Master 1 ère année Sécurité des Systèmes Informatique 1 La gestion des utilisateurs Chaque...

Master 1 ère année Sécurité des Systèmes

Informatique


Informatique

11

La gestion des utilisateursLa gestion des utilisateursChaque compte est identifié par un User

IDentifier (UID) et par un Group IDentifierL’UID est unique et propre à l’utilisateurUn utilisateur peut appartenir à plusieurs

groupesUID et GID déterminent l’appartenance, ce qui

permet de définir les droits

Exemple[ge]$ id

uid=500(ge) gid=500(ge) groupes=500(ge)

Chaque compte est identifié par un User IDentifier (UID) et par un Group IDentifierL’UID est unique et propre à l’utilisateurUn utilisateur peut appartenir à plusieurs

groupesUID et GID déterminent l’appartenance, ce qui

permet de définir les droits

Exemple[ge]$ id

uid=500(ge) gid=500(ge) groupes=500(ge)


Informatique


Informatique

22

La gestion des utilisateursLa gestion des utilisateurs

Deux fichiers définissent les comptes utilisateurs /etc/passwd et /etc/shadow

root@dm7020:~> more /etc/passwdge:x:500:500:MARCADE Gerard:/home/ge:/bin/bash

Pour des raisons de sécurité, le mot de passe est stocké dans le fichier /etc/shadow

Deux fichiers définissent les comptes utilisateurs /etc/passwd et /etc/shadow

root@dm7020:~> more /etc/passwdge:x:500:500:MARCADE Gerard:/home/ge:/bin/bash

Pour des raisons de sécurité, le mot de passe est stocké dans le fichier /etc/shadow

Définition des utilisateurs dans /etc/passwd

Login

UID

GID Nom complet Répertoire d’accueil

Interpréteur de commandes


Informatique


Informatique

33


Le fichier /etc/shadow n’est lisible que de son propriétaire, c’est-à-dire root.

> tail -1 /etc/shadow

ge:$1$UO0h9zgg$HU5q6QI.epP8teQF/EV70.:13815:0:99999:7:::

Le fichier /etc/shadow n’est lisible que de son propriétaire, c’est-à-dire root.



Définition des utilisateurs dans /etc/shadow

Mot de passe chiffré Champs de contrôle de la durée de vie des mots de passe


Informatique


Informatique

44


Le fichier /etc/shadow

Nom de login

Mot de passe crypté

Nombre de jours écoulés depuis le 1er janvier 1970 jusqu'au dernier changement de mot de passe

Nombre de jours durant lesquels le mot de passe est encore valide

Nombre de jours après lesquels le mot de passe doit être changé

Nombre de jours avant l'expiration du mot de passe impliquant l'avertissement de l'utilisateur

Nombre de jours après l'expiration provoquant la désactivation du compte

Numéro du jour depuis le 1er janvier 1970 à partir duquel le compte a été désactivé

Champs réservé

Le fichier /etc/shadow

Nom de login

Mot de passe crypté

Nombre de jours écoulés depuis le 1er janvier 1970 jusqu'au dernier changement de mot de passe

Nombre de jours durant lesquels le mot de passe est encore valide

Nombre de jours après lesquels le mot de passe doit être changé

Nombre de jours avant l'expiration du mot de passe impliquant l'avertissement de l'utilisateur

Nombre de jours après l'expiration provoquant la désactivation du compte


Champs réservé



Informatique


Informatique

55


Par exemple: désactivation du login francois à partir du 11 novembre 2007



francois:$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:0:99999:7::13828:

Par exemple: désactivation du login francois à partir du 11 novembre 2007



francois:$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:0:99999:7::13828:




Informatique


Informatique

66




francois:$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:5:30:10:2::



francois:$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:5:30:10:2::



