Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Introduction a l'administration systeme - Informations sp�cifiques � Red Hat Enterprise Linux

6.3. Informations sp�cifiques � Red Hat Enterprise Linux

Les sections suivantes examinent certaines des caract�ristiques sp�cifiques de Red Hat Enterprise Linux en relation avec l'administration des comptes utilisateur et des ressources connexes.

6.3.1. Comptes utilisateur, groupes et permissions

Sous Red Hat Enterprise Linux, un utilisateur peut se connecter au syst�me et utiliser toutes les applications ou tous les fichiers auxquels il a acc�s une fois qu'un compte utilisateur normal a �t� cr��. Red Hat Enterprise Linux d�cide lui-m�me si un utilisateur peut avoir acc�s ou non � ces ressources, en fonction des permissions qui lui sont assign�es.

Trois permissions diff�rentes peuvent �tre appliqu�es sur les fichiers, r�pertoires et applications. Ces permissions servent � contr�ler les diff�rents types d'acc�s autoris�s. Dans une liste de r�pertoires, diff�rentes lettres symbolisent diff�rentes permissions. Les symboles suivants sont utilis�s pour les diff�rentes permissions�:

  • r — Indique qu'une certaine cat�gorie d'utilisateurs est autoris�e � lire (ou read) le fichier.

  • w — Indique qu'une certaine cat�gorie d'utilisateurs est autoris�e � �crire (ou write) le fichier.

  • x — Indique qu'une certaine cat�gorie d'utilisateurs est autoris�e � ex�cuter (ou execute) le fichier.

Un quatri�me symbole (-) indique qu'aucun acc�s n'est autoris�.

Chacune des trois permissions est assign�e � trois cat�gories diff�rentes d'utilisateurs, � savoir�:

  • propri�taire — Le propri�taire du fichier ou de l'application (ou owner en anglais).

  • groupe — Le groupe propri�taire du fichier ou de l'application (ou group en anglais).

  • tout le monde — Tous les utilisateurs ayant acc�s au syst�me (ou all en anglais).

Comme nous l'avons mentionn� pr�c�demment, il est possible d'afficher les permissions d'un fichier en invoquant la commande ls -l pour obtenir un listage au format d�taill� (ou long listing). Par exemple, si l'utilisateur juan cr�e un fichier ex�cutable portant le nom foo, la sortie de la commande ls -l foo ressemblerait � l'extrait ci-dessous�:

-rwxrwxr-x    1 juan     juan            0 Sep 26 12:25 foo

Les permissions donn�es � ce fichier apparaissent au d�but de la ligne commen�ant par rwx. Cette premi�re s�rie de symboles d�termine l'acc�s octroy� au propri�taire — dans cet exemple, le propri�taire juan a un acc�s total et peut donc effectuer des op�rations de lecture, �criture et ex�cution sur le fichier. La deuxi�me s�rie de symboles rwx d�finit elle, l'acc�s octroy� au groupe (dans notre exemple, un acc�s total), alors que la derni�re s�rie de symboles pr�cise les types d'acc�s accord�s � tous les autres utilisateurs. Dans notre exemple, ces derniers ont une permission de lecture et ex�cution sur le fichier mais ne sont pas en mesure de le modifier de quelque mani�re que ce soit.

Il faut garder un point important � l'esprit en mati�re de permissions et comptes utilisateur, � savoir que toute application lanc�e sur Red Hat Enterprise Linux tourne dans le contexte d'un utilisateur sp�cifique. En effet, si un utilisateur nomm� juan ex�cute une application, cette derni�re tourne en utilisant le contexte de juan. Toutefois, il se peut que dans certains cas, l'application ait besoin d'un niveau d'acc�s plus privil�gi� afin de pouvoir accomplir une t�che donn�e. Parmi ces applications figurent celles permettant d'�diter les param�tres du syst�me ou de connecter les utilisateurs. C'est la raison pour laquelle des permissions sp�ciales ont �t� cr��es.

