La gestion des utilisateurs

Slides:



Advertisements
Présentations similaires
Formation - Fedora et VMware
Advertisements

Active Directory Windows 2003 Server
Samba contrôleur de domaine
Présentation du Stage en Entreprise
GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Implémentation de la gestion de réseau dans Windows 2000 et plus
Chapitre I : Systèmes d’exploitation
Vue d'ensemble Création de comptes d'utilisateurs
Samba ou comment remplacer les serveurs NT
Plan de formation Chapitre 1 : Présentation de SAP
Plan de formation Chapitre 1 : Présentation de SAP
Cours Présenté par …………..
Configuration de Windows Server 2008 Active Directory
Les fonctions.
1 GPA435 Systèmes dexploitation et programmation de système Copyright, 2000 © Tony Wong, Ph.D., ing. Chapitre 5 Interpréteur de commande, Bourne shell,
Les requêtes La Requête est une méthode pour afficher les enregistrements qui répondent à des conditions spécifiques. La requête est donc un filtre.
Active Directory Windows 2003 Server
INTRODUCTION UNIX-LINUX
Développement d’applications web
Page 1 Introduction à ATEasy 3.0 Page 2 Quest ce quATEasy 3.0? n Ensemble de développement très simple demploi n Conçu pour développer des bancs de test.
Formation Centra - GDE.
Contrôles d'accès aux données
Administration de SharePoint
Version 2007Administration système Linux Francis ROARD 1 SYSTEME DEXPLOITATION LINUX Gestion des utilisateurs.
Systèmes d'exploitations
Configuration de Windows Server 2008 Active Directory
1 CLUB DES UTILISATEURS SAS DE QUÉBEC COMMENT TRANSFORMER UN PROGRAMME SAS EN TÂCHE PLANIFIÉE SOUS WINDOWS Présentation de Jacques Pagé STRiCT Technologies.
GESTION DE PARCS D’ORDINATEURS
F Copyright © Oracle Corporation, Tous droits réservés. Créer des programmes avec Procedure Builder.
Module 4 : Création et gestion de comptes d'utilisateur
Création et gestion de comptes d'utilisateur
Authentification LDAP
@SSR – Installation des applications eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur et.
Développer en C avec Eclipse Introduction Création d'un projet Ajout de fichiers Compilation Exécution Utiliser le débogueur Département dinformatique.
802.1x Audric PODMILSAK 13 janvier 2009.
Module 3 : Création d'un domaine Windows 2000
Module 5 : Publication de ressources dans Active Directory
Tâches administratives Préparation LPI - Exam 102 (Sujet 111) Dr W. Barhoumi, Tunisia 1.
Sécurité Informatique Module 05
Tout savoir sur la synchronisation des mails, contacts et calendrier sur Windows Phone Lire cette présentation en mode plein écran.
Le workflow Encadré par: M . BAIDADA Réalisé par: ATRASSI Najoua
Utilisation avancée de linux
Module : Technologies des serveurs réseaux : FTP Dynamic Host Configuration Protocol Présenter par : Mounir GRARI.
Bienvenue sur CAUTIONET l'outil On Line de gestion de caution
Windows NT 4 Formation 8, 15, 31 janvier 2002
CHAPITRE 4 : Gestion des Utilisateurs et Groupes
Active Directory Windows 2003 Server
MonACCÈS Gestion du personnel Guide no 5 Formation initiale Primaire.
Les 10 fonctions principales de votre Espace Membre Comment accéder rapidement aux fonctions importantes de votre compte ?
Outil de gestion des cartes grises
Gérer la sécurité des mots de passe et les ressources
1 ADMINISTRATION LINUX LA GESTION DES UTILISATEURS.
Nouvelles technologies de système de fichiers dans Microsoft Windows 2000 Salim Shaker Ingénieur de support technique Support technique serveur Microsoft.
KIWAPP IS A B2B FULL-STACK APP-MANAGEMENT TOOL KIWAPP EN QUELQUES ETAPES Octobre 2014.
KRIKORIAN Pierre HILMI Brahim
UTILISATION DE MIOGA Patrick LE DELLIOU
GESTION DES UTILISATEURS ET DES GROUPES
Module 3 : Création d'un domaine Windows 2000
AFPA CRETEIL 14-1 Windows NT Environnement des utilisateurs Chapitre 14.
1 Système d’exploitation Les scripts csh 1 ère Année Année Tienté HSU.
Gérer les utilisateurs
Modules d'authentification enfichables (P.A.M.)
En route vers le déploiement . . .
AFPA CRETEIL 5-1 Windows NT Administration des utilisateurs Chapitre 5.
L. Gurret – M. Herve – P. Mignon – J. Prarioz. Introduction  Dernière étape d’analyse  Cahier des charges, spécifications et conception orientée objet.
Master 1 ère année Sécurité des Systèmes Informatique 1 Accès aux systèmes de fichiers  Montage: mount bin etc lib home wallace gromit tmp var spool cron.
FACTORY systemes Module 2 Section 1 Page 2-3 Installation d’Industrial SQL FORMATION InSQL 7.0.
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Samba contrôleur de domaine Linux – Ubuntu Samba
Linux1 Utilisateurs et groupes. ● Le contrôle des utilisateurs et groupes est au coeur de l'administration de système de Linux. ● Utilisateurs : personnes.
Transcription de la présentation:

