Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parClaudette Delhaye Modifié depuis plus de 10 années
1
Tâches administratives Préparation LPI - Exam 102 (Sujet 111) Dr W. Barhoumi, Tunisia 1
2
Sommaire 111.1 Gestion des utilisateurs et des groupes 111.2 Variables et environnement utilisateurs 111.3 Gestion des journaux 111.4 Automatisation des tâches 111.5 Outils et stratégies de sauvegarde 111.6 Gestion de l'heure système 2
3
111.1 Gestion des utilisateurs et des groupes 111.1 Manage users and group accounts and related system files Description: Candidate should be able to add, remove, suspend and change user accounts. Tasks include to add and remove groups, to change user/group info in passwd/group databases. The objective also includes creating special purpose and limited accounts. Weight: 4 Key files, terms, and utilities include: /etc/passwd /etc/shadow /etc/group /etc/gshadow chage gpasswd groupadd groupdel groupmod grpconv grpunconv passwd pwconv pwunconv useradd userdel usermod 3
4
111.1 Gestion des utilisateurs et des groupes Utilisateurs : un compte par utilisateur - définit son identification dans le système - définit son environnement Les informations des utilisateurs sont stockées dans le fichier /etc/passwd Les utilisateurs - des personnes, avec des comptes attachés à des utilisateurs physiques - des utilisateurs système crées notamment par le système lors de son installation le système a besoin d'utilisateurs pour sa gestion interne, notamment comme propriétaire des divers processus 4
5
111.1 Gestion des utilisateurs et des groupes Dans un environnement multiutilisateurs, il est nécessaire d'utiliser des mots de passe masqués - séparation de passwd en passwd+shadow Sécurité des fichiers d'authentification du système se voit accrue - shadow lisible que par root, alors que passwd est lisible par tous - pour cette raison, la plupart des Unix active des mots de passe masqués par défaut 5
6
111.1 Gestion des utilisateurs et des groupes /etc/passwd : infos sur les comptes users - one account per line. Fields are separated by ':'. format: username : x : userID : GroupID : UserInfo : HomeDir : Shell x = reference to /etc/shadow, empty =no password, * or ! = no login possible 6
7
111.1 Gestion des utilisateurs et des groupes 7
8
champ 1 : login - Nom sous lequel un ordinateur connaît un individu - 8 caractères en général (plus sous Linux) - Conseils : pas de majuscules, éviter les caractères accentués, plutôt des lettres minuscules, des chiffres et caractère «-» champ 2 : mot de passe - Mot de passe chiffré ou « x » si le mot de passe est stocké dans le fichier /etc/shadow - chiffrement non réversible 8
9
111.1 Gestion des utilisateurs et des groupes champ 3 : UID - identificateur unique compris entre 0 et 32767 (ou 65432 selon les UN*X) - 0 : uid de root - 1 à 99 : généralement les comptes systèmes champ 4 : GID - identificateur unique du groupe de l'utilisateur compris entre 0 et 32767 (ou 65432 selon les UN*X) [aoi@test]$ ls -l exemple.txt - rw-r--r-- 1 franck franck 40 mar 26 15:12 exemple.txt [aoi@test]$ ls -ln exemple.txt -rw-r--r-- 1 500 500 40 mar 26 15:12 exemple.txt 9
10
111.1 Gestion des utilisateurs et des groupes champ 5 : gecos - Identité en clair de l'utilisateur - on peut y stocker d'autres données : n° de tel, bureau, date de sortie, … - la commande « chfn » permet de modifier ce champs champ 6 : répertoire home - répertoire personnel par défaut - /root par défaut pour root champ 7 : shell par défaut - chemin absolu du shell par défaut - si champ vide : /bin/sh par défaut - /bin/false : connection impossible 10
11
/etc/shadow 11
12
111.1 Gestion des utilisateurs et des groupes Groupes Les permissions établissent deux relations avec les fichiers - avec un utilisateur propriétaire - avec un seul groupe Les permissions relatives à un groupe s'appliquent à tous les utilisateurs du groupe Pour visualiser la liste des groupes : - visualiser le contenu du fichier /etc/group - plus généralement, utiliser la commande getent qui recherchera la liste des groupes en fonction de votre architecture d'authentification (fichier /etc/group, NIS, LDAP) 12
13
111.1 Gestion des utilisateurs et des groupes useradd [options] user - créer un compte utilisateur sur le système - adduser : lien symbolique sur useradd - un mot de passe doit être défini soit avec la commande passwd soit avec l'option p options courantes : - c "comment " champ GECOS – commentaires - D liste (avec possibilité de modification) des valeurs par défaut - g groupe initial - d répertoire utilisateur - p mot de passe (attention le mot de passe n'est pas chiffré !) - m création du répertoire personnel et des fichiers par défaut -e date dexpiration du compte -s nom et chemin du shell 13
14
111.1 Gestion des utilisateurs et des groupes 14
