Gestion des comptes utilisateurs #
Commandes
useraddgroupadduserdelgroupdelusermodid- Voir l’identifiant user/group de l’utilisateurpasswd- Fichier/etc/passwd- Liste des comptes utilisateurs et paramètres $HOME, $SHELL/etc/group- Liste contenant les groupes utilisateurs/etc/shadow- Hash des mots de passes utilisateurs
Example: useradd -g Sith -s /bin/bash -c "Description" -m -d /home/dark_vador dark_vador
Fonctionnalité utile de usermod #
-
Changer le groupe d’un utilisateur
usermod -g jedi dark_vador -
Bloquer un utilisateur:
usermod -L dark_vador -
Débloquer un utilisateur
usermod -U dark_vador -
Définir une date d’expiration
usermod -e 2020-05-29 dark_vador -
Définir un nouveau mot de passe (non chiffré à la saisie)
usermod -p test_password dark_vador -
Changer l'id de l’utilisateur
usermod -u 1234 dark_vador
Politique de gestion de mot de passe #
Il est possible de définir la politique de gestion de mot de passe
Par commandes:
chage [-d lastday] [-m mindays] [-M maxdays] [-w warndays] [-I inactivedays] [-E expiredate] user
Par édition de fichier de configuration:
/etc/login.def
Les valeurs PASS* permettent de définir la politique à établir la longueur, la durée de validité d’un mot de passe et la méthode de cryptage du mot de passe.
# Please note that the parameters in this configuration file control the
# behavior of the tools from the shadow-utils component. None of these
# tools uses the PAM mechanism, and the utilities that use PAM (such as the
# passwd command) should therefore be configured elsewhere. Refer to
# /etc/pam.d/system-auth for more information.
#
# *REQUIRED*
# Directory where mailboxes reside, _or_ name of file, relative to the
# home directory. If you _do_ define both, MAIL_DIR takes precedence.
# QMAIL_DIR is for Qmail
#
#QMAIL_DIR Maildir
MAIL_DIR /var/spool/mail
#MAIL_FILE .mail
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
#
# Min/max values for automatic uid selection in useradd
#
UID_MIN 1000
UID_MAX 60000
# System accounts
SYS_UID_MIN 201
SYS_UID_MAX 999
#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN 1000
GID_MAX 60000
# System accounts
SYS_GID_MIN 201
SYS_GID_MAX 999
#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD /usr/sbin/userdel_local
#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is overridden with the -m flag on
# useradd command line.
#
CREATE_HOME yes
# The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK 077
# This enables userdel to remove user groups if no members exist.
#
USERGROUPS_ENAB yes
# Use SHA512 to encrypt password.
ENCRYPT_METHOD SHA512
The following is a partial list of /etc/login.defs directives:
Changement d’utilisateur #
Commande: su - username
Elevation de privilège #
Commandes:
sudo commandvisudo- Editeur de texte du fichier/etc/sudoersavec vérification de conformité à l’enregistrement.
Fichier:
/etc/sudoers
#Allow member of group admin to execute any command
%admin ALL=(ALL) ALL
#Allow member of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
root ALL=(ALL:ALL) ALL
Parcourront la règle en détail:
| 1 | 2 | - | 3 | - | 4 | - | 5 |
|---|---|---|---|---|---|---|---|
| root | ALL | =( | ALL | : | ALL | ) | ALL |
Colonne 1: Indique le user ou le groupe (précéder de %) pour lequel la règle s’applique
Colonne 2: Indique la règle qui s’applique à tous les hôtes
Colonne 3: Indique que l’utilisateur root peut exécuter des commandes en tant que l’utilisateur défini ici.
Colonne 4: Indique que l’utilisateur root peut exécuter des commandes en tant que groupe d’utilisateur défini ici.
Colonne 5: Indique toute les commandes que l’utilisateur peut exécuter avec l’élévation de privilège root
Plus de commande ici