Sous Red Hat Enterprise Linux, trois permissions sp�ciales sont disponibles, � savoir�:

  • setuid — Utilis�e seulement pour les applications, cette permission indique que l'application en question est suppos�e �tre ex�cut�e en tant que propri�taire du fichier et non pas en tant que l'utilisateur ex�cutant l'application. Cette permission sp�ciale est repr�sent�e par le caract�re s rempla�ant le symbole x dans la cat�gorie propri�taire. Si le propri�taire du fichier n'a pas les permissions d'ex�cution, le caract�re appara�t en majuscule en tant que S pour l'indiquer.

  • setgid — Utilis�e essentiellement pour les applications, cette permission indique que l'application doit �tre ex�cut�e en tant que le groupe propri�taire du fichier et non pas en tant que le groupe ex�cutant l'application.

    Lorsque cette permission sp�ciale s'applique � un r�pertoire, tous les fichiers cr��s au sein de ce r�pertoire sont la propri�t� du groupe propri�taire du r�pertoire, et non pas celle du groupe de l'utilisateur cr�ant le fichier. La permission setgid est repr�sent�e par le caract�re s � la place du caract�re x dans la cat�gorie groupe. Si le groupe propri�taire du fichier n'a pas les permissions d'ex�cution, le caract�re appara�t en majuscule en tant que S pour l'indiquer.

  • sticky bit — Utilis�e essentiellement sur les r�pertoires, ce bit stipule qu'un fichier cr�� dans le r�pertoire ne peut �tre supprim� que par l'utilisateur qui l'a cr��. Le caract�re t remplant le caract�re x dans la cat�gorie tout le monde repr�sente cette permission sp�ciale. Si la cat�gorie tout le monde n'a pas les permissions d'ex�cution, le caract�re T appara�t en majuscule.

    Sous Red Hat Enterprise Linux, la valeur par d�faut de sticky bit est le r�pertoire /tmp/ pour la m�me raison.

6.3.1.1. Noms d'utilisateur et UID, Groupes et GID

Dans Red Hat Enterprise Linux, un compte utilisateur et des noms de groupe existent essentiellement pour la commodit� des utilisateurs. Dans le syst�me m�me, des identifiants num�riques sont utilis�s. Pour les utilisateurs, cet identifiant est connu en tant que UID, alors que pour les groupes, il est connu en tant que GID. Des programmes qui fournissent des informations sur l'utilisateur ou le groupe convertissent les valeurs des UID/GID en �quivalents plus lisibles par tout un chacun.

ImportantImportant
 

Les UID et GID doivent �tre globalement uniques dans tout le syst�me d'une organisation si des fichiers ou ressources sont destin�s � �tre partag�s sur un r�seau. Dans le cas contraire, quels que soient les contr�les d'acc�s mis en place, il est possible qu'ils ne fonctionnent pas correctement dans la mesure o� ils reposent sur les UID ou GID et non pas sur les noms d'utilisateur ou de groupe.

Plus pr�cis�ment, si les fichiers /etc/passwd et /etc/group stock�s sur un serveur de fichiers et sur le poste de travail d'un utilisateur contiennent des UID et GID diff�rents, il est possible que des probl�mes de s�curit� r�sultent de la mauvaise application des permissions.

Par exemple, si l'utilisateur juan a un UID de 500 sur un ordinateur de bureau, les fichiers que juan cr�e sur un serveur de fichiers se verront attribuer l'UID propri�taire de 500. Toutefois, si l'utilisateur bob se connecte localement au serveur de fichiers (ou m�me � tout autre ordinateur) et que le compte de bob a lui aussi un UID de 500, bob aura un acc�s complet aux fichiers de juan et vice versa.

Il est par cons�quent essentiel d'�viter � tout prix les collisions entre UID et GID.

Il existe deux cas dans lesquels la valeur num�rique d'un UID ou d'un GID a une signification particuli�re. La valeur z�ro (0) donn�e � un UID et � un GID est utilis�e pour le super-utilisateur ou root et, � ce titre, est trait�e d'une mani�re particuli�re par Red Hat Enterprise Linux — en effet, un acc�s total est automatiquement accord�.

