Administration système UNIX version 8.0

Transcription

1 Administration système UNIX version 8.0 Partie Thierry Besançon Philippe Weill Université Pierre et Marie Curie - PARIS 6 Formation Permanente 4, place Jussieu Paris Cedex 05 web :

2 Les animateurs de ce cours peuvent être joints aux adresses suivantes : Thierry.Besancon@formation.jussieu.fr Philippe.Weill@formation.jussieu.fr Ce cours est disponible au format PDF sur le web à l URL : Si vous améliorez ce cours, merci de m envoyez vos modifications! :-) Des énoncés de TP et leurs corrigés sont disponibles sur le web à l URL : Copyright (c) by Thierry.Besancon@formation.jussieu.fr This material may be distributed only subject to the terms and conditions set forth in the Open Publication Licence, v1.0 or later (the latest version is available at "...the number of UNIX installations has grown to 10, with more expected..." - Dennis Ritchie and Ken Thompson, June 1972

3 Table des matières N o de transparent Chapitre 33 Gestion des comptes utilisateurs Le fichier /etc/passwd Format du fichier /etc/passwd, <pwd.h> Chiffrement des mots de passe : crypt() Cycle du mot de passe et commande passwd Cycle du mot de passe et commande login Shadow passwords, /etc/shadow, <shadow.h> Le fichier /etc/group, <grp.h> Création d un nouveau compte : useradd, adduser, groupadd, addgroup Compte root Comptes fictifs système Commande id Commande groups Commande su Commande su (2) Changer le propriétaire d objets : chown Changer le groupe propriétaire d objets : chgrp Deviner des mots de passe (Windows : : net user) (Windows : : cusrmgr.exe) (Windows : : lusrmgr.msc) (Windows : : secpol.msc) Interdiction des logins (Windows : : Interdiction des logins) (Windows : : perte du mot de passe de l administrateur) Chapitre 34 NIS Architecture de NIS Données NIS : maps NIS, DBM, ypcat, ypmatch Client NIS, domainname, ypbind, ypwhich, ypset Slave server NIS, ypserv, ypxfr Master server NIS, ypxfrd, rpc.yppasswdd, yppasswd Netgroups Installation de NIS Chapitre 35 NIS Chapitre 36 LDAP Problématique Principe d annuaire Annuaire LDAP Modèle de données de LDAP : DIT, suffixe Modèle de données de LDAP : entrée, attributs, DN, URL Modèle de données de LDAP : schéma, syntaxes, OID, objectclass Protocole LDAP / Bind Format de données LDIF Implémentations OpenLDAP ObjectClass posixaccount, shadowaccount Un peu de bibliographie Chapitre 37 Sélection de naming services, /etc/nsswitch.conf Problématique Syntaxe de /etc/nsswitch.conf Exemple de /etc/nsswitch.conf A propos de LDAP

4 Chapitre 38 Pluggable Authentification Module, PAM Problématique Principe de PAM Fichier de configuration /etc/pam.conf Directives d essai des modules Modules, /usr/lib/security Options des modules Exemple Exemple A propos de LDAP Un peu de bibliographie Chapitre 39 Connexion des utilisateurs Fichier utmp : <utmp.h> Fichier utmpx : <utmpx.h> Fichier wtmp : <utmp.h> Fichier wtmpx : <utmpx.h> Commande last Chapitre 40 Pseudo terminaux Devices associés aux pseudo terminaux Commande tty, device /dev/tty Nombre de terminaux Phase de connexion, init, getty Liste BSD des terminaux physiques : /etc/ttys Liste System-V des terminaux physiques : /etc/inittab Terminaux sécurisés Chapitre 41 Terminaux X, XDM introduction sur les terminaux X XDM : X Display Management Requêtes XDMCP Gestion directe de serveurs X Fichier de configuration xdm-config Fichier de configuration Xaccess Fichier de configuration Xservers Fichier de configuration Xresources Application CHOOSER Ressources X pour XDM KDM : KDE Display Manager GDM : Gnome Display Manager Session X de l utilisateur Mode Failsafe Chapitre 42 Terminaux légers Problématique RDP ICA VNC SUNRAY Chapitre 43 Protocole IP Ethernet Adresses IP Adresse spéciale : adresse de loopback Netmask Adresse de broadcast Configuration de l adresse réseau Unix : ifconfig Configuration d adresses réseau virtuelles

