¶ Introduction
Linux, en tant que système d'exploitation multi-utilisateurs, offre un système robuste de gestion des utilisateurs et des groupes qui constitue un élément fondamental de sa structure de sécurité.
Dans l'environnement Linux, chaque utilisateur possède une identité unique représentée par un nom d'utilisateur et un identifiant numérique (UID). Cette identité détermine ses privilèges, ses ressources accessibles et son espace personnel sur le système.
La gestion des utilisateurs s'articule autour de plusieurs concepts clés :
- Comptes utilisateurs : Chaque personne utilisant le système possède son propre compte, avec ses fichiers personnels et ses paramètres.
- Groupes : Les utilisateurs sont organisés en groupes pour faciliter l'attribution collective de permissions.
- Répertoire personnel : Chaque utilisateur dispose d'un espace dédié (/home/nom_utilisateur) pour ses fichiers personnels.
- Permissions : Le système contrôle précisément ce que chaque utilisateur peut voir et modifier.
- Superutilisateur (root) : Un compte spécial avec des privilèges étendus pour l'administration système.
Le but de la gestion des utilisateurs est :
- Assurer l’indépendance des utilisateurs.
- Protéger contre les accès indésirables.
- Distinguer les utilisateurs.
Pour répondre à ces impératifs, un nom d’utilisateur (login) est affecté à chaque personne qui doit travailler sur un ordinateur.
- Chaque utilisateur est doté d’un numéro d’utilisateur unique (User Identification, UID).
- Chaque utilisateur doit appartenir à un groupe et posséder un numéro de groupe (Group Identification, GID).
- Les groupes servent à regrouper les utilisateurs possédant des besoins communs.
¶ Root
Le compte root (ou superutilisateur) représente l'autorité ultime dans un système Linux. Voici une vue d'ensemble de ses caractéristiques essentielles :
¶ Nature et privilèges
- Pouvoir absolu : Le compte root peut accéder à tous les fichiers, exécuter tous les programmes et modifier n'importe quel paramètre système.
- UID 0 : Root est toujours identifié par l'identifiant utilisateur 0, ce qui lui confère automatiquement des privilèges spéciaux.
- Contournement des restrictions : Root ignore les limitations de permissions standard qui s'appliquent aux utilisateurs ordinaires.
¶ Utilisation et sécurité
- Principe du moindre privilège : Les systèmes modernes découragent l'utilisation directe de root pour les tâches quotidiennes.
- sudo : Permet aux utilisateurs autorisés d'exécuter des commandes spécifiques avec les privilèges root sans se connecter en tant que root.
- Élévation temporaire : La commande
supermet de basculer temporairement vers le compte root. - La commande su – nomutilisateur permer de changer d’utilisateur dans le même terminal
- Exemple :
- Éditer le contenu du fichier /etc/passwd.
- sudo nano /etc/passwd
- su – toto (change pour l’utilisateur toto)
- Exemple :
¶ Risques et protections
- Danger potentiel : Une erreur en tant que root peut endommager gravement le système.
- Restrictions d'accès : De nombreuses distributions désactivent la connexion directe à root par défaut.
- Journalisation : Les actions effectuées avec les privilèges root sont généralement enregistrées pour des audits de sécurité.
¶ Philosophie
Dans l'écosystème Linux, le compte root incarne la philosophie Unix du contrôle total mais tempéré par la responsabilité. Sa puissance illustre parfaitement le principe fondamental "avec de grands pouvoirs viennent de grandes responsabilités", encourageant une utilisation réfléchie et prudente des privilèges d'administration.
¶ Commandes pour la gestion des utilisateurs et des groupes
UTILISATEUR
- adduser, ajoute un compte utilisateur.
- deluser, détruit un compte utilisateur.
- usermod, modifie des comptes utilisateur:
- sudo usermod -d /new/home/directory username
- sudo usermod -L username
- passwd, changement du mot de passe.
GROUPE
- groupadd, ajout d'un groupe.
- groupdel, suppression d’un groupe.
- groupmod, changement des propriétés d’un groupe.
- newgrp, modification de l’appartenance à un groupe.
¶ Le fichier /etc/passwd
Le fichier /etc/passwd est l'un des fichiers de configuration les plus fondamentaux dans les systèmes Linux et Unix. Il contient les informations essentielles sur tous les comptes utilisateurs du système.
Ce fichier texte, lisible par tous les utilisateurs, stocke chaque compte sur une ligne distincte avec sept champs séparés par des deux-points (:) :
- Nom d'utilisateur : L'identifiant unique utilisé pour se connecter
- Mot de passe : Marqué par un 'x' dans les systèmes modernes (le vrai mot de passe chiffré est dans
/etc/shadow) - UID : Identifiant numérique unique de l'utilisateur
- GID : Identifiant du groupe principal de l'utilisateur
- Commentaire : Informations descriptives (généralement le nom complet)
- Répertoire personnel : Emplacement du dossier personnel de l'utilisateur
- Shell : Interpréteur de commandes par défaut
Exemple d'entrée :
pablo:x:1001:1001:Pablo TheKing:/home/pablo:/bin/bash
- Le fichier /etc/passwd contient toutes les informations relatives aux utilisateurs.
- Seul le l’administrateur (root) peut modifier ce fichier.
