régulier ou événementiel

(7)

7

© Dominique Lazure

Crack de passwd

Divers outils libres et accessibles (crack, john...) Principe : essais multiples sur /etc/passwd

Login / passwd / full name

Dictionnaires (brut et permutations).

Méthode glouton (infaillible)

Adminsys :

les faire tourner préventivement

Précautions : avertir et faire preuve de discrétion

Cacher les images cryptées (/etc/shadow).

(8)

8

© Dominique Lazure

Péremption du passwd

Un des usages de /etc/login.defs :

PASS_MAX_DAYS

PASS_MIN_DAYS

PASS_WARN_AGE

En BSD : /etc/login.conf

Ne pas pratiquer le harcèlement

Intervention obligatoire après incident

(9)

9

© Dominique Lazure

Sniff de passwd

Nombreux logiciels efficaces disponibles (ethereal).

Prévenir en évitant les transits de passwd en clair (POP vs APOP)

Prévenir en évitant aussi les transits cryptés (voir précédemment)

Surveiller (promiscuous mode, brassage) Sectionner le réseau (hub vs switch)

(10)

10

© Dominique Lazure

useradd

Commande de création d'un utilisateur Évite l'édition des fichiers

À customiser suivant les besoins :

politique d'attribution des UID

des chemins

des quotas

Inclusion dans les alias mails

Lecture indispensable du script usermod

(11)

11

© Dominique Lazure

Champs divers à la création

Full-name (GECOS). Conventionnellement :

Nom complet (souvent la seule info présente)

Adresse

Téléphone

Commande

polo% chfn (si autorisation) polo% ypchfn

Shell de login (non-interactif)

doit se trouver dans /etc/shells

Commande

polo% chsh (si autorisation) polo% ypchsh

(12)

12

© Dominique Lazure

Les fichiers d'initialisation

Dépendant du shell exécuté (man bash) Pour l'environnement : .Xdefault

Pour les applications : .emacs

Squelette de création de compte : /etc/skel

(13)

13

© Dominique Lazure

Exemple : bash

Lancement en mode non-interactif (login), exécute dans l'ordre :

/etc/profile

~/.bash_profile (si invoqué par bash)

~/.bash_login (ignore si invoqué par sh) ~/.profile

Lancement en mode interactif : ~/.bashrc

Quitte avec ~/.bash_logout

(14)

14

© Dominique Lazure

profile

Exécuté par tous les utilisateurs :

Définition des variables communes (PATH)

Définition des prompts (distinguer root par `id -u`)

Définition d'alias courants :

alias rm /bin/rm -i alias ll ls -l

Pour un utilisateur donné : ~/.profile

alias rm /bin/mv -f -target_directory=/home/dushmol/.corbeille

(15)

15

© Dominique Lazure

.bashrc .cshrc .tcshrc …

Même modèle que précédent :

Fichier commun dans /etc/ZESHELLrc

Fichier individuel dans ~/.ZESHELLrc

Invocation interactive (vs login)

Source de beaucoup d'interventions

Factoriser les modifications dans le commun

(16)

16

© Dominique Lazure

.login .logout

Bonne blague réchauffée :

dushmol@posecafé> echo logout > ~/.login dushmol@posecafé> logout

(17)

17

© Dominique Lazure

/etc/skel

Répertoire squelette de création de compte

Copie récursive par adduser Attention :

fichiers communs avant adduser

Fichiers individuels après.

Préférer modifier dans /etc/bashrc

(18)

18

© Dominique Lazure

Mail

Mailbox automatiquement créée /var/spool/mail Paramétrer en fonction du mailer choisi

Aliaser le login par l'adresse mail :

Prenom.Nom@zesite.fr

Imposer des quotas sur les mailbox (cf quotas)

( cf cours JC Delépine )

(19)

19

© Dominique Lazure

Espace disque

Estimer les besoins du nouvel usager Doubler l'estimation

Choisir intelligemment l'emplacement :

Eviter les encombrements du réseau

Centraliser l'administration (sauvegarde)

