RETOUR
|
Consultation des informations de compte
- id : Affichage des informations d'identité d'un utilisateur.
id sur l'utilisateur en cours et sur root
- groups : Affichage des groupes auxquels appartient un utilisateur.
groups sur l'utilisateur en cours et sur root
- finger : Affichage des informations disponibles sur un utilisateur.
finger sur l'utilisateur en cours et sur root
Stockage des utilisateurs et des groupes d'utilisateurs
Utilisateurs référencés stockés dans le fichier /etc/passwd
Une ligne par utilisateur décrit par sept champs séparés par des ':' :
- login (en clair),
- mot de passe (crypté),
- numéro d'utilisateur (UID),
- numéro de groupe (GID),
- description,
- répertoire de base,
- shell de connexion.
UID : Identificateur numérique généralement unique et supérieur à 100.
0: UID de root.
1 à 99: UID réservés aux services du système d'exploitation.
UID définissables arbitrairement en dehors de cette contrainte.
Désactivation d'un compte par le placement d'un * à la place du mot de passe dans le fichier /etc/passwd.
Problème : Fichier /etc/passwd entièrement lisible par tous les utilisateurs y compris les mots de passe cryptés.
-> Informations en clair utilisables pour un décryptage accessibles à un hacker éventuel possèdant un compte.
Mise en place d'un système de masquage (shadow) avec stockage des mots de passe cryptés (avec d'autres informations) dans
le fichier /etc/shadow non lisible par les utilisateurs banalisés.
Remplacement des mots de passe par des x dans le fichier /etc/passwd. Maintient des autres informations.
Dans le fichier /etc/shadow, une ligne par utilisateur décrit par neuf champs séparés par des ':' :
- login (en clair),
- mot de passe (crypté),
- date de dernière modification du mot de passe (en jours depuis le 1er janvier 1970),
- délai avant la prochaine modification possible après un changement de mot de passe (en jours),
- délai avant l'obligation de changer de nouveau de mot de passe après un changement sinon expiration du compte (en jours),
- délai d'avertissement avant une modification obligatoire,
- délai avant désactivation après une expiration,
- date de désactivation,
- reservé.
Dans le fichier /etc/shadow, désactivation d'un compte par le placement d'un !! devant le mot de passe.
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
dhcp:x:101:101::/nonexistent:/bin/false
syslog:x:102:102::/home/syslog:/bin/false
klog:x:103:103::/home/klog:/bin/false
cupsys:x:100:106::/home/cupsys:/bin/false
messagebus:x:104:107::/var/run/dbus:/bin/false
haldaemon:x:108:108:Hardware abstraction layer,,,:/var/run/hal:/bin/false
hplip:x:105:7:HPLIP system user,,,:/var/run/hplip:/bin/false
nico:x:1000:1000:Nico,,,:/home/nico:/bin/bash |
Exemple de fichier /etc/passwd avec utilisation de shadow
nico : Utilisateur créé à l'installation du système |
root:$1$cJtWmhbX$1iCfb31CvckZiVDeae0Zx.:13383:0:99999:7:::
daemon:*:13383:0:99999:7:::
bin:*:13383:0:99999:7:::
sys:*:13383:0:99999:7:::
sync:*:13383:0:99999:7:::
games:*:13383:0:99999:7:::
man:*:13383:0:99999:7:::
lp:*:13383:0:99999:7:::
mail:*:13383:0:99999:7:::
news:*:13383:0:99999:7:::
uucp:*:13383:0:99999:7:::
proxy:*:13383:0:99999:7:::
www-data:*:13383:0:99999:7:::
backup:*:13383:0:99999:7:::
list:*:13383:0:99999:7:::
irc:*:13383:0:99999:7:::
gnats:*:13383:0:99999:7:::
nobody:*:13383:0:99999:7:::
dhcp:!:13383:0:99999:7:::
syslog:!:13383:0:99999:7:::
klog:!:13383:0:99999:7:::
cupsys:!:13383:0:99999:7:::
messagebus:!:13383:0:99999:7:::
haldaemon:!:13383:0:99999:7:::
hplip:!:13383:0:99999:7:::
nico:$1$tgS/4j6v$D9dP0cyqc6QydDOQDAiPm.:13383:0:99999:7::: |
Fichier /etc/shadow correspondant
au fichier /etc/passwd précédent |
Groupes référencés stockés dans le fichier /etc/group
Une ligne par groupe décrit par quatre champs séparés par des ':' :
- nom du groupe,
- mot de passe (crypté) (généralement il n'y en a pas),
- numéro de groupe (GID),
- liste des utilisateurs (représentés par leurs noms séparés par des virgules).
