Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Red Hat Enterprise Linux - CentOS
  3. Gestion des utilisateurs et des groupes
Extrait - Red Hat Enterprise Linux - CentOS Mise en production et administration de serveurs (4e édition)
Extraits du livre
Red Hat Enterprise Linux - CentOS Mise en production et administration de serveurs (4e édition) Revenir à la page d'achat du livre

Gestion des utilisateurs et des groupes

Utilisateurs et groupes

La gestion des utilisateurs est un élément clé de l’administration d’un serveur Red Hat Enterprise Linux.

En effet, sous Linux, tout est fichier. Des fichiers réels à l’état du processeur et de la mémoire, en passant par les périphériques, tout est représenté d’une manière ou d’une autre sous la forme de fichiers. Ainsi, gérer qui a accès à ces fichiers et comment est une tâche essentielle qu’il faut comprendre et maîtriser.

1. Utilisateurs, groupes et fichiers

a. Utilisateurs, groupes et rôles

Les utilisateurs peuvent être des personnes réelles ou des applications. Les personnes réelles se connectent à la machine, manipulent des fichiers, lancent des programmes. Les applications exécutent des tâches sur la machine, par exemple un travail de service, qui consiste à répondre à des requêtes, ou des tâches de maintenance. Autant les utilisateurs réels que les applications manipulent des fichiers, et possèdent donc un compte sur la machine.

Les groupes sont des ensembles d’utilisateurs, réels ou applicatifs, regroupés dans un but commun.

Bien sûr, comme les machines travaillent avec des chiffres, les comptes utilisateurs et groupes se voient attribuer des numéros :

  • Un userid (identifiant d’utilisateur), UID : le numéro de compte d’un utilisateur.

  • Un groupid (identifiant de groupe), GID : le numéro de compte d’un groupe.

Différents rôles

Sur les systèmes d’exploitation UNIX/Linux en général, il faut distinguer un utilisateur spécial : l’administrateur de la machine, qui a un compte appelé root avec un userid 0 (zéro).

L’utilisateur root a tout pouvoir...

Droits sur les fichiers et répertoires

1. Présentation

Sur les systèmes UNIX/Linux, l’accès aux fichiers est la combinaison de deux types d’éléments :

  • Comment on accède aux fichiers (et répertoires) : cela est défini par des droits, ou permissions :

  • Lecture (symbolisé par la lettre r, read).

  • Écriture (symbolisé par la lettre w, write).

  • Exécution (symbolisé par la lettre x, execute).

  • Qui accède aux fichiers : pour chaque fichier et répertoire, ces droits sont définis pour trois catégories d’utilisateurs :

  • L’utilisateur propriétaire (symbolisé par la lettre u, user) : c’est le propriétaire du fichier.

  • Le groupe propriétaire (symbolisé par la lettre g, group) : tous les utilisateurs membres de ce groupe auront les droits d’accès définis pour ce groupe.

  • Les autres utilisateurs (symbolisés par la lettre o, others) : ceux qui ne sont ni utilisateur propriétaire, ni membres du groupe propriétaire.

Qu’il s’agisse d’un fichier ou d’un dossier, les droits lecture, écriture, ou exécution, ne font pas le même type d’action. Cela est développé dans la suite de ce chapitre.

2. Afficher les droits

Pour afficher les droits positionnés sur des fichiers et répertoires, utilisez la commande suivante :

ls -l 

Cette commande vous renvoie ce type de résultat :

[root@cobb etc]# ls -l 
-rw-r--r--.  1 root root    813 24 août  22:55 yum.conf 
drwxr-xr-x.  2 root root   4096 24 août  22:55 yum.repos.d 

Ce résultat contient plusieurs informations intéressantes :

  • Type de fichier : la toute première lettre à gauche décrit...

Gestion avancée des disques et des utilisateurs

1. Quotas de disque par utilisateur ou groupe

L’utilisation de l’espace disque peut être contrôlée par l’administrateur. Il peut fixer des limites pour certains utilisateurs et groupes, et être averti en cas de saturation du disque.

Il est par exemple possible de définir l’espace utilisé par les utilisateurs pour leurs fichiers personnels, e-mails, documents, etc. et l’espace utilisé par un groupe, pour un projet.