5 8 (Windows : : netsh) Annuaire basique : /etc/hosts Routage : route (Windows : : route) Routage : netstat (Windows : : netstat) Tests de connectivité : ping (Windows : : ping) Tests de connectivité : traceroute (Windows : : tracert) Utilitaire libpcap (Windows : : netcap) Utilitaire tcpdump Utilitaire ethereal (Windows : : etherreal) Utilitaire lsof Logiciels de dessin de réseaux Un peu de bibliographie Chapitre 44 Domain Name Server (DNS) Principes du DNS Zone DNS Requête d interrogation du DNS Implémentation : BIND, named F.root-servers.net (vieille version) F.root-servers.net (à jour) Utilitaire rndc Fichier /etc/resolv.conf Utilitaire nslookup Utilitaire dig Record de type PTR Fichier /etc/nsswitch.conf Délégation d une partie de classe C Nom de machine, hostname WHOIS Espace de confiance Un peu de documentation Chapitre 45 Partage de fichiers NFS Principe de NFS Lancement de NFS Exportation NFS, /etc/exports, /etc/dfs/dfstab Exportation root NFS Règle de non transitivité NFS Montage NFS manuel Montage NFS automatique Option de montage NFS soft Option de montage NFS hard Vérification des exportations : showmount Vérification des exportations : rpcinfo Messages d erreur NFS Automounter Schéma récapitulatif Chapitre 46 Synchronisation manuelle de fichiers Synchronisation de fichiers via rdist Synchronisation de fichiers via rsync

6 Chapitre 47 Gestionnaire de services réseau : inetd Principe /etc/services netstat -a, netstat -an /etc/inetd.conf Reconfiguration de inetd, SIGHUP Filedescriptors et serveurs lancés par inetd Chapitre 48 TCP Wrappers Rappel sur inetd Principe des TCP Wrappers, tcpd Modifications de /etc/inetd.conf Contrôle d accès, /etc/hosts.allow, /etc/hosts.deny libwrap.a Chapitre 49 Gestionnaire de services réseau (2) : xinetd Fichier de configuration /etc/xinetd.conf Réglages par défaut Configuration d un service /etc/xinetd.conf : directive nice /etc/xinetd.conf : directive access_times /etc/xinetd.conf : directives bind, id /etc/xinetd.conf : directive redirect /etc/xinetd.conf : tcpd et directive NAMEINARGS /etc/xinetd.conf : directive chroot Reconfiguration, signaux Chapitre 50 Quelques services et protocoles réseau Services réseau inutiles Protocole TELNET, telnet, telnetd Protocole RLOGIN, rlogin, rlogind Protocole FTP, ftp, ftpd Protocole TFTP, tftp, tftpd Protocole RARP, obtention d adresse IP Protocole RARP : rarpd Protocole BOOTP : bootpd Protocole DHCP, dhcpd, dhcpd.conf, dhclient Chapitre 51 Courrier électronique Composantes du système du courrier électronique Mail Transfer Agent (MTA) Sendmail Postfix Normes utilisées par sendmail et postfix Adresses postmaster, abuse, SPAM Adresses génériques, reverses Protocoles de consultation : POP, IMAP

7 Gestion des comptes utilisateurs Chapitre 33 : Gestion des comptes utilisateurs Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 1 Gestion des comptes utilisateurs Un compte utilisateur : définition de son identification pour le système définition d un environnement utilisateur Opérations possibles : création modifications destruction Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 2

8 Gestion des comptes utilisateurs Le fichier /etc/passwd 33.1 Le fichier /etc/passwd Le fichier /etc/passwd contient les informations sur les utilisateurs. Sur tous les Unix! Exemple : root:u/oecqo.cmnyc:0:1:operator:/root:/bin/csh nobody:*:65534:65534::/: daemon:*:1:1::/: sys:*:2:2::/:/bin/csh bin:*:3:3::/bin: besancon:vshntkfqz8mek:4332:1000::/users/adm/besancon:/bin/bash... Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 3 Gestion des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> 33.2 Format du fichier /etc/passwd, <pwd.h> Le format est composé de 7 champs séparés par le caractére : : login : mot de passe : UID : GID : gecos : homedir : shell Pour la définition exacte sur sa machine, se reporter à <pwd.h>. Par exemple sur Linux : /* The passwd structure. */ struct passwd { char *pw_name; /* Username. */ char *pw_passwd; /* Password. */ uid_t pw_uid; /* User ID. */ gid_t pw_gid; /* Group ID. */ char *pw_gecos; /* Real name. */ char *pw_dir; /* Home directory. */ char *pw_shell; /* Shell program. */ }; Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 4

