Red Hat Linux 7.1: Guide de référence officiel Red Hat Linux
Précédent		Suivant

Chapitre 12. Contrôle des accès et des privilèges

Selon une politique de sécurité courante, la sécurité du système se base sur l'incapacité des utilisateurs ou des groupes à faire plus que ce qu'ils ne devraient. La plupart des changements quotidiens concernent le contrôle correct des accès et des privilèges accordés aux groupes et aux utilisateurs. (Voir le Chapitre 2 pour plus d'informations sur la création et la configuration correctes des utilisateurs et des groupes.)

Toutefois, bien des organisations utilisant Red Hat Linux requièrent une sécurité accrue ou des configurations particulières qui permettent d'obtenir un accès plus ou moins élevé aux applications ou aux périphériques du système. Cette section fournit des méthodes qui permettent d'obtenir un niveau d'accès et de privilèges approprié à ses propres besoins.

Utilitaires masqués

Si vous êtes dans un environnement multi-utilisateur et n'utilisez ni PAM ni Kerberos, vous devriez envisager d'utiliser des utilitaires masqués (aussi connus sous le nom de mots de passe masqués) car ils offrent une protection accrue des fichiers d'authentification de votre système. Pendant l'installation de Red Hat Linux, les mots de passe masqués et les mots de passe MD5 (une méthode alternative et sans doute plus sûre de cryptage des mots de passe pour le stockage sur votre système) sont activés par défaut.

Les mots de passe masqués offrent d'autres avantages par rapport au système standard de stockage des mots de passe sur UNIX et Linux, notamment :

Une méthode permettant d'améliorer la sécurité du système en déplaçant les mots de passe cryptés (se trouvant normalement dans /etc/passwd) vers /etc/shadow qui n'est lisible que par root.
Des informations concernant le vieillissement du mot de passe (le temps qui s'est écoulé depuis la dernière modification du mot de passe).
Un contrôle sur la durée de validité du mot de passe (le moment où l'utilisateur doit le modifier).
La possibilité d'utiliser le fichier /etc/login.defs pour imposer une règle de sécurité, en particulier une règle concernant le vieillissement du mot de passe.

Le paquetage shadow-utils contient des utilitaires qui gèrent :

la conversion des mots de passes normaux en mots de passe masqués et vice-versa (pwconv, pwunconv),
la vérification du mot de passe, du groupe et des fichiers masqués associés (pwck, grpck),
des méthodes standard d'ajout, de suppression et de modification des comptes utilisateurs (useradd, usermod et userdel),
des méthodes standard d'ajout, de suppression et de modification des groupes utilisateurs (groupadd, groupmod et groupdel),
des méthodes standard d'administration du fichier /etc/group au moyen de la commande gpasswd.

Remarque

	Remarque
	Ces utilitaires offrent d'autres avantages : Les utilitaires fonctionneront parfaitement que les mots de passe masqués soient activés ou non. Les utilitaires ont été légèrement modifiés pour gérer le schéma du groupe propre à l'utilisateur de Red Hat. Pour obtenir un description de ces modifications, reportez-vous à la page du manuel qui reporte la commande useradd. Pour plus de détails sur les groupes propres à l'utilisateur, passez à la la section intitulée Groupes propres à l'utilisateur dans Chapitre 2. Le script adduser a été remplacé par un lien symbolique à script `/usr/sbin/useradd`. Les outils composant le paquetage `shadow-utils` ne sont pas compatibles avec Kerberos et LDAP. Les nouveaux utilisateurs seront uniquement locaux. Pour plus d'informations sur Kerberos et LDAP, reportez-vous au Chapitre 9 et au Chapitre 4.

Ces utilitaires offrent d'autres avantages :

Les utilitaires fonctionneront parfaitement que les mots de passe masqués soient activés ou non.
Les utilitaires ont été légèrement modifiés pour gérer le schéma du groupe propre à l'utilisateur de Red Hat. Pour obtenir un description de ces modifications, reportez-vous à la page du manuel qui reporte la commande useradd. Pour plus de détails sur les groupes propres à l'utilisateur, passez à la la section intitulée Groupes propres à l'utilisateur dans Chapitre 2.
Le script adduser a été remplacé par un lien symbolique à script /usr/sbin/useradd.
Les outils composant le paquetage shadow-utils ne sont pas compatibles avec Kerberos et LDAP. Les nouveaux utilisateurs seront uniquement locaux. Pour plus d'informations sur Kerberos et LDAP, reportez-vous au Chapitre 9 et au Chapitre 4.

Précédent	Sommaire	Suivant
Exiger SSH pour les connexions à distance	Niveau supérieur	Configuration de l'accès à la console