Informatique


Informatique

77


[root@siemens root]# passwd -l francoisLocking password for user francois.passwd: Success[root@siemens root]# tail -2 /etc/shadowge:$1$UO0h9zgg$HU5q6QI.epP8teQF/EV70.:13815:0:99999:7:::francois:!!$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:5:30:10:2::

[root@siemens root]# passwd -u francoisUnlocking password for user francois.passwd: Success.[root@siemens root]# tail -2 /etc/shadowge:$1$UO0h9zgg$HU5q6QI.epP8teQF/EV70.:13815:0:99999:7:::francois:$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:5:30:10:2::

[root@siemens root]# passwd -l francoisLocking password for user francois.passwd: Success[root@siemens root]# tail -2 /etc/shadowge:$1$UO0h9zgg$HU5q6QI.epP8teQF/EV70.:13815:0:99999:7:::francois:!!$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:5:30:10:2::

[root@siemens root]# passwd -u francoisUnlocking password for user francois.passwd: Success.[root@siemens root]# tail -2 /etc/shadowge:$1$UO0h9zgg$HU5q6QI.epP8teQF/EV70.:13815:0:99999:7:::francois:$1$xq0UvE1h$1JJmWzeryVxfNT51lp51B.:13815:5:30:10:2::

Verrouillage d’un compte utilisateur


Informatique


Informatique

88


Le fichier /etc/group définit les groupes.

# grep francois /etc/group

users:x:100:francois

Le fichier /etc/group définit les groupes.

# grep francois /etc/group

users:x:100:francois

Définition des groupes dans /etc/group

groupe

Liste des utilisateurs qui appartiennent au groupe

GID


Informatique


Informatique

99


La commande groups

[root@siemens root]# su - francois[francois@siemens francois]$ groupsusers[francois@siemens francois]$ exitlogout[root@siemens root]# groupsroot bin daemon sys adm disk wheel

La commande groups

[root@siemens root]# su - francois[francois@siemens francois]$ groupsusers[francois@siemens francois]$ exitlogout[root@siemens root]# groupsroot bin daemon sys adm disk wheel

Définition des groupes dans /etc/group


Informatique


Informatique

1010


Le répertoire /etc/skel est un squelette pour la création des comptes utilisateurs

Placez dans /etc/skel les fichiers et les sous-répertoires que l’on souhaite copier dans le répertoire d’accueil ($HOME )au moment de la création de l’utilisateur Fichier de configuration du shell Démarrage de certaines applications Raccourcis de l’environnement GNOME ou KDE

Lors de la création du compte utilisateur, ces fichiers et sous-répertoires seront copiés dans le répertoire d’accueil du nouvel utilisateur

Le répertoire /etc/skel est un squelette pour la création des comptes utilisateurs

Placez dans /etc/skel les fichiers et les sous-répertoires que l’on souhaite copier dans le répertoire d’accueil ($HOME )au moment de la création de l’utilisateur Fichier de configuration du shell Démarrage de certaines applications Raccourcis de l’environnement GNOME ou KDE

Lors de la création du compte utilisateur, ces fichiers et sous-répertoires seront copiés dans le répertoire d’accueil du nouvel utilisateur

Squelette de compte utilisateur


Informatique


Informatique

1111


Exemple de création du compte alain

# useradd -c "Alain GRANGE" -m alain

# grep alain /etc/passwd /etc/shadow /etc/group/etc/passwd:alain:x:502:502:Alain GRANGE:/home/alain:/bin/bash/etc/shadow:alain:!!:13815:0:99999:7:::/etc/group:alain:x:502:

Création du même compte avec un UID choisi

# useradd -c "Alain GRANGE" -m alain –u 566


# useradd -c "Alain GRANGE" -m alain

# grep alain /etc/passwd /etc/shadow /etc/group/etc/passwd:alain:x:502:502:Alain GRANGE:/home/alain:/bin/bash/etc/shadow:alain:!!:13815:0:99999:7:::/etc/group:alain:x:502:

Création du même compte avec un UID choisi

# useradd -c "Alain GRANGE" -m alain –u 566

Création d’un compte utilisateur


Informatique


Informatique

1212



# passwd alainChanging password for user alain.New UNIX password:Retype new UNIX password:passwd: all authentication tokens updated successfully.