15
111.1 Gestion des utilisateurs et des groupes usermod [options] user - modifie les informations d'un compte utilisateur - accepte les mêmes options que la commande useradd - ne pas modifier l'uid pendant que l'utilisateur exécute une application options particulières : - L bloque le mot de passe invalide le compte - U débloque le mot de passe [root@ ~]# grep bob /etc/passwd bob:x:501:502::/home/bob:/bin/bash [root@ ~]# usermod g market bob [root@ ~]# grep bob /etc/passwd bob:x:501:20000::/home/bob:/bin/bash 15
16
111.1 Gestion des utilisateurs et des groupes userdel [options] user - Supprime un compte - Attention aux objets appartenant au compte - Solution plus souple : désactiver le compte (chage, usermod, passwd) options particulières : - r supprime également le home directory 16
17
111.1 Gestion des utilisateurs et des groupes Changement du mot de passe : la commande « passwd » par un utilisateur standard [mc2test@localhost]$ passwd Changing password for user mc2test. Changing password for mc2test (current) UNIX password: New UNIX password: BAD PASSWORD: it is based on a (reversed) dictionary word New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully. par root [root@localhost ~]# passwd mc2test Changing password for user mc2test. New UNIX password: BAD PASSWORD: it is based on a dictionary word Retype new UNIX password: passwd: all authentication tokens updated successfully. Characters allowed in passwords are : # *,. ; : _ - + ! $ % & / | ? { [ ( ) ] } 17
18
111.1 Gestion des utilisateurs et des groupes passwd [options] [user] - Supprime un compte - Attention aux objets appartenant au compte - Solution plus souple : désactiver le compte (chage, usermod, passwd) options particulières : -l bloque le compte (ajout du prefixe ! au password) - u débloque le compte - d désactive le mot de passe (déinit le compte comme sans mot de passe) - f force un mot de passe vide - S donne des infos sur le passwd d'un compte -e lutilisateur sera forcé à changer son password lors du prochaine connexion -n min -x max # passwd -S user1 user1 PS 2007-12-02 0 99999 7 -1 (Password set, MD5 crypt.) 18
19
111.1 Gestion des utilisateurs et des groupes chage [options] [user] - Gestion des informations de validité du mot de passe - Attention aux objets appartenant au compte - Solution plus souple : désactiver le compte (chage, usermod, passwd) options particulières : -E fixe la date de fin de validité (format AAAA-MM-JJ). Valeur -1 pour supprimer la date de fin de validité -i fixe le nbre de jours d'inactivité après dépassement de la date de fin de validité avant blocage du compte -l affiche les informations sur l'âge du password -m nbre min de jours avant modification du password -M nbre max de jours de validité du password -W nbre de jours d'avertissement avant changement obligatoire Toutes les valeurs par défaut de validité du compte sont définies dans le fichier /etc/login.defs (voir son contenu) 19
20
111.1 Gestion des utilisateurs et des groupes Commandes liées à la gestion des utilisateurs et groupes - id : renvoie l'UID, les GID primaires et secondaires de l'utilisateur [franck@localhost 2007]$ id uid=500 (franck) gid=500(franck) groupes=500(franck) - groups [user] : renvoie les groupes auxquels appartient l'utilisateur [franck@localhost 2007]$ groups franck - su [-] user : changer d'identité - demande du mot de passe si pas root - option - : le shell devient un shell de login - sans utilisation de l'option «-» : pas de shell de login donc certaines variables d'environnement (PATH par exemple, homedir ) ne sont pas mise à jour 20
21
111.1 Gestion des utilisateurs et des groupes 21 Pour quitter l'identité acquise (en fait c'est un nouveau processus shell qui s'exécute sous le compte d'un autre utilisateur) : exit
22
111.1 Gestion des utilisateurs et des groupes Avec utilisation de l'option «-» : utilisation d'un shell de login 22 Pour devenir root su - su - root Lorsque root lance la commande su, pas de mot de passe nécessaire
23
111.1 Gestion des utilisateurs et des groupes Groupes primaires et secondaires Un groupe peut être primaire pour un utilisateur et secondaire pour un autre Groupe primaire : groupe associé à un utilisateur après son authentification - tout fichier crée par l'utilisateur prendra le GID du groupe primaire de l'utilisateur comme identifiant de groupe - Le groupe primaire est défini dans la table passwd Groupe secondaire : groupes supplémentaires auxquels appartient l'utilisateur - Les groupes secondaires sont définis dans la table group La table group permet de définir les groupes secondaires et d'y associer un GID - 4 champs : group : mot de passe : GID : membres (nom du groupe, mot de passe du groupe (généralement vide), identificateur unique du groupe (GID),membres du groupe séparés par des virgules) 23