9 Gestion des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> champ 1 : login Nom sous lequel un ordinateur connait un individu. 8 caractères en général. Pour plus, vérifier Sur Linux, on peut avoir des noms plus longs que 8. Conseils : pas de majuscules, éviter les caractères accentués. Bref : lettres minuscules, chiffres et caractère «-» champ 2 : mot de passe Mot de passe de l utilisateur stocké sous forme chiffrée non déchiffrable. Nécessité d éduquer les utilisateurs pour choisir un bon mot de passe. Les logiciels de crack de mots de passe ne déchiffrent pas les mots de passe : ils font des essais à base de dictionnaires. crack : ftp://ftp.lip6.fr/pub/unix/security/crack5.0.tar.gz john : ftp://ftp.false.com/pub/security/john/john-1.6.tar.gz Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 5 Gestion des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> champ 3 : UID Identificateur numérique compris entre 0 et (short int a priori). Sur Linux, c est un uid_t (équivalent à un unsigned int) Cette valeur doit être unique au sein des utilisateurs. champ 4 : GID Identificateur numérique compris entre 0 et (short int a priori). Sur Linux, c est un gid_t (équivalent à un unsigned int) Cette valeur doit être unique au sein des groupes. % ls -l -rw-r--r-- 1 besancon software 5928 Sep 15 22:49 fichier1.txt -rw-r--r-- 1 besancon software 940 Sep 15 22:27 fichier2.txt % ls -ln -rw-r--r Sep 15 22:47 fichier1.txt -rw-r--r Sep 15 22:27 fichier2.txt Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 6

10 Gestion des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> champ 5 : gecos Identité en clair de l utilisateur. Les systèmes BSD y ont stocké d autres informations comme le numéro de téléphone, le numéro de bureau etc. La commande chfn (change finger) permet de modifier ce champs. champ 6 : homedir Répertoire par défaut. champ 7 : shell Shell par défaut. Si le champ est vide, on prend /bin/sh par défaut. Le shell déterminera les fichiers de configuration à installer chez l utilisateur. La commande chsh (change shell) permet de choisir parmi les shells mentionnés dans /etc/shells. Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 7 Gestion des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> Quelques constatations : les UIDs ne sont pas nécessairement consécutifs ; il peut y avoir des trous dans la numérotation une ligne dans «/etc/passwd» n implique pas que le homedirectory existe ; on peut avoir un utilisateur défini sans que sont homedir existe des fichiers peuvent appartenir à un UID qui n est pas utilisé dans «/etc/passwd» on peut avoir plusieurs utilisateurs définis ayant tous les même UID ; au niveau de la commande «ps», c est le premier du fichier qui apparaitra. Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 8

11 Gestion des comptes utilisateurs Format du fichier /etc/passwd, <pwd.h> Quelques conseils : Il faut toujours trier les lignes de /etc/passwd selon l ordre numérique des UID : # sort -t : +2n -3 /etc/passwd Il ne faut jamais laisser de comptes sans mot de passe. Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 9 Gestion des comptes utilisateurs Chiffrement des mots de passe : crypt() 33.3 Chiffrement des mots de passe : crypt() Les mots de passe sont stockés sur une forme chiffrée, mathématiquement non réversible. Algorithme de chiffrement : DES, standard fédéral de l administration américaine Ce chiffrement non réversible est dit hashing (le mot de passe chiffré est dit hashed). Disponible sur Unix via la fonction C crypt() : premier paramètre : la chaine à chiffrer second paramètre : la graine (dite salt en anglais) composée de 2 caractères résultat renvoyé : une chaine dont les 2 premiers caractères reprennent le salt Ainsi crypt("qwerty", "NU") renvoie NUMVcLVD/dM12 Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 10