# grep alain /etc/shadow/etc/shadow:alain:

$1$IsbdYT6S$1ioYV87WkV6QrcPZQUh5d0:13815:0:99999:7:::


# passwd alainChanging password for user alain.New UNIX password:Retype new UNIX password:passwd: all authentication tokens updated successfully.

# grep alain /etc/shadow/etc/shadow:alain:

$1$IsbdYT6S$1ioYV87WkV6QrcPZQUh5d0:13815:0:99999:7:::

Affecter un mot de passe

Le compte a été déverrouillé


Informatique


Informatique

1313


Créer un nouveau groupe

# groupadd compta

Créer un groupe système (GID < 500)

# groupadd -r admin

Créer un groupe système dont le GID est choisi

# groupadd -g 400 admin

# tail -1 /etc/groupadmin:x:400:

Supprimer un groupe

# groupdel admin

Créer un nouveau groupe

# groupadd compta

Créer un groupe système (GID < 500)

# groupadd -r admin

Créer un groupe système dont le GID est choisi

# groupadd -g 400 admin

# tail -1 /etc/groupadmin:x:400:

Supprimer un groupe

# groupdel admin

Création et suppression de groupes


Informatique


Informatique

1414


Créer un nouvel utilisateur en définissant son UID et GID

# useradd -c "Frederic LEGOFF" -m fred -u 555 -g 100

Ajouter fred au groupe users

# grep users /etc/groupusers:x:100:francois

# usermod -G users fred

# grep users /etc/groupusers:x:100:francois,fred

Afficher les caractéristiques d’un utilisateur

# id freduid=555(fred) gid=100(users) groupes=100(users)

Créer un nouvel utilisateur en définissant son UID et GID

# useradd -c "Frederic LEGOFF" -m fred -u 555 -g 100

Ajouter fred au groupe users

# grep users /etc/groupusers:x:100:francois

# usermod -G users fred

# grep users /etc/groupusers:x:100:francois,fred

Afficher les caractéristiques d’un utilisateur

# id freduid=555(fred) gid=100(users) groupes=100(users)

Modifications d’un compte


Informatique


Informatique

1515


Remplacer l’interpréteur de commandes par un /sbin/nologin

# chsh -s /sbin/nologin fredModification du shell pour fred.Shell a changé.-c "Frederic LEGOFF" -m fred -u 555 -g 100

# grep fred /etc/passwdfred:x:555:100:Frederic LEGOFF:/home/fred:/sbin/nologin

Verrouiller le compte

# passwd -l fredLocking password for user fred.passwd: Success

grep fred /etc/shadowfred:!!:13815:0:99999:7:::

Rechercher les fichiers appartenant au compte

# find / -user fred/var/spool/mail/fred…

Supprimer ou changer la propriété des fichiers du répertoire d’accueil

# chown –R alain:alain /home/fred

Remplacer l’interpréteur de commandes par un /sbin/nologin

# chsh -s /sbin/nologin fredModification du shell pour fred.Shell a changé.-c "Frederic LEGOFF" -m fred -u 555 -g 100

# grep fred /etc/passwdfred:x:555:100:Frederic LEGOFF:/home/fred:/sbin/nologin

Verrouiller le compte

# passwd -l fredLocking password for user fred.passwd: Success

grep fred /etc/shadowfred:!!:13815:0:99999:7:::

Rechercher les fichiers appartenant au compte

# find / -user fred/var/spool/mail/fred…

Supprimer ou changer la propriété des fichiers du répertoire d’accueil

# chown –R alain:alain /home/fred

Suppression d’un compte


Informatique


Informatique

1616


Vérifier si le compte possède une boîte aux lettres

Vérifier si le compte exécute des tâches programmées (cron)