- Le format de chaque ligne est le suivant:
Bien que critique pour le fonctionnement du système, le fichier /etc/passwd ne contient plus directement les mots de passe des utilisateurs dans les distributions modernes pour des raisons de sécurité. Cette fonction a été déléguée au fichier /etc/shadow, accessible uniquement par root.
La manipulation directe de ce fichier est généralement déconseillée - il est préférable d'utiliser les commandes dédiées comme useradd, usermod et passwd pour gérer les comptes utilisateurs.
¶ Le fichier /etc/group
Le fichier /etc/group est un composant essentiel du système de gestion des utilisateurs sous Linux. Il stocke les informations sur tous les groupes définis dans le système, permettant l'organisation collective des permissions et des privilèges.
Ce fichier texte lisible contient une ligne par groupe, avec quatre champs séparés par des deux-points (:) :
- Nom du groupe : L'identifiant textuel du groupe
- Mot de passe : Rarement utilisé, généralement marqué par un 'x' (le vrai mot de passe est dans
/etc/gshadow) - GID : Identifiant numérique unique du groupe
- Liste des membres : Utilisateurs appartenant à ce groupe, séparés par des virgules
Exemple d'entrée :
developers:x:1003:pablo,theking,aliceLe format de chaque ligne est le suivant:
Le fichier /etc/group fonctionne en tandem avec /etc/passwd pour définir la structure complète des permissions du système. Chaque utilisateur a un groupe principal (défini dans /etc/passwd) et peut appartenir à plusieurs groupes supplémentaires (définis dans /etc/group).
Pour des raisons de sécurité et de cohérence, il est recommandé de modifier ce fichier via les commandes dédiées comme groupadd, groupmod et usermod plutôt que par édition directe.
¶ Le fichier /etc/shadow
Le fichier /etc/shadow est un élément crucial de la sécurité des systèmes Linux modernes. Il a été introduit pour renforcer la protection des mots de passe qui étaient autrefois stockés dans le fichier /etc/passwd accessible à tous.
Contrairement à /etc/passwd, le fichier /etc/shadow est uniquement accessible par l'utilisateur root et les processus privilégiés, offrant ainsi une couche de sécurité supplémentaire. Il stocke les informations sensibles relatives aux mots de passe des utilisateurs sous forme chiffrée.
Chaque entrée du fichier contient neuf champs séparés par des deux-points (:) :
- Nom d'utilisateur : Correspond à celui dans
/etc/passwd - Mot de passe chiffré : Une chaîne de caractères complexe incluant l'algorithme de hachage utilisé
- Date de dernière modification : Nombre de jours depuis le 1er janvier 1970
- Âge minimum : Jours requis avant de pouvoir changer le mot de passe
- Âge maximum : Jours avant expiration obligatoire du mot de passe
- Période d'avertissement : Jours d'avertissement avant expiration
- Période d'inactivité : Jours après expiration avant désactivation du compte
- Date d'expiration : Date absolue d'expiration du compte
- Champ réservé : Pour usage futur
Exemple d'entrée (tronquée) :
La manipulation directe de ce fichier est fortement déconseillée - les commandes comme passwd, chage et usermod doivent être utilisées pour modifier les informations relatives aux mots de passe de manière sécurisée.
¶ Exercice
1- Créez deux nouveaux utilisateurs : "Pablo" et "TheKing".
sudo adduser Pablo
sudo adduser TheKing
sudo useradd TheGod2- Créez un groupe nommé "GroupeABC".
sudo groupadd GroupeABC3- Ajoutez "Pablo" et "TheKing" au groupe "GroupeABC".
sudo usermod -a -G GroupeABC Pablo
sudo usermod -a -G GroupeABC TheKing4- Créez un dossier nommé "myfolder" dans le répertoire personnel de "Pablo" et définnissez Pablo comme propriétaire du répertoire (hint: commande chown)
sudo mkdir /home/Pablo/myfolder
sudo chown Pablo:Pablo /home/Pablo/myfolder5- Modifiez les permissions du dossier "myfolder" de sorte que le groupe "GroupeABC" ait le droit d'écriture sur le dossier.
sudo chgrp GroupeABC /home/Pablo/myfolder
sudo chmod g+w /home/Pablo/myfolder6- Connectez-vous en tant que "TheKing" et vérifiez que vous pouvez accéder au dossier "myfolder".
su - TheKing
cd /home/Pablo/myfolderNote: Vous devriez pouvoir y accéder car TheKing fait partie du groupe GroupeABC qui a des droits d'écriture.
7- Connectez-vous à nouveau en tant que "Pablo".
su - Pablo8- Créez un fichier dans le dossier "myfolder".
touch ~/myfolder/myfile.txt
echo "Contenu test" > ~/myfolder/myfile.txt9-Modifiez les propriétés du fichier de sorte que "TheKing" puisse le lire mais pas l'écrire.
chgrp GroupeABC ~/myfolder/myfile.txt
chmod 640 ~/myfolder/myfile.txtNote: 640 signifie que le propriétaire peut lire/écrire (6), le groupe peut lire (4), et les autres n'ont aucun droit (0).
10- Connectez-vous à nouveau en tant que "TheKing" et essayez de lire le fichier avec nano.
su - TheKing
nano /home/Pablo/myfolder/myfile.txt