Le deuxi�me cas est celui dans lequel les UID et GID d'une valeur inf�rieure � 500 sont r�serv�s exclusivement pour le syst�me. Contrairement � un UID/GID de z�ro (0), les UID et GID d'une valeur inf�rieure � 500 ne sont pas trait�s diff�remment par Red Hat Enterprise Linux. Toutefois, ces UID/GID ne sont jamais attribu�s � un utilisateur car il est fort possible qu'un certain composant du syst�me les utilisent actuellement ou qu'il les utilisera � un moment ou � un autre dans le futur. Pour obtenir de plus amples informations sur ces utilisateurs et groupes standard, reportez-vous au chapitre intitul� Utilisateurs et groupes du Guide de r�f�rence de Red Hat Enterprise Linux.

Lors de l'ajout de nouveaux utilisateurs � l'aide des outils standard de Red Hat Enterprise Linux pour la cr�ation de nouveaux utilisateurs, les nouveaux comptes utilisateur se voient attribuer le premier UID et GID disponible en commen�ant par 500. Le nouveau compte suivant recevra une valeur UID/GID de 501, celui d'apr�s un UID/GID de 502 et ainsi de suite.

Les diff�rents outils de cr�ation d'utilisateurs disponibles sous Red Hat Enterprise Linux seront examin�s bri�vement � la fin de ce chapitre. Avant de passer ces outils en revue, il convient d'examiner d'abord les fichiers utilis�s par Red Hat Enterprise Linux pour d�finir les comptes et groupes du syst�me.

6.3.2. Fichiers contr�lant les comptes utilisateur et groupes

Sur Red Hat Enterprise Linux, les informations relatives aux comptes utilisateur et groupes sont stock�es dans divers fichiers texte contenus dans le r�pertoire /etc/. Lorsqu'un l'administrateur syst�me cr�e de nouveaux comptes utilisateur, il doit soit modifier ces fichiers manuellement, soit utiliser des applications pour effectuer les modifications requises.

La section suivante examine les fichiers du r�pertoire /etc/ qui, sous Red Hat Enterprise Linux, contiennent des informations sur les utilisateurs et les groupes.

6.3.2.1. /etc/passwd

Le fichier /etc/passwd, examinable par tout un chacun, contient une liste d'utilisateurs dans laquelle chacun d'eux appara�t sur une ligne diff�rente. Sur chaque ligne figure une liste d'�l�ments s�par�s les uns des autres par deux points fournissant les informations suivantes�:

  • Nom d'utilisateur — Le nom ou identifiant que l'utilisateur saisit lorsqu'il se connecte au syst�me.

  • Mot de passe — Contient le mot de passe cod� (ou le symbole x si des mots de passe masqu�s sont utilis�s — ce point sera trait� ult�rieurement).

  • ID utilisateur (UID) — L'�quivalent num�rique du nom d'utilisateur qui est r�f�renc� par le syst�me et les applications lors de l'�tablissement des privil�ges.

  • ID Groupe (GID) — L'�quivalent num�rique du nom du groupe primaire qui est r�f�renc� par le syst�me et les applications lors de l'�tablissement des privil�ges.

  • GECOS — Ainsi nomm� pour des raisons historiques, le champ GECOS[1] qui est facultatif, sert � stocker des informations suppl�mentaires (telles que le nom complet de l'utilisateur). Il est possible de stocker dans ce champ de multiples entr�es sous forme d'une liste dont les �l�ments sont s�par�s par des virgules. Des utilitaires tels que finger permettent d'acc�der � ce champ afin de saisir des informations suppl�mentaires sur l'utilisateur.

  • R�pertoire personnel — Le chemin d'acc�s absolu au r�pertoire personnel (aussi appel� r�pertoire home ou maison) de l'utilisateur, comme par exemple, /home/juan/.