Supprimer le compte

# userdel fred

Par ailleurs, on peut rechercher les fichiers appartenant à des comptes et des groupes qui n’existent plus

#userdel fred

# find /usr/local/ -nouser -o -nogroup/usr/local/bidon

# ls -l /usr/local/bidon-rwxr-xr-x 1 555 users 13696 oct 30 00:32 /usr/local/bidon

Vérifier si le compte possède une boîte aux lettres

Vérifier si le compte exécute des tâches programmées (cron)

Supprimer le compte

# userdel fred

Par ailleurs, on peut rechercher les fichiers appartenant à des comptes et des groupes qui n’existent plus

#userdel fred

# find /usr/local/ -nouser -o -nogroup/usr/local/bidon

# ls -l /usr/local/bidon-rwxr-xr-x 1 555 users 13696 oct 30 00:32 /usr/local/bidon

Suppression d’un compte


Informatique


Informatique

1717

Attribution et choix d'un mot de passe

Attribution et choix d'un mot de passe

Tous les comptes doivent avoir un mot de passeLa commande passwd sert à donner un mot de

passe à un compteLe mot de passe doit être difficile à deviner mais

facile à retenir (2+UnTrois T,uqucnd)NON

Pas de mot de la langue française (anglaise) Pas de nombre ou de nom familier (n° SS, petite amie,...) Pas de noms de personnages ou de film, ...

OUI Insérer des caractères spéciaux ($,&,@,...) Faire des fautes d'orthographe Alterner Maj/Min Insérer un mot dans un autre

Tous les comptes doivent avoir un mot de passeLa commande passwd sert à donner un mot de

passe à un compteLe mot de passe doit être difficile à deviner mais

facile à retenir (2+UnTrois T,uqucnd)NON

Pas de mot de la langue française (anglaise) Pas de nombre ou de nom familier (n° SS, petite amie,...) Pas de noms de personnages ou de film, ...

OUI Insérer des caractères spéciaux ($,&,@,...) Faire des fautes d'orthographe Alterner Maj/Min Insérer un mot dans un autre


Informatique


Informatique

1818

mots de passe ombresmots de passe ombres

Permet d'éviter les attaques au dictionnaireUtilisation d'un fichier /etc/shadow en

lecture seule à la place de /etc/passwdModification des commandes de bases de

manipulation de mots de passe (passwd, ...Offre un ensemble d'outils supplémentaires

tel le vieillissement des mots de passeExistence de circonstances défavorables

à l'utilisation de mots de passe ombre (N.I.S.)

Permet d'éviter les attaques au dictionnaireUtilisation d'un fichier /etc/shadow en

lecture seule à la place de /etc/passwdModification des commandes de bases de

manipulation de mots de passe (passwd, ...Offre un ensemble d'outils supplémentaires

tel le vieillissement des mots de passeExistence de circonstances défavorables

à l'utilisation de mots de passe ombre (N.I.S.)


Informatique


Informatique

1919

Commandes et fonctionnementCommandes et fonctionnement

Les commandes pwconv et pwunconv permettent la traduction

Le fichier /etc/login.defs contient les paramètres par défaut pour les champs de vieillissement

Veiller à ce que les programmes d'authentification utilisent les mots de passe ombre (ftpd, pop3d, xlock, xdm, su, ...)

La commande passwd voit son rôle étendu Verrouiller et déverrouiller des comptes (-l et -u), Définir le nombre de jours de validité d'un mot de passe (-x), Définir le nombre de jours minimum pour le changement de mot de

passe (-n), Définir le nombre de jours d'alerte concernant l'expiration d'un mot

de passe (-w), Définir le nombre de jours après que le mot de passe soit expiré

pour verrouiller le compte (-i), Permettre de voir les informations concernant un utilisateur dans

un format clair (-S).