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Chaque compte est identifié par un User IDentifier (UID) et par un Group IDentifier L’UID est unique et propre à l’utilisateur Un utilisateur peut appartenir à plusieurs groupes UID et GID déterminent l’appartenance, ce qui permet de définir les droits Exemple [ge]$ id uid=500(ge) gid=500(ge) groupes=500(ge)

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Définition des utilisateurs dans /etc/passwd Deux fichiers définissent les comptes utilisateurs /etc/passwd et /etc/shadow root@dm7020:~> more /etc/passwd ge:x:500:500:MARCADE Gerard:/home/ge:/bin/bash Pour des raisons de sécurité, le mot de passe est stocké dans le fichier /etc/shadow Login GID Nom complet Répertoire d’accueil UID Interpréteur de commandes

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Définition des utilisateurs dans /etc/shadow Le fichier /etc/shadow n’est lisible que de son propriétaire, c’est-à-dire root. > tail -1 /etc/shadow ge:$1$UO0h9zgg$HU5q6QI.epP8teQF/EV70.:13815:0:99999:7::: Champs de contrôle de la durée de vie des mots de passe Mot de passe chiffré

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Définition des utilisateurs dans /etc/shadow Le fichier /etc/shadow Nom de login Mot de passe crypté Nombre de jours écoulés depuis le 1er janvier 1970 jusqu'au dernier changement de mot de passe Nombre de jours durant lesquels le mot de passe est encore valide Nombre de jours après lesquels le mot de passe doit être changé Nombre de jours avant l'expiration du mot de passe impliquant l'avertissement de l'utilisateur Nombre de jours après l'expiration provoquant la désactivation du compte Numéro du jour depuis le 1er janvier 1970 à partir duquel le compte a été désactivé Champs réservé

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Définition des utilisateurs dans /etc/shadow Par exemple: désactivation du login francois à partir du 11 novembre 2007 > tail -2 /etc/shadow ge:$1$UO0h9zgg$HU5q6QI.epP8teQF/EV70.:13815:0:99999:7::: francois:$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:0:99999:7::13828: Numéro du jour depuis le 1er janvier 1970 à partir duquel le compte a été désactivé

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Définition des utilisateurs dans /etc/shadow > tail -2 /etc/shadow ge:$1$UO0h9zgg$HU5q6QI.epP8teQF/EV70.:13815:0:99999:7::: francois:$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:5:30:10:2::

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Verrouillage d’un compte utilisateur [root@siemens root]# passwd -l francois Locking password for user francois. passwd: Success [root@siemens root]# tail -2 /etc/shadow ge:$1$UO0h9zgg$HU5q6QI.epP8teQF/EV70.:13815:0:99999:7::: francois:!!$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:5:30:10:2:: [root@siemens root]# passwd -u francois Unlocking password for user francois. passwd: Success. francois:$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:5:30:10:2::

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Définition des groupes dans /etc/group Le fichier /etc/group définit les groupes. # grep francois /etc/group users:x:100:francois Liste des utilisateurs qui appartiennent au groupe groupe GID

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Définition des groupes dans /etc/group La commande groups [root@siemens root]# su - francois [francois@siemens francois]$ groups users [francois@siemens francois]$ exit logout [root@siemens root]# groups root bin daemon sys adm disk wheel