  • Shell — Le programme lanc� automatiquement lors de chaque connexion de l'utilisateur. Ce dernier est g�n�ralement un interp�teur de commandes (souvent appel� un shell). Sous Red Hat Enterprise Linux, la valeur par d�faut est /bin/bash. Si ce champ est laiss� blanc, /bin/sh sera la valeur utilis�e. Si la valeur choisie correspond � un fichier qui n'existe pas, l'utilisateur ne sera pas en mesure de se connecter au syst�me.

Ci-dessous figure l'exemple d'une entr�e pr�sente dans /etc/passwd:

root:x:0:0:root:/root:/bin/bash

Cette ligne montre que le super-utilisateur (ou root) dispose d'un mot de passe masqu� et que la valeur de UID et GID est 0. L'utilisateur root a /root/ comme r�pertoire personnel et utilise /bin/bash comme shell.

Pour obtenir de plus amples informations sur /etc/passwd, consultez la page de manuel de passwd(5).

6.3.2.2. /etc/shadow

�tant donn� que le fichier /etc/passwd doit �tre examinable par tout utilisateur (la raison principale �tant que ce fichier est utilis� pour effectuer la conversion de l'UID en nom d'utilisateur), il est risqu� de stocker les mots de passe de tous les utilisateurs dans /etc/passwd. Certes, les mots de passe sont cod�s. N�anmoins, il est tout � fait possible d'effectuer une attaque contre des mots de passe si leur format cod� est disponible.

Si un agresseur peut se procurer une copie du fichier /etc/passwd, il peut facilement orchestrer une attaque en secret. Au lieu de risquer d'�tre d�tect� en tentant de se connecter � l'aide de chacun des mots de passe potentiels g�n�r�s par un programme craqueur de mots de passe, un agresseur peut utiliser un tel programme de la mani�re suivante�:

  • Un craqueur de mots de passe g�n�re des mots de passe potentiels

  • Chaque mot de passe potentiel est alors cod� en utilisant le m�me algorithme que celui du syst�me

  • Le mot de passe potentiel ainsi cod� est alors compar� � la liste des mots de passe crypt�s pr�sente dans /etc/passwd

L'aspect le plus dangereux d'une telle attaque est qu'elle peut avoir lieu sur un syst�me tr�s �loign� de votre entreprise. Ainsi, l'agresseur peut utiliser le mat�riel le plus puissant qu'il soit et peut traiter un nombre impressionnant de mots de passe en une tr�s courte dur�e.

Telle est la raison pour laquelle le fichier /etc/shadow d'une part, ne peut �tre examin� que par le super-utilisateur et d'autre part contient des mots de passe (et en option, des informations sur l'expiration des mots de passe) pour chaque utilisateur. Comme dans le fichier /etc/passwd, les informations relatives � chaque utilisateur se trouvent sur une ligne diff�rente. Chacune de ces lignes appara�t sous la forme d'une liste d'�l�ments s�par�s par deux points et inclut les informations suivantes�:

  • Non d'utilisateur — Le nom ou identifiant (Username en anglais) que l'utilisateur saisit lorsqu'il se connecte au syst�me. Cet �l�ment permet � l'application login d'extraire le mot de passe de l'utilisateur (et les informations connexes).

  • Mot de passe crypt� — Le mot de passe d'une longueur de 13 � 24 caract�res. Ce dernier est cod� soit � l'aide de la fonction de biblioth�que crypt(3), soit � l'aide de l'algorithme de hashage md5. Dans ce champ, des valeurs autres qu'un mot de passe hash� ou cod� selon un format valide sont utilis�es pour contr�ler les connexions de l'utilisateur et indiquer le statut du mot de passe. Par exemple, si la valeur est ! ou *, le compte est verrouill� et l'utilisateur n'est pas autoris� � se connecter. Si la valeur est !!, un mot de passe n'a jamais �t� �tabli auparavant (et l'utilisateur, n'ayant pas de mot de passe, ne pourra pas se connecter).