24
111.1 Gestion des utilisateurs et des groupes Il est possible, bien que peu courant, d'associer un mot de passe à un groupe En fonction de la méthode d'authentification, des informations complémentaires sont ajoutées. Dans le cas d'une gestion des groupes via le fichier /etc/group les mot de passe de groupe sont stockés dans le fichier /etc/gshadow. On y trouve : champ 1 : l'identifiant du groupe, champ 2 : mot de passe du groupe chiffré, champ 3 : utilisateurs habilités à administrer le groupe, champ 4 : membres du groupe séparés par des virgules Commandes de gestion des groupes groupadd : crée un groupe sur le système options courantes : -g gid : définit l'identifiant de groupe (gid). Doit être unique. [root@ ~]# groupadd -g 20000 market [root@ ~]# grep market /etc/group market:x:20000: Commandes associées : groupmod et groupdel Possibilité de modifier manuellement le fichier /etc/group : vi ou vigr 24
25
111.1 Gestion des utilisateurs et des groupes Vérifier l'appartenance à un groupe - groups : affiche les groupes auxquels l'utilisateur appartient [root@localhost ~]# groups root bin daemon sys adm disk wheel - id : affiche l'identité de l'utilisateur [root@localhost ~]# id uid=0(root) gid=0(root) groupes=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) Vérifier la cohérence des fichiers /etc/group et /etc/shadow : grpck [root@localhost ~]# grpck aucune entrée correspondante dans le fichier de groupe /etc/gshadow ajouter le groupe « test1 » dans /etc/gshadow 25
26
111.1 Gestion des utilisateurs et des groupes Ajouter des utilisateurs à un groupe - usermod -G groupe1 [,groupe2,...] user - directement en paramètre à la création de l'utilisateur - en modifiant manuellement /etc/group [root@localhost ~]# groupadd usertest [root@localhost ~]# getent group | grep usertest usertest:x:503: [root@localhost ~]# id test uid=501(test) gid=501(test) groupes=501(test) [root@localhost ~]# usermod -G usertest test [root@localhost ~]# id test uid=501(test) gid=501(test) groupes=501(test),503(usertest) 26
27
111.1 Gestion des utilisateurs et des groupes Faire appartenir un fichier à un groupe - chrgrp - chown user:groupe - Pour que cela fonctionne : il faut être root ou appartenir au groupe [franck@localhost ~]$ ls –l fictest -rw-rw-r--1 franck franck 0 mar 14 11:45 fictest [franck@localhost ~]$ id uid=500(franck) gid=500(franck) groupes=500(franck),503(usertest) [franck@localhost ~]$ chgrp usertest fictest [franck@localhost ~]$ ls –l fictest -rw-rw-r-- 1 franck usertest 0 mar 14 11:45 fictest 27
28
111.1 Gestion des utilisateurs et des groupes Changer les permissions de groupe d'un fichier : chmod Permissions spéciales pour un groupe : - setgid bit s'il s'agit d'un fichier : s'il est positionné pour un fichier exécutable, le processus lancé aura l'identifiant de groupe du fichier à la place de celui de l'utilisateur - setgid bit s'il s'agit d'un répertoire : les fichiers crées dans le répertoire auront pour groupe celui du répertoire et non celui de l'utilisateur qui les crée 28
29
111.1 Gestion des utilisateurs et des groupes 29
30
111.1 Gestion des utilisateurs et des groupes Modifier temporairement le groupe primaire - newgrp - équivalent à la commande su pour les groupes - newgrp - : l'option «-» réinitialise l'environnement utilisateur - permet de changer de groupe primaire en lançant un nouveau shell 30 Les groupes standards Ils sont prédéfinis à l'installation de la distribution (Il ne faut évidemment pas supprimer ces groupes) root : tous les droits adm : administratif avec droits spéciaux lp : lié aux impressions sync : lié à la synchronisation du système shutdown : lié à l'arrêt du système ….
31
111.1 Gestion des utilisateurs et des groupes pwconv : Crée un fichier shadow à partir d'un fichier passwd et d'un fichier shadow s'il existe pwunconv : Crée un fichier passwd à partir d'un fichier shadow et d'un fichier passwd puis supprime shadow grpconv : Crée un fichier gshadow à partir d'un fichier group et d'un fichier gshadow s'il existe grpunconv : Crée un fichier group à partir d'un fichier gshadow et d'un fichier group puis supprime gshadow /var/run/utmp : Fichier qui stocke les informations concernant les accès utilisateurs en cours /var/log/wtmp : Fichier contenant l'historique des connexions et déconnexions utilisateurs, les arrêts et reboots du système last : Affiche les dernières connexions. Récupère l'info depuis /var/log/wtmp who et users : Affiche qui est connecté sur le système. Récupère l'info depuis /var/run/utmp gpasswd (/etc/gshadow : groupe passwords) : Par ladministrateur du groupe (sil existe) sg group -c command : Runs a command as participant of the given group and returns to normal after the command finishes. …. 31
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.