Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites". Attention, le forum rencontre actuellement quelques difficultés. En cas d'erreur 502, il ne faut pas re-valider l'envoi d'un message ou l'ouverture d'une discussion, au risque de créer un doublon.

La section divers se réorganise ! De nouvelles sous-sections à venir. (plus d'infos + donner son avis)

#1 Le 12/12/2012, à 19:01

DonutMan75

[RESOLU] Questions concernant la notion d'utilisateurs Ubuntu

Bonsoir à vous,

j'aurais une petite série de question à vous soumettre concernant les utilisateurs sous Ubuntu. Pourriez-vous me donner vos avis ?

J'ai déjà lu les pages suivantes :
http://doc.ubuntu-fr.org/droits
http://doc.ubuntu-fr.org/users-admin
http://manpages.ubuntu.com/manpages/har … swd.5.html


1 - Alors déjà un utilisateur est identifié par son UID et son/ses GUID éventuels (il peut aussi très bien n'appartenir à aucun groupe).

2 - Par défaut, un utilisateur aura accès à son $home et ne pourra pas exécuter de commandes root via sudo... à moins de modifier le sudoer via la commande sudo visudo

3 - Quand je regarde le contenu de /etc/passwd je retrouve bien mes utilisateurs... mais également des utilisateurs qui correspondent à des process (?) comme lightdm, syslog ou encore un mystérieux nobody... A quoi cela sert-il ? La doc de passwd(5) n'est guère explicite à ce sujet....

4 - Par ailleurs ces utlisateurs ont des $home étranges. Par exemple pour usbmux, le répertoire /home/usbmux n'existe pas... Et plusieurs fois le répertoire /bin/false revient...

5 - Si je veux voir à quel groupe appartient l'utilisateur principal "donut" (celui qui a été crée lors de l'install de Ubuntu), je tape "groups donut". J'obtiens alors les résultats suivants : adm cdrom sudo dip plugdev lpadmin sambashare... A quoi cela correspond-il ? Quelle(s) différence(s) entre "adm" (admin ?) et "sudo" ??

6 - Si je possède un répertoire dont les permissions sont drwx --- ---, personne ne pourra voir ce qu'il y a dedans *quel qu'en soit le contenu* ? Notamment s'il contient par exemple des fichiers/répertoires qui sont en rwxrwxrwx ??

7 - Puis-je facilement créer un utilisateur qui n'aurait accès qu'à son $home et *absolument pas* au reste de l'arborescence ($home des autres utilisateurs mais également répertoires systèmes, clef usb etc..) ?

8 - Enfin, et pour terminer cette salve de questions, si je monte un serveur ssh... les utilisateurs pouvant se logguer sur mon serveur sont nécessairement un sous-ensemble des utilisateurs définis dans /etc/passwd, est-ce correct ? En particulier, les mots de passe pour se connecter seront nécessairement ceux du système (/etc/passwd et /etc/shadow) ?

Merci d'avance pour vos éclaircissements smile

Bonne soirée

Donut

Dernière modification par DonutMan75 (Le 17/12/2012, à 13:52)

Hors ligne

#2 Le 12/12/2012, à 20:18

tiramiseb

Re : [RESOLU] Questions concernant la notion d'utilisateurs Ubuntu

DonutMan75 a écrit :

1 - Alors déjà un utilisateur est identifié par son UID et son/ses GUID éventuels (il peut aussi très bien n'appartenir à aucun groupe).

Un utilisateur a un UID et un GID.
Il ne peut pas avoir aucun GID.
Il peut également appartenir à d'autres groupes mais ces groups ne seront pas ses GID.

DonutMan75 a écrit :

2 - Par défaut, un utilisateur aura accès à son $home

Oui

DonutMan75 a écrit :

et ne pourra pas exécuter de commandes root via sudo... à moins de modifier le sudoer via la commande sudo visudo

Aucun rapport avec ton début de phrase ci-dessus, mais effectivement oui.

DonutMan75 a écrit :

3 - Quand je regarde le contenu de /etc/passwd je retrouve bien mes utilisateurs... mais également des utilisateurs qui correspondent à des process (?) comme lightdm, syslog ou encore un mystérieux nobody... A quoi cela sert-il ? La doc de passwd(5) n'est guère explicite à ce sujet....