Penser à la confidentialité, la sécurité

Eventuellement, découper

(Cf cours « arborescence »)

(20)

20

© Dominique Lazure

Espace usager

Espace disque individuel par défaut:

Mailbox

Home-directory

Espaces accessibles directement :

/tmp

Home-directories ouvertes en écriture

Espaces accessibles indirectement :

Très variés (connaître les applis)

Espaces système (spooler mail, spooler at, …)

Cf chapitre « Gestion des ressources, quotas »

(21)

21

© Dominique Lazure

Usage Personnel

Reconnu par la jurisprudence :

~dushmol/Perso

Doit être précisé par la charte d'utilisation.

Bannir l'usage de matériel personnel.

Fournir des consommables sûrs.

Non-engagement de l'entreprise (mail).

Discrétion.

(22)

22

© Dominique Lazure

Suppression de compte

Souvent oublié dans la charte.

Potentiellement délicat (départ involontaire) Proposer avec le futur ex-usager une méthode :

Ne rien garder

Bande/CD-R de sauvegarde

Envoi par mail à son domicile, à son futur emploi (propriété des données ?)

Commande userdel (find -uid)

Vérifier les travaux différés (Impératif !)

Délai de grâce (fermeture sans destruction)

(23)

23

© Dominique Lazure

Comptes invités / provisoires

Danger pour la sécurité et la confidentialité.

volontaire

involontaire (telnet, ftp, rcp…)

Isoler dans un espace / un domaine distinct.

Login/passwd temporaires (dans la minute) Login/passwd à usage unique

(24)

24

© Dominique Lazure

Comptes anonymes / collectifs

Pas de responsabilisation de l'usager.

Isoler aussi de l'espace des usagers.

Gros problèmes (NFS) d'accès concurrents :

Environnements comme gnome

Mailbox

Cache du butineur…

A proscrire (si possible)

(25)

25

© Dominique Lazure

Voir aussi…

Tout ce qui concerne les groups

Concepts équivalents

D'autres cours en rapport :

NIS

quotas

Travaux différés

LDAP

(26)

26

© Dominique Lazure

Questions ?

Références

Télécharger maintenant ( PDF - 26 Page - 97.17 KB )

Documents relatifs

Accéder à la gestion des comptes utilisateurs créer, modifier, renouveler les comptes des utilisateurs

Pour passer un Administrateur en Utilisateur, l’administrateur doit supprimer le compte et le recréer en tant qu’Utilisateur. Comme la création du compte, la modification d’un

Bases de données Gestion des utilisateurs

Donnez des droits de consultation de toutes les tables de la BD biblio aux bibliothécaires ainsi que des droits de consultation, d’insertion sur les tables des emprunts,

Journal interactif. Vous pouvez, au choix, imprimer le journal ou le remplir directement en PDF en utilisant le mode interactif.

Pour ce faire, chaque jour, en plus de votre séance d’entrainement SYMBIOSE, je vous proposerai de relever un défi, comme cuisiner une recette santé, sortir pour prendre l’air

Gestion des utilisateurs sous Windows xp

Un utilisateur, même limité, peut voir, modifier ou supprimer des données, y compris d’un administrateur. Pour avoir un système sécurisé il faut utiliser le gestionnaire de

T.P. N° 1 Portes Logiques en mode interactif sous Logisim

Pour activer Le mode simulation il faut sélectionner la main : dans le menu en haut à gauche (Error! Reference source not found.).. Ce mode permet de vérifier

Fenêtre de login et d'inscription

Ce script prend deux paramètres (login et password), crée un fichier [lelogin].txt qui contient le mot de passe, et affiche le message « Félicitations, vous êtes

Accessibilité numérique Mode d emploi LIVRET INTERACTIF>

&gt;Chez Microsoft, l’accessibilté numérique, c’est concevoir et développer des solutions assurant une utilisation indépendamment des capacités ou des préférences

Le mode participe (mode non conjugué)

Les élèves rencontrent le participe passé en tant que forme verbale utile à la formation et la conjugaison des temps composés et utilisent le participe présent souvent sans