La gestion des quotas se configure sur chaque partition. Cela illustre nettement l’intérêt de mettre en place un partitionnement adapté à l’utilisation du serveur dans l’entreprise.

Par exemple, pourquoi ne pas mettre le répertoire /home dans une partition séparée avec des quotas utilisateurs, et le reste du système sans quota ?

La mise en place de quotas passe par les étapes suivantes :

  • Activer le mécanisme de quotas pour la partition dans /etc/fstab et remontage de la partition.

  • Analyser l’utilisation du disque et générer une base de quotas.

  • Assigner des quotas aux utilisateurs et aux groupes.

  • Activer les quotas.

a. Activation des quotas sur les systèmes de fichiers

Pour activer les quotas sur une partition, il faut éditer le fichier /etc/fstab et ajouter les options usrquota et grpquota pour le système de fichiers concerné (séparées par des virgules).

Par exemple :

/dev/sdb2     /home    ext4    defaults,usrquota,grpquota    1 1 

Il faut ensuite remonter la partition. On peut utiliser mount avec l’option -o remount qui démonte et remonte dans la foulée. On vérifie ensuite que la partition est bien remontée avec les nouvelles options.

Par exemple :...

Autres types d’authentification

1. PAM : modules d’authentification

a. Introduction

PAM (Pluggable Authentication Modules, modules d’authentification branchables) vient de la nécessité de faire évoluer de manière souple les moyens d’authentification du système Linux.

Au départ, les méthodes d’authentification étaient statiques : la procédure d’authentification par mot de passe était écrite directement dans les programmes. 

Lorsque d’autres méthodes d’authentification sont apparues, cela est devenu un problème. Il a fallu mettre en place une méthode dynamique d’intégration de nouveaux moyens d’authentification.

Même si l’administrateur doit rarement intervenir dans PAM, il est utile d’en connaître le fonctionnement.

b. Fonctionnement

PAM est une interface entre les programmes nécessitant l’authentification, et les moyens d’authentification :

1. Les programmes s’adressent à PAM avec des fonctions standardisées.

2. PAM convertit ces requêtes en fonction des types d’authentification qui sont configurés.

3. Les programmes nécessitant l’authentification adressent à PAM des requêtes entrant dans quatre catégories (quatre mécanismes) :

  • auth : assurer l’authentification réelle, éventuellement en demandant et en vérifiant un mot de passe, et définir des « certificats d’identité » tels que l’appartenance à un groupe ou des « tickets » kerberos.

  • account : vérifie si le compte demandé est disponible (si le compte n’est pas arrivé à expiration, si l’utilisateur est autorisé à se connecter à cette heure...

Sécurité de l’administration : sudo

1. Présentation

L’utilisateur root est l’administrateur de la machine. Il possède tous les droits, peut faire ce qu’il veut sur la machine, comme supprimer des fichiers en lecture seule. Nous comprenons là toute la prudence dont il faut faire preuve lorsque l’on endosse les droits d’administrateur, en faisant un su - par exemple.

Cependant, les droits d’administrateur sont parfois malmenés. Il existe deux pratiques dangereuses en entreprise qu’il faut éviter :

  • Utiliser le compte root pour toutes les tâches, même pour des tâches qui reviennent à un utilisateur :

  • Beaucoup d’administrateurs utilisent le compte root comme leur compte personnel, ou pire, se connectent à l’interface graphique en tant qu’utilisateur root.

  • Les erreurs de manipulation ne sont pas rares, et lorsqu’elles sont effectuées en tant que root, elles peuvent être dévastatrices pour le système.

  • Distribuer le mot de passe du compte root à tous ceux qui ont besoin d’effectuer des tâches d’administration sur le serveur :

  • Les tâches d’administration nécessitent parfois plusieurs intervenants.

  • Certaines personnes ont parfois besoin de lancer des commandes ou d’accéder à des fichiers qui sont réservés à l’administrateur.

  • Une solution : jouer sur les permissions sur les fichiers, et sur les listes de contrôle d’accès (le plus temporairement possible).

  • Mais on n’a parfois pas le choix : il faut donner le mot de passe root.

  • La règle suivante s’applique : « la sécurité d’un mot de passe est inversement proportionnelle au nombre de personnes qui le connaissent ». En fait, distribuer le mot de passe...