Ce sont des utilisateurs système, que le système d'exploitation utilise pour ne pas "mettre tous ses oeufs dans le même panier". Si tous les logiciels système fonctionnaient sous le même utilisateur, une faille de l'un pourrait permettre de corrompre l'autre. Encore plus si les logiciels système étaient lancés en tant que root, qui a tous les droits.

nobody est un utilisateur qui a très peu de droits, notamment pas de fichiers à lui.

DonutMan75 a écrit :

4 - Par ailleurs ces utlisateurs ont des $home étranges.

En général les homes des utilisateurs système correspondent au répertoire où le logiciel lié travaille... /var/run/pulse pour PulseAudio, /var/www pour www-data (Apache)...

DonutMan75 a écrit :

Par exemple pour usbmux, le répertoire /home/usbmux n'existe pas...

Avoir un utilisateur système dont le home pointe dans /home c'est pas super propre, mais bon ce n'est pas catastrophique...

DonutMan75 a écrit :

Et plusieurs fois le répertoire /bin/false revient...

Là tu te trompes de champ dans le fichier passwd.
/bin/false est dans le champ du shell à utiliser pour l'utilisateur. Cela permet d'interdire l'accès shell à ces utilisateurs.

DonutMan75 a écrit :

5 - Si je veux voir à quel groupe appartient l'utilisateur principal "donut" (celui qui a été crée lors de l'install de Ubuntu), je tape "groups donut". J'obtiens alors les résultats suivants : adm cdrom sudo dip plugdev lpadmin sambashare... A quoi cela correspond-il ? Quelle(s) différence(s) entre "adm" (admin ?) et "sudo" ??

adm: tu as le droit de lire des fichiers appartenant au groupe adm
cdrom: tu as le droit de lire les CD et les DVD
dip: aucune idée
plugdev: une histoire de plug&play, peut-être lié aux clés usb...
lpadmin: tu as le droit d'administrer les imprimantes (line printer)
sambashare: lié à samba donc au partage de fichiers, mais quel est le but précis du groupe je ne sais pas
sudo: tu as le droit d'exécuter des trucs en root par sudo car tu appartiens au groupe sudo, c'est comme ça que sudo est configuré sur Ubuntu (ligne qui commence par %sudo dans /etc/sudoers)

Il faut noter qu'en réalité ce n'est pas directement l'appartenance à tel ou tel groupe qui te donne tel ou tel droit, mais le fait que le logiciel concerné donne accès au groupe en question ou alors que les fichiers concernés appartiennent au groupe en question.

DonutMan75 a écrit :

6 - Si je possède un répertoire dont les permissions sont drwx --- ---, personne ne pourra voir ce qu'il y a dedans *quel qu'en soit le contenu* ? Notamment s'il contient par exemple des fichiers/répertoires qui sont en rwxrwxrwx ??

Je confirme. Si tu ne peux pas entrer dans le répertoire parent, tu ne peux pas consulter les enfants.

DonutMan75 a écrit :

7 - Puis-je facilement créer un utilisateur qui n'aurait accès qu'à son $home et *absolument pas* au reste de l'arborescence ($home des autres utilisateurs mais également répertoires systèmes, clef usb etc..) ?

Non car cet utilisateur ne pourrait pas faire grand chose. Par exemple il ne pourrait même pas lancer un shell vu que son shell serait probablement Bash situé dans /bin/bash, ce shell ayant besoin de bibliothèques qui sont dans /lib. Et les logiciels à exécuter sont dans /usr/bin, les bibliothèques dans /usr/lib. Et puis quand il lance un shell, l'utilisateur doit accéder à /etc/environment et autres fichiers de ce genre.

Pour cloisonner un utilisateur tu peux utiliser chroot (je te laisse te documenter sur le sujet) mais ça se fait pas en trois clics.

