Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente | Prochaine révision Les deux révisions suivantes | ||
|
doc:systeme:su [23/09/2019 09:49] smolski pt |
doc:systeme:su [23/09/2019 11:20] smolski [Droits utilisateurs] |
||
|---|---|---|---|
| Ligne 145: | Ligne 145: | ||
| - **merlin** : \\ | - **merlin** : \\ | ||
| - | //Les comptes sont enregistrés dans le fichier //'' /etc/passwd '' // dans l’ordre chronologique de leur création.// | + | //Les comptes sont enregistrés dans le fichier //'' /etc/passwd '' // dans l’ordre chronologique de leur création. //\\ |
| + | //Il est important de savoir qui utilise la machine. //\\ | ||
| + | //On peut donc distinguer les utilisateurs de type //humain// et les utilisateurs de type //programme. \\ | ||
| - | - **captnfab** : \\ | + | **captnfab** : |
| - | Il est important de savoir qui utilise la machine. \\ | + | |
| - | On peut donc distinguer les utilisateurs de type //humain// et les utilisateurs de type //programme//. | + | |
| <note>En fait, le « type » d'utilisateur est plus une convention. =)</note> | <note>En fait, le « type » d'utilisateur est plus une convention. =)</note> | ||
| Les **utilisateurs système** ont un ID <((le signe '' < '' signifie un nombre **supérieur** à...)) 1000, n'autorisent pas de connexion par mot de passe, ils ont souvent : | Les **utilisateurs système** ont un ID <((le signe '' < '' signifie un nombre **supérieur** à...)) 1000, n'autorisent pas de connexion par mot de passe, ils ont souvent : | ||
| Ligne 164: | Ligne 164: | ||
| * et d'autres sont amenés par l'installation de paquets ([[doc:reseau:ssh|sshd]], …). | * et d'autres sont amenés par l'installation de paquets ([[doc:reseau:ssh|sshd]], …). | ||
| - | **merlin** a écrit : \\ | + | **merlin** : \\ |
| - | //Je pense qu’une application qui utilise la connection réseau Internet, y compris une connexion //frauduleuse//, doit obligatoirement avoir un compte (avec les privilèges nécessaires) dans le registre '' /etc/passwd '', afin de pouvoir //passer// le [[doc:reseau:iptables-pare-feu-pour-un-client|pare-feu]].// | + | //Je pense qu’une application qui utilise la connection réseau Internet, y compris une connexion //frauduleuse//, doit obligatoirement avoir un compte (avec les privilèges nécessaires) dans le registre '' /etc/passwd '', afin de pouvoir passer le [[doc:reseau:iptables-pare-feu-pour-un-client|pare-feu]].// |
| + | **captnfab** : \\ | ||
| Un programme est tout le temps attribué à un utilisateur. \\ | Un programme est tout le temps attribué à un utilisateur. \\ | ||
| Tous les utilisateurs ont le droit d'accéder au réseau s'il est en place. \\ | Tous les utilisateurs ont le droit d'accéder au réseau s'il est en place. \\ | ||
| **Mais pas tous** ont le droit d'établir une connexion et de configurer le réseau car ceci nécessite des privilèges, qui peuvent être délégués, ou actionnés via dbus ! | **Mais pas tous** ont le droit d'établir une connexion et de configurer le réseau car ceci nécessite des privilèges, qui peuvent être délégués, ou actionnés via dbus ! | ||
| - | <note tip> * Un daemon tourne avec ces privilèges et écoute sur le dbus, * un programme utilisateur envoie une requête dbus au premier…</note> | + | <note tip> |
| + | * Un daemon tourne avec ces privilèges et écoute sur le dbus, | ||
| + | * un programme utilisateur envoie une requête dbus au premier… | ||
| + | </note> | ||
| La notion de compte « humain » n'est qu'un ensemble de paramètres par défaut, une fois le compte créé, c'est un compte, et puis c'est tout. | La notion de compte « humain » n'est qu'un ensemble de paramètres par défaut, une fois le compte créé, c'est un compte, et puis c'est tout. | ||
| [[doc:systeme:superutilisateur|root]] est le nom d'utilisateur du super-utilisateur, c'est à dire de l'utilisateur d' '' ID 0 ''. | [[doc:systeme:superutilisateur|root]] est le nom d'utilisateur du super-utilisateur, c'est à dire de l'utilisateur d' '' ID 0 ''. | ||
| - | <note warning>Il n'y a qu'un seul super-utilisateur, c'est root. Il est possible mais très fortement déconseillé, d'ajouter d'autres utilisateurs au groupe root. Cela ne fera pas d'eux des super-utilisateurs, ils pourront simplement modifier/lire/exécuter les fichiers qui n'étaient modifiable/lisible/exécutable seulement par le groupe root.</note> | + | <note warning>Il n'y a qu'un seul super-utilisateur, c'est root.</note> |