12 Gestion des comptes utilisateurs Chiffrement des mots de passe : crypt() Exemple de programme C complet : #include<stdio.h> main(int argc, char *argv[]) { printf("=> %s\n", crypt(getpass("chaine a chiffrer :"), argv[1])); } Compiler sur LINUX par : % gcc crypt.c -o crypt.exe -lcrypt Une fois compilé, le programme montre : %./textcrypt NU Chaine a chiffrer : XXXXXXXX => NUMVcLVD/dM12 <-- QWERTY pour l exemple Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 11 Gestion des comptes utilisateurs Cycle du mot de passe et commande passwd 33.4 Cycle du mot de passe et commande passwd La commande pour changer de mot de passe d un utilisateur dans /etc/passwd est passwd. Elle appelle crypt() avec un nouveau salt tiré au hasard et avec le nouveau mot de passe entré. passwd crypt() hashed password randomseed or "salt" serveur /etc/passwd (/etc/shadow) Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 12

13 Gestion des comptes utilisateurs Cycle du mot de passe et commande passwd Comportement lorsqu un utilisateur change un mot de passe % passwd passwd: Changing password for besancon Enter login password: XXXXXXXX New password: ZZZZZZZZ Re-enter new password: ZZZZZZZZ passwd (SYSTEM): passwd successfully changed for besancon On tache de vérifier l identité de la personne en demandant le mot de passe initial. Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 13 Gestion des comptes utilisateurs Cycle du mot de passe et commande passwd Comportement lorsque l administrateur root change un mot de passe # passwd besancon New password: XXXXXXXX Re-enter new password: XXXXXXXX passwd (SYSTEM): passwd successfully changed for besancon Root n a jamais besoin de connaître le mot de passe d un utilisateur pour en changer le mot de passe. Lorsqu un utilisateur a perdu son mot de passe : root ne peut pas déchiffrer la chaine chiffrée dans /etc/passwd root peut changer le mot de passe par passwd groslourd Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 14

14 Gestion des comptes utilisateurs Cycle du mot de passe et commande passwd La commande passwd peut comporter plus ou moins de règles de vérification de la sûreté du mot de passe : % passwd besancon Enter login password: XXXXXXXX New password: XXXXXXXX <-- on entre exprès le même mot de passe passwd(system): Passwords must differ by at least 3 positions New password: YYYYYYYY <-- mélange de lettres minuscules et majuscules passwd(system): The first 6 characters of the password must contain at least two alphabetic characters and at least one numeric or special character. passwd(system): Too many failures - try later. Permission denied Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 15 Gestion des comptes utilisateurs Cycle du mot de passe et commande login 33.5 Cycle du mot de passe et commande login La commande login est lancée par le système pour se connecter. Elle va devoir vérifier si les mots de passe entré et stocké sont identiques, sachant que le mot de passe est stocké sous une forme hashée. Si le mot de passe hashé est saelydiafuf5o, on réalisera donc au login la comparaison C : strcmp("saelydiafuf5o", crypt("xxxxxxxx", "sa")) avec XXXXXXXX le mot de passe en clair. Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 16

15 Gestion des comptes utilisateurs Cycle du mot de passe et commande login 1. L utilisateur entre login et mot de passe 2. On recupère la structure pwd de l utilisateur login 3. On extrait le salt 4. crypt() des données entrées 5. On extrait le passwd serveur /etc/passwd (ou /etc/shadow) 6. Comparaison hash stocké et hash calculé 7a. comparaison OK : connexion acceptée 7b. comparaison fausse : connexion refusée Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 17 Gestion des comptes utilisateurs Shadow passwords, /etc/shadow, <shadow.h> 33.6 Shadow passwords, /etc/shadow, <shadow.h> L idée part de la constatation que, si beaucoup de programmes accèdent au contenu de /etc/passwd pour les informations concernant UID, homedir, shell, peu en revanche l accèdent pour le mot de passe. On supprime donc le mot de passe chiffré du fichier /etc/passwd pour le stocker dans un fichier à accès plus restreint. L ancien mot de passe chiffré est remplacé par exemple par un caractère comme «*»ou «x» pour conserver la structure du fichier /etc/passwd initial de façon à être compatible avec d anciennes applications. Plusieurs formats de fichiers shadow sont utilisés par les constructeurs qui ne se sont pas mis d accord. Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 18