  • Date du dernier changement du mot de passe — Le nombre de jours s'�tant �coul� entre le 1er janvier 1970 (date � laquelle ont fait aussi r�f�rence sous le terme �poque) et la date du dernier changement de mot de passe. Cet �l�ment est utilis� de concert avec les champs relatifs � l'expiration du mot de passe figurant ci-dessous.

  • Nombre de jours avant tout changement de mot de passe — Le nombre minimum de jours devant s'�couler avant que le mot de passe ne puisse �tre chang�.

  • Nombre de jours avant un changement de mot de passe n�cessaire — Le nombre minimum de jours devant s'�couler avant que le mot de passe ne doive �tre chang�.

  • Nombre de jours avertissant d'un changement de mot de passe imminent — Le nombre de jours pr�c�dent l'expiration d'un mot de passe pendant lesquels l'utilisateur est averti de l'expiration imminente du mot de passe.

  • Le nombre de jours pr�c�dent la d�sactivation du compte — Le nombre de jours pouvant s'�couler avant que le compte ne soit d�sactiv�.

  • Date de d�sactivation du compte — La date (exprim�e en tant que le nombre de jours �coul�s depuis l'�poque) � partir de laquelle le compte a �t� d�sactiv�.

  • Un champ r�serv� — Un champ qui n'est pas pris en compte dans Red Hat Enterprise Linux.

Ci-apr�s figure l'exemple d'une ligne tir�e du fichier /etc/shadow�:

juan:$1$.QKDPc5E$SWlkjRWexrXYgc98F.:12825:0:90:5:30:13096:

Cette ligne montre les informations suivantes s'appliquant � l'utilisateur juan�:

  • Le dernier changement de mot de passe date du 11 f�vrier 2005

  • Le mot de passe peut �tre chang� � tout moment puisqu'aucun d�lai n'existe

  • Le mot de passe doit �tre chang� tous les 90 jours

  • L'utilisateur recevra un avertissement cinq jours avant la date d'expiration du mot de passe

  • Le compte sera d�sactiv� 30 jours apr�s la date d'expiration du mot de passe si aucune tentative de connexion n'est effectu�e

  • La validit� du compte viendra � �ch�ance le 9 novembre 2005

Pour obtenir de plus amples informations sur le fichier /etc/shadow, consultez la page de manuel de shadow(5).

6.3.2.3. /etc/group

Le fichier /etc/group, examinable par tout utilisateur, contient une liste de groupes o� chacun d'eux figure sur une ligne diff�rente. Chaque ligne, compos�e de quatre champs apparaissant sous forme de liste dont les �l�ments sont s�par�s par deux points, inclut les informations suivantes�:

  • Nom du groupe — Le nom du groupe qui est utilis� par diff�rents programmes utilitaires comme identifiant lisible pour le groupe.

  • Mot de passe du groupe — S'il existe, il permet aux utilisateurs qui ne font pas partie du groupe de le rejoindre en utilisant la commande newgrp et en saisissant le mot de passe d�fini. La pr�sence d'un caract�re x minuscule dans ce champ indique que des mots de passe masqu�s sont utilis�s pour le groupe.

  • ID du groupe (GID) — L'�quivalent num�rique du nom de groupe qui est utilis� par le syst�me d'exploitation et par les applications lors de l'�tablissement des privil�ges d'acc�s.

  • Liste des membres — Une liste des utilisateurs appartenant au groupe dont les �l�ments sont s�par�s par une virgule.

Ci-apr�s figure l'exemple d'une ligne tir�e du fichier /etc/group�:

general:x:502:juan,shelley,bob

Cette ligne montre que le groupe general utilise des mots de passe masqu�s, qu'il a un GID de 502 et que juan, shelley et bob sont des membres du groupe.

Pour obtenir de plus amples informations sur /etc/group, reportez-vous � la page de manuel de group(5).