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Squelette de compte utilisateur Le répertoire /etc/skel est un squelette pour la création des comptes utilisateurs Placez dans /etc/skel les fichiers et les sous-répertoires que l’on souhaite copier dans le répertoire d’accueil ($HOME )au moment de la création de l’utilisateur Fichier de configuration du shell Démarrage de certaines applications Raccourcis de l’environnement GNOME ou KDE Lors de la création du compte utilisateur, ces fichiers et sous-répertoires seront copiés dans le répertoire d’accueil du nouvel utilisateur

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Création d’un compte utilisateur Exemple de création du compte alain # useradd -c "Alain GRANGE" -m alain # grep alain /etc/passwd /etc/shadow /etc/group /etc/passwd:alain:x:502:502:Alain GRANGE:/home/alain:/bin/bash /etc/shadow:alain:!!:13815:0:99999:7::: /etc/group:alain:x:502: Création du même compte avec un UID choisi # useradd -c "Alain GRANGE" -m alain –u 566

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Affecter un mot de passe Exemple de création du compte alain # passwd alain Changing password for user alain. New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully. # grep alain /etc/shadow /etc/shadow:alain:$1$IsbdYT6S$1ioYV87WkV6QrcPZQUh5d0:13815:0:99999:7::: Le compte a été déverrouillé

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Création et suppression de groupes Créer un nouveau groupe # groupadd compta Créer un groupe système (GID < 500) # groupadd -r admin Créer un groupe système dont le GID est choisi # groupadd -g 400 admin # tail -1 /etc/group admin:x:400: Supprimer un groupe # groupdel admin

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Modifications d’un compte Créer un nouvel utilisateur en définissant son UID et GID # useradd -c "Frederic LEGOFF" -m fred -u 555 -g 100 Ajouter fred au groupe users # grep users /etc/group users:x:100:francois # usermod -G users fred users:x:100:francois,fred Afficher les caractéristiques d’un utilisateur # id fred uid=555(fred) gid=100(users) groupes=100(users)

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Suppression d’un compte Remplacer l’interpréteur de commandes par un /sbin/nologin # chsh -s /sbin/nologin fred Modification du shell pour fred. Shell a changé.-c "Frederic LEGOFF" -m fred -u 555 -g 100 # grep fred /etc/passwd fred:x:555:100:Frederic LEGOFF:/home/fred:/sbin/nologin Verrouiller le compte # passwd -l fred Locking password for user fred. passwd: Success grep fred /etc/shadow fred:!!:13815:0:99999:7::: Rechercher les fichiers appartenant au compte # find / -user fred /var/spool/mail/fred … Supprimer ou changer la propriété des fichiers du répertoire d’accueil # chown –R alain:alain /home/fred

La gestion des utilisateurs Master 1 ère année Sécurité des Systèmes Informatique La gestion des utilisateurs Suppression d’un compte Vérifier si le compte possède une boîte aux lettres Vérifier si le compte exécute des tâches programmées (cron) Supprimer le compte # userdel fred Par ailleurs, on peut rechercher les fichiers appartenant à des comptes et des groupes qui n’existent plus #userdel fred # find /usr/local/ -nouser -o -nogroup /usr/local/bidon # ls -l /usr/local/bidon -rwxr-xr-x 1 555 users 13696 oct 30 00:32 /usr/local/bidon

Attribution et choix d'un mot de passe Master 1 ère année Sécurité des Systèmes Informatique Attribution et choix d'un mot de passe Tous les comptes doivent avoir un mot de passe La commande passwd sert à donner un mot de passe à un compte Le mot de passe doit être difficile à deviner mais facile à retenir (2+UnTrois T,uqucnd) NON Pas de mot de la langue française (anglaise) Pas de nombre ou de nom familier (n° SS, petite amie,...) Pas de noms de personnages ou de film, ... OUI Insérer des caractères spéciaux ($,&,@,...) Faire des fautes d'orthographe Alterner Maj/Min Insérer un mot dans un autre

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique mots de passe ombres Permet d'éviter les attaques au dictionnaire Utilisation d'un fichier /etc/shadow en lecture seule à la place de /etc/passwd Modification des commandes de bases de manipulation de mots de passe (passwd, ... Offre un ensemble d'outils supplémentaires tel le vieillissement des mots de passe Existence de circonstances défavorables à l'utilisation de mots de passe ombre (N.I.S.)