Les commandes pwconv et pwunconv permettent la traduction

Le fichier /etc/login.defs contient les paramètres par défaut pour les champs de vieillissement

Veiller à ce que les programmes d'authentification utilisent les mots de passe ombre (ftpd, pop3d, xlock, xdm, su, ...)

La commande passwd voit son rôle étendu Verrouiller et déverrouiller des comptes (-l et -u), Définir le nombre de jours de validité d'un mot de passe (-x), Définir le nombre de jours minimum pour le changement de mot de

passe (-n), Définir le nombre de jours d'alerte concernant l'expiration d'un mot

de passe (-w), Définir le nombre de jours après que le mot de passe soit expiré

pour verrouiller le compte (-i), Permettre de voir les informations concernant un utilisateur dans

un format clair (-S).


Informatique


Informatique

2020

Le fichier login.defs et les commandes automatiquesLe fichier login.defs et les commandes automatiques

L’ensemble de commandes de création, modification et suppression d'utilisateurs (useradd, usermod, userdel) utilise le fichier /etc/login.defs

La commande de création useradd manipule le fichier de configuration /etc/default/useradd

L’ensemble de commandes de création, modification et suppression d'utilisateurs (useradd, usermod, userdel) utilise le fichier /etc/login.defs

La commande de création useradd manipule le fichier de configuration /etc/default/useradd

# more /etc/default/useraddGROUP=100 # Default GroupHOME=/home # Home directory location (/home/username)INACTIVE=-1 # Days after password expires to disable account (0=never)EXPIRE=0 # Days that a passwords lastsSHELL=/bin/bash # Default Shell (full path)SKEL=/etc/skel # Skeleton Directory


Informatique


Informatique

2121

Exemple de login.defsExemple de login.defsMAIL_DIR /var/spool/mail#MAIL_FILE .mail

# Password aging controls:## PASS_MAX_DAYS Maximum number of

days a password may be used.# PASS_MIN_DAYS Minimum number of

days allowed # between password

changes.# PASS_MIN_LEN Minimum acceptable

password length.# PASS_WARN_AGE Number of days

warning given before # a password expires.#PASS_MAX_DAYS 99999PASS_MIN_DAYS 0PASS_MIN_LEN 5PASS_WARN_AGE 7

## Min/max values for automatic uid selection

in useradd#UID_MIN 500UID_MAX 60000

MAIL_DIR /var/spool/mail#MAIL_FILE .mail

# Password aging controls:## PASS_MAX_DAYS Maximum number of

days a password may be used.# PASS_MIN_DAYS Minimum number of

days allowed # between password

changes.# PASS_MIN_LEN Minimum acceptable

password length.# PASS_WARN_AGE Number of days

warning given before # a password expires.#PASS_MAX_DAYS 99999PASS_MIN_DAYS 0PASS_MIN_LEN 5PASS_WARN_AGE 7

## Min/max values for automatic uid selection

in useradd#UID_MIN 500UID_MAX 60000

## Min/max values for automatic gid

selection in groupadd#GID_MIN 500GID_MAX 60000

## If defined, this command is run

when removing a user.# It should remove any at/cron/print

jobs etc. owned by# the user to be removed (passed as

the first argument).##USERDEL_CMD

/usr/sbin/userdel_local

## If useradd should create home

directories for users by default# On RH systems, we do. This option

is ORed with the -m flag on# useradd command line.#CREATE_HOME yes

## Min/max values for automatic gid

selection in groupadd#GID_MIN 500GID_MAX 60000

## If defined, this command is run

when removing a user.# It should remove any at/cron/print

jobs etc. owned by# the user to be removed (passed as

the first argument).##USERDEL_CMD

/usr/sbin/userdel_local

## If useradd should create home

directories for users by default# On RH systems, we do. This option

is ORed with the -m flag on# useradd command line.#CREATE_HOME yes


Informatique


Informatique

2222

Rappel sur les fichiersRappel sur les fichiers /etc/passwd - information sur les comptes utilisateurs