| + | Il est possible mais très fortement déconseillé, d'ajouter d'autres utilisateurs au groupe root. \\ | ||
| + | Cela ne fera pas d'eux des super-utilisateurs, ils pourront simplement modifier/lire/exécuter les fichiers qui n'étaient modifiables/lisibles/exécutables seulement par le groupe root. | ||
| Cependant, root peut déléguer ses droits en utilisant l'utilitaire [[doc:systeme:sudo|sudo]]. | Cependant, root peut déléguer ses droits en utilisant l'utilitaire [[doc:systeme:sudo|sudo]]. | ||
| Ligne 186: | Ligne 192: | ||
| - | merlin a écrit : | + | **merlin** : |
| - | Définitions des comptes utilisateurs (version 3) | + | //Définitions des comptes utilisateurs (version 3) //: |
| - | *compte administrateur root=compte système : possède tous les privilèges. Administrateur de type root. Super-utilisateur par défaut, appartient au groupe root. | + | |
| - | *compte super-utilisateur non-root : utilisateur inscrit au groupe root ? | + | |
| - | *compte administrateur sudo : utilisateur inscrit au groupe sudo, ce qui lui permet d’accéder au compte root via son mdp personnel. Administrateur de type sudo ; | + | |
| - | *compte utilisateur NP (Non Privilégié): Utilisateur standard ou simple. Ne peut pas administrer le système, car il ne connaît pas le mdp root et n’est pas inscrit au groupe sudo ni au groupe root. | + | |
| + | * compte administrateur root=compte système : \\ possède tous les privilèges. Administrateur de type root. Super-utilisateur par défaut, appartient au groupe root. | ||
| + | * compte super-utilisateur non-root : \\ utilisateur inscrit au groupe root ? | ||
| + | * compte administrateur sudo : \\ utilisateur inscrit au groupe sudo, ce qui lui permet d’accéder au compte root via son mdp personnel. Administrateur de type sudo ; | ||
| + | * compte utilisateur NP (Non Privilégié): \\ Utilisateur standard ou simple. Ne peut pas administrer le système, car il ne connaît pas le mdp root et n’est pas inscrit au groupe sudo ni au groupe root. | ||
| + | |||
| + | **captnfab** : \\ | ||
| <note important>Il ne faut pas mélanger les appelations sémantiques à géométrie variable et les termes techniques.</note> | <note important>Il ne faut pas mélanger les appelations sémantiques à géométrie variable et les termes techniques.</note> | ||
| Ainsi, « //administrateurs// » est un terme sémantique qui désigne une personne gérant la machine. \\ | Ainsi, « //administrateurs// » est un terme sémantique qui désigne une personne gérant la machine. \\ | ||
| Ligne 209: | Ligne 217: | ||
| La dénomination « //compte utilisateur principal// » vient de ce que l'installateur, lorsque le mot de passe root est désactivé, ajoute automatiquement le premier utilisateur créé lors de l'installation dans le groupe sudo, ce qui, via la délégation sudo, lui permet de « passer root » et exécuter n'importe quelle application en tant que root. | La dénomination « //compte utilisateur principal// » vient de ce que l'installateur, lorsque le mot de passe root est désactivé, ajoute automatiquement le premier utilisateur créé lors de l'installation dans le groupe sudo, ce qui, via la délégation sudo, lui permet de « passer root » et exécuter n'importe quelle application en tant que root. | ||
| - | su permet de se logguer temporairement en tant qu'un utilisateur lambda, notamment root, et demande pour se faire le mot de passe de l'utilisateur | + | su permet de se logguer temporairement en tant qu'un utilisateur lambda, notamment root, et demande pour se faire le mot de passe de l'utilisateur. |
| <note tip>sauf si l'utilisateur lançant su est root.</note> | <note tip>sauf si l'utilisateur lançant su est root.</note> | ||
| La seule « //délégation// » est de donner à la personne connaissant le nom d'utilisateur et le mot de passe d'un utilisateur, les droits de cet utilisateur. \\ | La seule « //délégation// » est de donner à la personne connaissant le nom d'utilisateur et le mot de passe d'un utilisateur, les droits de cet utilisateur. \\ | ||
