8.4. Base de données des utilisateurs et des groupes

La liste des utilisateurs est habituellement stockée dans le fichier /etc/passwd, alors que le fichier /etc/shadow stocke les mots de passe chiffrés. Tous deux sont de simples fichiers texte, au format relativement simple, consultables et modifiables avec un éditeur de texte. Chaque utilisateur y est décrit sur une ligne par plusieurs champs séparés par des deux-points (« : »).

ATTENTION Édition des fichiers système

Les fichiers système mentionnés dans ce chapitre sont au format texte simple et sont donc éditables avec un éditeur de texte. Étant donnée leur importance, il est toutefois recommandé de prendre des précautions supplémentaires garantissant qu'un fichier ne soit pas modifié par plusieurs personnes à la fois (ce qui pourrait causer une corruption).

Pour cela, il suffit d'employer la commande vipw pour éditer /etc/passwd, ou vigr pour /etc/group. Ces dernières posent un verrou sur le fichier concerné avant d'exécuter un éditeur de texte (vi par défaut, sauf si la variable d'environnement EDITOR est définie). L'option -s de ces commandes permet d'éditer le fichier shadow correspondant.

B.A.-BA Crypt, une fonction à sens unique

crypt est une fonction à sens unique qui transforme une chaîne (A) en une autre chaîne (B) de telle sorte qu'à partir de B, il ne soit pas possible dans le cas général de retrouver A. La seule manière d'identifier A est de tester toutes les valeurs possibles, en vérifiant pour chacune si sa transformation par la fonction produit B ou non. Elle utilise jusqu'à 8 caractères en entrée (chaîne A) et génère une chaîne de 13 caractères ASCII imprimables (chaîne B).

8.4.1. Liste des utilisateurs : `/etc/passwd`

Voici la liste des champs du fichier /etc/passwd :

identifiant (ou login), par exemple rhertzog ;
mot de passe : il s'agit d'un mot de passe chiffré par la fonction à sens unique (crypt), qui utilise DES, MD5, SHA-256 ou SHA-512. La valeur spéciale « x » indique que le mot de passe chiffré est stocké dans /etc/shadow ;
uid : numéro unique identifiant l'utilisateur ;
gid : numéro unique du groupe principal de l'utilisateur (Debian crée par défaut un groupe spécifique à chacun) ;
GECOS : champ de renseignements qui contient habituellement le nom complet de l'utilisateur ;
répertoire de connexion, attribué à l'utilisateur pour qu'il y stocke ses fichiers personnels (la variable d'environnement $HOME y pointe habituellement) ;
programme à exécuter après la connexion. Il s'agit généralement d'un interpréteur de commandes (shell), donnant libre cours à l'utilisateur. Si l'on précise /bin/false (programme qui ne fait rien et rend la main immédiatement), l'utilisateur ne pourra pas se connecter.

8.4.2. Le fichier des mots de passe chiffrés et cachés : `/etc/shadow`

Le fichier /etc/shadow contient les champs suivants :

identifiant (ou login) ;
mot de passe chiffré ;
plusieurs champs de gestion de l'expiration du mot de passe.

SÉCURITÉ Sûreté du fichier /etc/shadow

/etc/shadow, contrairement à son alter ego /etc/passwd, est inaccessible en lecture aux utilisateurs. Tout mot de passe chiffré stocké dans /etc/passwd est lisible par tous ; un indélicat peut alors entreprendre de le « casser » par une méthode de force brute, consistant simplement à chiffrer successivement tous les mots de passe simples pour tenter de le découvrir. Cette attaque, dite « du dictionnaire », qui dévoile les mots de passe mal choisis, n'est plus possible avec le fichier /etc/shadow.