6.3.2.4. /etc/gshadow

Le fichier /etc/gshadow, examinable seulement par le super-utilisateur, contient un mot de passe cod� pour chaque groupe ainsi que des informations sur les membres du groupe et sur les administrateurs. Tout comme dans le fichier /etc/group, les informations sur chaque groupe apparaissent sur une ligne diff�rente. Sur chacune d'elles appara�t une liste dont les �l�ments s�par�s les uns de sautres par une virgule, fournissent les informations suivantes�:

  • Nom du groupe — Le nom du groupe qui est utilis� par diff�rents programmes utilitaires comme identifiant lisible pour le groupe.

  • Mot de passe crypt� — Le mot de passe cod� du groupe. S'il est �tabli, les membres qui n'appartiennent pas au groupe peuvent le rejoindre en saisissant le mot de passe de ce dernier � l'aide de la commande newgrp. Si la valeur de ce champ est !, aucun utilisateur n'est autoris� � acc�der au groupe � l'aide de la commande newgrp. Une valeur correspondant � !! est trait�e de la m�me mani�re que ! — toutefois, elle indique en plus qu'un mot de passe n'a jamais �t� �tabli auparavant. Finalement, si la valeur est nulle, seuls les membres du groupe peuvent se connecter au groupe.

  • Administrateurs du groupe — Les membres du groupe �num�r�s dans ce champ (dans une liste dont les �l�ments sont s�par�s les uns des autres par une virgule) peuvent ajouter ou retirer des membres � l'aide de la commande gpasswd.

  • Membres du groupe — Les membres du groupe �num�r�s dans ce champ (dans une liste dont les �l�ments sont s�par�s les uns des autres par une virgule) sont des membres normaux du groupe ne pouvant pas effectuer de t�ches d'administration.

Ci-apr�s figure l'exemple d'une ligne tir�e du fichier /etc/gshadow�:

general:!!:shelley:juan,bob

Cette ligne montre que le groupe general n'a pas de mot de passe et ne permet pas aux utilisateurs n'en faisant pas partie de l'int�grer � l'aide de la commande newgrp. De plus, shelley est un administrateur du groupe alors que juan et bob eux, sont des membres normaux ne disposant pas de privil�ges administratifs.

�tant donn� que la modification manuelle de ces fichiers peut �tre la source d'erreurs de syntaxe, il est plut�t conseill� de recourir aux applications fournies avec Red Hat Enterprise Linux pour effectuer ce genre d'op�rations. La section suivante passe en revue les outils permettant d'effectuer ces op�rations.

6.3.3. Applications pour les comptes utilisateur et groupes

Sur des syst�mes Red Hat Enterprise Linux, deux types d'applications �l�mentaires peuvent �tre utilis�s lors de la gestion des comptes utilisateur et des groupes�:

  • L'application graphique Gestionnaire d'utilisateurs

  • Une suite d'outils en ligne de commande

Pour obtenir des instructions d�taill�es sur l'utilisation du Gestionnaire d'utilisateurs, reportez-vous au chapitre intitul� Configuration des utilisateurs et groupes du Guide d'administration syst�me de Red Hat Enterprise Linux.

Alors que l'application Gestionnaire d'utilisateurs et les utilitaires en ligne de commande effectuent tous plus ou moins la m�me t�che, les outils en ligne de commande ont l'avantage de pouvoir �tre script�s et permettent par cons�quent une automatisation plus facile de leurs t�ches.

Le tableau ci-dessous passe en revue certains des outils en ligne de commande les plus couramement utilis�s pour la cr�ation et la gestion des comptes utilisateur et des groupes�:

ApplicationFonction
/usr/sbin/useraddAjoute les comptes utilisateur. Cet outil est aussi utilis� pour pr�ciser s'il s'agit d'une appartenance primaire ou secondaire au groupe.
/usr/sbin/userdelSupprime des comptes utilisateur.
/usr/sbin/usermodModifie les attributs des comptes y compris certaines fonctions li�es � l'expiration de mots de passe. Pour un contr�le plus minutieux, utilisez la commande passwd. Il est aussi possible d'utiliser usermod pour pr�ciser s'il s'agit d'une appartenance primaire ou secondaire au groupe.
passwdPermet d'�tablir les mots de passe. Bien que cette commande soit essentiellement utilis�e pour changer le mot de passe d'un utilisateur, elle contr�le �galement toutes les facettes de l'expiration des mots de passe.
/usr/sbin/chpasswdLit le contenu d'un fichier compos� de paires nom d'utilisateur/mot de passe et met � jour le mot de passe de chaque utilisateur en cons�quence.
chageModifie les politiques d'expiration des mots de passe des utilisateurs. La commande passwd peut �galement remplir cette fonction.
chfnModifie les informations du champ GECOS de l'utilisateur.
chshModifie le shell par d�faut de l'utilisateur.

Tableau 6-2. Outils en ligne de commande pour la gestion des utilisateurs

Le tableau ci-dessous examine certains des outils de ligne de commande les plus couramment utilis�s pour cr�er et g�rer les groupes�:

ApplicationFonction
/usr/sbin/groupaddAjoute des groupes sans leur assigner de membres. Les programmes useradd et usermod doivent ensuite �tre utilis�s pour assigner des utilisateurs � un groupe donn�.
/usr/sbin/groupdelSupprime des groupes.
/usr/sbin/groupmodModifie les noms des groupes ou GID sans changer les membres appartenant aux groupes. Les programmes useradd et usermod doivent ensuite �tre utilis�s pour assigner des utilisateurs � un groupe donn�.
gpasswdChange les membres du groupe et �tablit des mots de passe afin que des utilisateurs ext�rieurs au groupe, mais connaissant le mot de passe de ce dernier, puissent l'int�grer. Cette commande permet �galement de sp�cifier les administrateurs du groupe.
/usr/sbin/grpckV�rifie l'int�grit� des fichiers /etc/group et /etc/gshadow.

Tableau 6-3. Outils de ligne de commande pour la gestion des groupes

Les outils �num�r�s jusqu'� pr�sent fournissent aux administrateurs syst�me une grande souplesse au niveau du contr�le de tous les aspects des comptes utilisateur et de appartenance � un groupe. Pour en savoir plus sur la mani�re dont ils fonctionnent, consultez la page de manuel de chacun d'eux.

Ces applications ne d�terminent toutefois pas les ressources que les utilisateurs et groupes contr�lent. Pour contr�ler cet aspect, un administrateur syst�me doit recourir aux applications permettant l'�tablissement de permissions sur les fichiers.

6.3.3.1. Applications pour l'�tablissement de permissions sur les fichiers

L'�tablissement des permissions s'appliquant aux fichiers constitue une partie int�grante de la gestion des ressources au sein d'une entreprise. Le tableau ci-dessous examine certains des outils en ligne de commande les plus couramment utilis�s � cet effet.

ApplicationFonction
chgrpChange l'identit� du groupe propri�taire d'un fichier donn�.
chmodChange les permissions d'acc�s d'un fichier donn�. Cette commande permet �galement d'assigner des permissions sp�ciales.
chownChange la propri�t� d'un fichier (et peut �galement changer le groupe).

Tableau 6-4. Outils en ligne de commande pour la gestion des permissions

Il est �galement possible de modifier ces attributs dans des environnements graphiques GNOME et KDE. Pour ce faire, cliquez � l'aide du bouton droit de la souris sur l'ic�ne du fichier (par exemple, alors que l'ic�ne appara�t dans le gestionnaire de fichiers graphique ou sur le bureau) et s�lectionnez Propri�t�s.

Notes

[1]

L'acronyme GECOS signifie General Electric Comprehensive Operating Supervisor. Ce champ �tait utilis� dans le pass� par Bell Labs dans l'impl�mentation UNIX d'origine. Le laboratoire avait de nombreux ordinateurs dont un ex�cutant GECOS. Ce champ �tait utilis� pour stocker des informations lorsque le syst�me UNIX envoyait des lots et des travaux d'impression au syst�me GECOS.

 
 
  Published under the terms of the GNU General Public License Design by Interspire