/etc/shadow - information sécurisée sur les comptes utilisateurs

/etc/group - information de groupes

/etc/default/useradd - information par défaut

/etc/login.defs - réglages globaux du système

/etc/skel - répertoire contenant les fichiers utilisés par le programme useradd

/etc/passwd - information sur les comptes utilisateurs

/etc/shadow - information sécurisée sur les comptes utilisateurs

/etc/group - information de groupes

/etc/default/useradd - information par défaut

/etc/login.defs - réglages globaux du système

/etc/skel - répertoire contenant les fichiers utilisés par le programme useradd


Informatique


Informatique

2323

Vérification de cohérence


pwck vérifie la cohérence des mots de passe Le nombre correct de champs, nom unique, nom et groupe valide, groupe primaire valide, répertoire d'accueil valide, shell valide.

Exemple :

# pwck /etc/passwdutilisateur adm : le répertoire /var/adm n'existe pasutilisateur gopher : le répertoire /var/gopher n'existe pasutilisateur wnn : le répertoire /home/wnn n'existe paspwck: no changes

pwck vérifie la cohérence des mots de passe Le nombre correct de champs, nom unique, nom et groupe valide, groupe primaire valide, répertoire d'accueil valide, shell valide.

Exemple :

# pwck /etc/passwdutilisateur adm : le répertoire /var/adm n'existe pasutilisateur gopher : le répertoire /var/gopher n'existe pasutilisateur wnn : le répertoire /home/wnn n'existe paspwck: no changes


Informatique


Informatique

2424



grpck vérifie la cohérence des groupesLe nombre correct de champs,unicité du nom de groupe,validité de la liste des membres et des

administrateurs.

Exemple :

# grpck /etc/group

grpck vérifie la cohérence des groupesLe nombre correct de champs,unicité du nom de groupe,validité de la liste des membres et des

administrateurs.

Exemple :

# grpck /etc/group


Informatique


Informatique

2525

Authentification centralisée

Authentification centralisée

LDAP ((Lightweight Directory Access Protocol) LDAP est un ensemble de protocoles pour accéder aux services d'annuaires Possibilité de définir un annuaire d’utilisateurs Configuration de l’authentification à l’aide de PAM

NIS (Network Information Service) NIS est un système qui fournit des informations sur le réseau (noms d'ouverture de

session, mots de passe, répertoires personnels, informations sur les groupes) à tous les ordinateurs d'un réseau.

NIS a été développé par SUN et à l'origine s'appelait YP (Yellow Pages). Yellow Page étant une marque déposé par British Telecom, SUN fut contraint d'utiliser un autre nom: NIS.

Radius FreeRADIUS est un service d’authentification (daemon) qi omplémente le protocole

RADIUS Il permet différentes authentifications Des clients RADIUS sont disponibles pour serveur Web, pare-feu, compte Unix,

etc…

LDAP ((Lightweight Directory Access Protocol) LDAP est un ensemble de protocoles pour accéder aux services d'annuaires Possibilité de définir un annuaire d’utilisateurs Configuration de l’authentification à l’aide de PAM

NIS (Network Information Service) NIS est un système qui fournit des informations sur le réseau (noms d'ouverture de

session, mots de passe, répertoires personnels, informations sur les groupes) à tous les ordinateurs d'un réseau.

NIS a été développé par SUN et à l'origine s'appelait YP (Yellow Pages). Yellow Page étant une marque déposé par British Telecom, SUN fut contraint d'utiliser un autre nom: NIS.

Radius FreeRADIUS est un service d’authentification (daemon) qi omplémente le protocole

RADIUS Il permet différentes authentifications Des clients RADIUS sont disponibles pour serveur Web, pare-feu, compte Unix,

etc…

Master 1 ère année Sécurité des Systèmes Informatique 1 La gestion des utilisateurs Chaque...

Documents

Transcript of Master 1 ère année Sécurité des Systèmes Informatique 1 La gestion des utilisateurs Chaque...