DonutMan75 a écrit :

8 - Enfin, et pour terminer cette salve de questions, si je monte un serveur ssh... les utilisateurs pouvant se logguer sur mon serveur sont nécessairement un sous-ensemble des utilisateurs définis dans /etc/passwd, est-ce correct ? En particulier, les mots de passe pour se connecter seront nécessairement ceux du système (/etc/passwd et /etc/shadow) ?

Oui et oui par défaut. D'ailleurs par défaut, tous les utilisateurs pouvant se connecter localement peuvent se connecter par SSH. (c'est-à-dire tout utilisateur qui a un mot de passe et qui n'a pas /bin/false comme shell).
Non et non si tu configures l'authentification dans SSH autrement, notamment par l'intermédiaire de PAM.

Dernière modification par tiramiseb (Le 12/12/2012, à 20:19)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#3 Le 13/12/2012, à 01:50

nesthib

Re : [RESOLU] Questions concernant la notion d'utilisateurs Ubuntu

tiramiseb a écrit :
DonutMan75 a écrit :

6 - Si je possède un répertoire dont les permissions sont drwx --- ---, personne ne pourra voir ce qu'il y a dedans *quel qu'en soit le contenu* ? Notamment s'il contient par exemple des fichiers/répertoires qui sont en rwxrwxrwx ??

Je confirme. Si tu ne peux pas entrer dans le répertoire parent, tu ne peux pas consulter les enfants.

Petite précision :
en terme de permissions, entrer dans un répertoire équivaut à « x », pas à « r » qui permet de consulter (=lister le contenu) le répertoire.
Ainsi il est possible de rendre un répertoire impossible à consulter mais pas à traverser (--x). Les fichiers contenus seront tout de même accessibles si l'on en connaît le chemin.

Pour compléter la réponse sur le chroot, il est tout à fait possible d'en mettre un en place, ça n'est pas compliqué mais ça prend un peu de temps. Pour ssh il existe des solutions clé en main, comme MySecureShell, qui mettent en place une restriction telle que tu recherches. Enfin, pour la dernière question, non, les utilisateurs ne sont pas forcément géré de cette façon. Tu peux par exemple utiliser l'annuaire LDAP comme moyen d'authentification.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#4 Le 13/12/2012, à 07:48

serged

Re : [RESOLU] Questions concernant la notion d'utilisateurs Ubuntu

Pour les groupes :
Par exemple, j'ai :

$ groups serge
serge : serge adm lp cdrom sudo dip www-data plugdev lpadmin sambashare vboxusers

- Les groupes adm et sudo montrent que je suis administrateur et droit de faire sudo. Ça fait un peu double emploi, mais c'est pour des raisons "historiques"
- lp : Droit d'utiliser les imprimantes
- lpadmin : Droit d'administrer les imprimantes- cdrom : Droit d'utiliser les cdrom
- www-data : Groupe auquel appartient Apache. Cela me permet de modifier les pages du serveur Web.
- sambashare : Droit de modifier les partages samba (réseau Windows)
- vboxusers : Utilisateur de VirtualBox, pouvant passer certains matériels (périphs USB...) à une machine virtuelle.
- dip et plugdev : Aucune idée...


Linux-Mint Rebecca 64 (Cinnamon) sur ASUS F2A55/AMD A8-5600K APU

Hors ligne

#5 Le 13/12/2012, à 08:23

tiramiseb

Re : [RESOLU] Questions concernant la notion d'utilisateurs Ubuntu

- Les groupes adm et sudo montrent que je suis administrateur et droit de faire sudo. Ça fait un peu double emploi, mais c'est pour des raisons "historiques"

Ça ne fait pas double emploi.

Certains fichiers (notamment logs système) appartiennent au groupe "adm" car ils peuvent être lus par l'administrateur.
Le groupe "sudo" est utilisé exclusivement par sudo pour autoriser son utilisation.

Cela permet de décorréler l'exécution de commandes en root et la lecture de fichiers de log.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#6 Le 17/12/2012, à 13:51

DonutMan75

Re : [RESOLU] Questions concernant la notion d'utilisateurs Ubuntu

Ok, merci pour vos réponses smile
Je passe la discussion en "résolu"

Bonne journée smile

Donut

Hors ligne

Haut de page ↑