8.4.3. Modifier un compte ou mot de passe existant

Quelques commandes permettent de modifier la plupart des informations stockées dans ces bases de données. Chaque utilisateur peut ainsi changer de mot de passe, sans doute le champ le plus variable, grâce à la commande passwd. chfn (CHange Full Name), réservée au super-utilisateur root, intervient sur le champ GECOS. chsh (CHange SHell) permet de changer de « shell de login », ou interpréteur de commandes de connexion, mais le choix des utilisateurs sera limité à la liste donnée dans /etc/shells — alors que l'administrateur pourra saisir le nom de programme de son choix.

Enfin, la commande chage (CHange AGE) donnera à l'administrateur la possibilité de modifier les conditions d'expiration du mot de passe (l'option -l utilisateur listant la configuration actuelle). On pourra d'ailleurs forcer l'expiration d'un mot de passe grâce à la commande passwd -e utilisateur, qui obligera l'utilisateur à changer son mot de passe à la prochaine connexion.

8.4.4. Bloquer un compte

On peut se trouver dans l'obligation de « bloquer le compte » d'un utilisateur, par mesure disciplinaire, dans le cadre d'une enquête, ou tout simplement en cas de départ prolongé ou définitif de l'utilisateur. Il s'agit en fait de l'empêcher de se connecter à nouveau, sans pour autant détruire son compte et ses fichiers. Cela s'effectue simplement par la commande passwd -l utilisateur (lock, ou bloquer). La remise en service s'effectue de même, avec l'option -u (unlock, ou débloquer).

POUR ALLER PLUS LOIN Base de données système et NSS

Au lieu d'employer les fichiers habituels pour gérer les listes des utilisateurs et des groupes, on peut recourir à d'autres types de base de données — comme LDAP ou db — en employant un module NSS (Name Service Switch, ou multiplexeur de service de noms) adéquat. Les listes des modules employés se trouvent dans le fichier /etc/nsswitch.conf sous les entrées passwd, shadow et group. Voir la Section 11.7.3.1, « Configuration de NSS » pour un exemple concret d'emploi du module NSS pour LDAP.

8.4.5. Liste des groupes : `/etc/group`

La liste des groupes est stockée dans le fichier /etc/group, simple base de données textuelle au format comparable à celui de /etc/passwd, qui utilise les champs suivants :

identifiant (le nom du groupe) ;
mot de passe (facultatif) : il ne sert qu'à intégrer un groupe dont on n'est pas habituellement membre (avec la commande newgrp ou sg — voir encadré) ;
gid : numéro unique identifiant le groupe ;
liste des membres : liste des identifiants d'utilisateurs membres du groupe, séparés par des virgules.

B.A.-BA Travailler avec plusieurs groupes

Chaque utilisateur peut donc faire partie de plusieurs groupes ; l'un d'entre eux est son « groupe principal » ; le groupe principal par défaut est mis en place lors de la connexion. Par défaut, chaque fichier qu'il crée lui appartient, ainsi qu'au groupe principal. Cela n'est pas toujours souhaitable : c'est par exemple le cas lors d'un travail dans un répertoire partagé grâce à un groupe différent de son groupe principal. Dans ce cas, l'utilisateur a intérêt à changer temporairement de groupe principal grâce aux commandes newgrp — qui démarre un nouveau shell — ou sg — qui se contente d'exécuter une commande. Ces commandes permettent aussi de rejoindre un groupe dont on ne fait pas partie si le groupe est protégé par un mot de passe connu.

Une alternative consiste à positionner le bit setgid sur le répertoire, ce qui permet aux fichiers créés dans ce répertoire d'appartenir automatiquement au bon groupe. On se référera pour les détails à l'encadré SÉCURITÉ Répertoire setgid et sticky bit.

La commande id permet de vérifier à tout instant son identifiant personnel (variable uid), le groupe principal actuel (variable gid) et la liste des groupes dont on fait partie (variable groupes).

Les commandes groupadd et groupdel permettent respectivement de créer et de supprimer un groupe. La commande groupmod modifie les informations d'un groupe (son gid ou son identifiant). La commande passwd -g groupe modifiera le mot de passe d'un groupe, tandis que la commande passwd -r -g groupe le supprimera.