En cas d'utilisation du masquage shadow, remplacement des mots de passe par un x et utilisation d'un fichier /etc/gshadow
au même format que le fichier /etc/group mais non lisible par tous les utilisateurs.
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:nico
tty:x:5:
disk:x:6:
lp:x:7:cupsys
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:cupsys,nico
fax:x:21:
voice:x:22:
cdrom:x:24:haldaemon,nico
floppy:x:25:haldaemon,nico
tape:x:26:
sudo:x:27:
audio:x:29:nico
dip:x:30:nico
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:nico
sasl:x:45:
plugdev:x:46:haldaemon,nico
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
dhcp:x:101:
syslog:x:102:
klog:x:103:
crontab:x:104:
ssh:x:105:
lpadmin:x:106:nico
messagebus:x:107:
haldaemon:x:108:
slocate:x:109:
scanner:x:110:cupsys,nico
nico:x:1000:
admin:x:111:nico |
Exemple de fichier /etc/group avec utilisation de shadow |
root:*::
daemon:*::
bin:*::
sys:*::
adm:*::nico
tty:*::
disk:*::
lp:!::cupsys
mail:*::
news:*::
uucp:*::
man:*::
proxy:*::
kmem:*::
dialout:!::cupsys,nico
fax:*::
voice:*::
cdrom:!::haldaemon,nico
floppy:!::haldaemon,nico
tape:*::
sudo:*::
audio:*::nico
dip:*::nico
www-data:*::
backup:*::
operator:*::
list:*::
irc:*::
src:*::
gnats:*::
shadow:*::
utmp:*::
video:*::nico
sasl:*::
plugdev:!::haldaemon,nico
staff:*::
games:*::
users:*::
nogroup:*::
dhcp:x::
syslog:x::
klog:x::
crontab:x::
ssh:x::
lpadmin:x::nico
messagebus:x::
haldaemon:x::
slocate:x::
scanner:!::cupsys,nico
nico:!::
admin:!::nico |
Fichier /etc/gshadow correspondant
au fichier /etc/group précédent |
Gestion des utilisateurs
- useradd : Création d'un utilisateur, du répertoire de base associé (avec autorisations) et copie des fichiers de configuration
dans ce répertoire.
Compte créé sans mot de passe et non activé.
- userdel : Suppression d'un utilisateur.
Répertoire de base non supprimé.
- usermod : Modification des caractéristiques d'un utilisateur.
Travail direct possible sur les fichiers /etc/passwd et /etc/shadow.
- pwck : Vérification de la cohérence des fichiers /etc/passwd et /etc/shadow.
Gestion des groupes
- groupadd : Création d'un groupe.
- groupdel : Suppression d'un groupe.
- groupmod : Modification des caractéristiques d'un groupe.
Travail direct possible sur les fichiers /etc/group et /etc/gshadow.
- grpck : Vérification de la cohérence des fichiers /etc/group et /etc/gshadow.
Gestion des mots de passe
- passwd : Modification du mot de passe d'un utilisateur.
Exemple
Création d'un groupe
Création d'un utilisateur en le plaçant dans le groupe
Affectation d'un mot de passe à l'utilisateur
(utilisation des paramètres optionels par défaut)
-
Ligne ajoutée au fichier /etc/passwd:
fermi:x:1001:1001::/home/fermi:/bin/sh
-
Ligne ajoutée au fichier /etc/shadow:
fermi:$1$OiUYxLOq$97N3L1zEHtnjalbwceUyl0:13384:0:99999:7:::
-
Ligne ajoutée au fichier /etc/group:
physiciens:x:1001:fermi
-
Ligne ajoutée au fichier /etc/gshadow:
physiciens:!::fermi
RETOUR
|