16 Gestion des comptes utilisateurs Shadow passwords, /etc/shadow, <shadow.h> Exemple sur LINUX -rw-r--r-- -rw root wheel Sep 15 22:51 /etc/passwd root wheel Sep 15 22:50 /etc/shadow # cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: adm:x:3:4:adm:/var/adm:... # cat /etc/shadow root:fuqzjkzpwaytc:11237:0:99999:7:-1:-1: bin:*:11237:0:99999:7::: daemon:*:11237:0:99999:7::: adm:*:11237:0:99999:7:::... Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 19 Gestion des comptes utilisateurs Shadow passwords, /etc/shadow, <shadow.h> Exemple sur SOLARIS -rw-r--r-- 1 root sys 1032 Jul 11 23:21 /etc/passwd -rw root sys 536 Jul 11 23:14 /etc/shadow # cat /etc/passwd root:x:0:1:super-user:/:/sbin/sh daemon:x:1:1::/: bin:x:2:2::/usr/bin:... boumaiza:x:1001:1000:lyazid Boumaiza:/net/serveur/home/ars/boumaiza:/bin/tcsh corsini:x:1002:1000:franck Corsini:/net/serveur/home/ars/corsini:/bin/tcsh... # cat /etc/shadow root:y8fpbbq414tbu:6445:::::: daemon:np:6445:::::: bin:np:6445::::::... boumaiza:aaljcbuvx/xem:11255:::::: corsini:5ag56r/m.kd9a:10912::::::... Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 20

17 Gestion des comptes utilisateurs Le fichier /etc/group, <grp.h> 33.7 Le fichier /etc/group, <grp.h> Le format est composé de 4 champs séparés par le caractére : : group : mot de passe : GID : membres Pour la définition exacte sur sa machine, se reporter à <grp.h>. Par exemple, sur une machine Linux : /* The group structure. */ struct group { char *gr_name; /* Group name. */ char *gr_passwd; /* Password. */ gid_t gr_gid; /* Group ID. */ char **gr_mem; /* Member list. */ }; Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 21 Gestion des comptes utilisateurs Le fichier /etc/group, <grp.h> champ 1 : group Nom du groupe apparaissant par ls -lg. champ 2 : mot de passe Mot de passe du groupe. champ 3 : GID Identificateur numérique compris entre 0 et Sur Linux, c est un gid_t (équivalent à un unsigned int) Cette valeur doit être unique au sein des groupes. champ 4 : membres Liste de noms de login séparés par des virgules. Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 22

18 Gestion des comptes utilisateurs Création d un nouveau compte : useradd, adduser, groupadd, addgroup 33.8 Création d un nouveau compte : useradd, adduser, groupadd, addgroup Action mécanique automatisable. Selon le système, elle est déjà automatisée sous la forme d une commande d administration : Unix AIX HP-UX Solaris FreeBSD FreeBSD LINUX Programme smit sam admintool adduser useradd adduser et useradd Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 23 Gestion des comptes utilisateurs Création d un nouveau compte : useradd, adduser, groupadd, addgroup Exemple d interface graphique de création de compte : Problème : comment créer 3000 comptes en une après-midi avec cette interface? Problème : comment personnaliser cette interface? Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 24

19 Gestion des comptes utilisateurs Création d un nouveau compte : useradd, adduser, groupadd, addgroup Actions schématiques à accomplir lors de la création d un compte : 1. choix de l UID et du GID en fonction du service d appartenance de la personne 2. choix du homedir (en fonction du service?) 3. choix du nom de login selon la politique locale 4. choix du shell de login 5. incorporation de ces informations dans la base de données des comptes (/etc/passwd ou NIS selon la politique du service) ; * comme mot de passe par défaut Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 25 Gestion des comptes utilisateurs Création d un nouveau compte : useradd, adduser, groupadd, addgroup 6. ajout de l utilisateur dans /etc/group 7. création du homedir 8. copie des fichiers de configuration de l environnement (.profile,.cshrc,.xsession etc.) 9. attribuer le homedir créé à l utilisateur par chown + chgrp 10. initialisation du mot de passe si l utilisateur est présent L étape délicate dans une automatisation de création de compte est bien sûr l incorporation d une nouvelle ligne dans la base de données. Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 26

20 Gestion des comptes utilisateurs Compte root 33.9 Compte root «root» est le nom du login Unix de l administrateur. NE PAS ESSAYER DE LE CHANGER! : codé profondément dans tous les programmes Unix Le shell de «root» a traditionnellement pour prompt «#» (voir variable d environnement «PS1»). Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 27 Gestion des comptes utilisateurs Compte root Déconseillé de travailler en permanence sous le nom de «root». Cf fond d écran de «root» sous LINUX Mandrake : Formation permanente Paris 6 ARS 8.0 c Thierry Besançon 28