Commandes et fonctionnement Master 1 ère année Sécurité des Systèmes Informatique Commandes et fonctionnement Les commandes pwconv et pwunconv permettent la traduction Le fichier /etc/login.defs contient les paramètres par défaut pour les champs de vieillissement Veiller à ce que les programmes d'authentification utilisent les mots de passe ombre (ftpd, pop3d, xlock, xdm, su, ...) La commande passwd voit son rôle étendu Verrouiller et déverrouiller des comptes (-l et -u), Définir le nombre de jours de validité d'un mot de passe (-x), Définir le nombre de jours minimum pour le changement de mot de passe (-n), Définir le nombre de jours d'alerte concernant l'expiration d'un mot de passe (-w), Définir le nombre de jours après que le mot de passe soit expiré pour verrouiller le compte (-i), Permettre de voir les informations concernant un utilisateur dans un format clair (-S).

Le fichier login.defs et les commandes automatiques Master 1 ère année Sécurité des Systèmes Informatique Le fichier login.defs et les commandes automatiques L’ensemble de commandes de création, modification et suppression d'utilisateurs (useradd, usermod, userdel) utilise le fichier /etc/login.defs La commande de création useradd manipule le fichier de configuration /etc/default/useradd # more /etc/default/useradd GROUP=100 # Default Group HOME=/home # Home directory location (/home/username) INACTIVE=-1 # Days after password expires to disable account (0=never) EXPIRE=0 # Days that a passwords lasts SHELL=/bin/bash # Default Shell (full path) SKEL=/etc/skel # Skeleton Directory

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique Exemple de login.defs # # Min/max values for automatic gid selection in groupadd GID_MIN 500 GID_MAX 60000 # If defined, this command is run when removing a user. # It should remove any at/cron/print jobs etc. owned by # the user to be removed (passed as the first argument). #USERDEL_CMD /usr/sbin/userdel_local # If useradd should create home directories for users by default # On RH systems, we do. This option is ORed with the -m flag on # useradd command line. CREATE_HOME yes MAIL_DIR /var/spool/mail #MAIL_FILE .mail # Password aging controls: # # PASS_MAX_DAYS Maximum number of days a password may be used. # PASS_MIN_DAYS Minimum number of days allowed # between password changes. # PASS_MIN_LEN Minimum acceptable password length. # PASS_WARN_AGE Number of days warning given before # a password expires. PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 # Min/max values for automatic uid selection in useradd UID_MIN 500 UID_MAX 60000

Rappel sur les fichiers Master 1 ère année Sécurité des Systèmes Informatique Rappel sur les fichiers /etc/passwd - information sur les comptes utilisateurs /etc/shadow - information sécurisée sur les comptes utilisateurs /etc/group - information de groupes /etc/default/useradd - information par défaut /etc/login.defs - réglages globaux du système /etc/skel - répertoire contenant les fichiers utilisés par le programme useradd

Vérification de cohérence Master 1 ère année Sécurité des Systèmes Informatique Vérification de cohérence pwck vérifie la cohérence des mots de passe Le nombre correct de champs, nom unique, nom et groupe valide, groupe primaire valide, répertoire d'accueil valide, shell valide. Exemple : # pwck /etc/passwd utilisateur adm : le répertoire /var/adm n'existe pas utilisateur gopher : le répertoire /var/gopher n'existe pas utilisateur wnn : le répertoire /home/wnn n'existe pas pwck: no changes

Vérification de cohérence Master 1 ère année Sécurité des Systèmes Informatique Vérification de cohérence grpck vérifie la cohérence des groupes Le nombre correct de champs, unicité du nom de groupe, validité de la liste des membres et des administrateurs. Exemple : # grpck /etc/group

Authentification centralisée Master 1 ère année Sécurité des Systèmes Informatique Authentification centralisée LDAP ((Lightweight Directory Access Protocol) LDAP est un ensemble de protocoles pour accéder aux services d'annuaires Possibilité de définir un annuaire d’utilisateurs Configuration de l’authentification à l’aide de PAM NIS (Network Information Service) NIS est un système qui fournit des informations sur le réseau (noms d'ouverture de session, mots de passe, répertoires personnels, informations sur les groupes) à tous les ordinateurs d'un réseau. NIS a été développé par SUN et à l'origine s'appelait YP (Yellow Pages). Yellow Page étant une marque déposé par British Telecom, SUN fut contraint d'utiliser un autre nom: NIS. Radius FreeRADIUS est un service d’authentification (daemon) qi omplémente le protocole RADIUS Il permet différentes authentifications Des clients RADIUS sont disponibles pour serveur Web, pare-feu, compte Unix, etc…