====== Administration et sécurité des réseaux. ======
===== Auteur et remerciements : =====
D'après **Jean-François Challe**. \\
//Merci à //**arthfact**// et //**melodie**// de nous avoir offert le tuto original en pdf traduit ici pour le wiki df. \\
Que leurs descendances à tous baignent sur 77 générations dans le parfum des lilas printaniers...//
* Objet : Administration réseau
* Niveau requis : DÉBUTANT
* Suivi : {{tag>obsolète}}
* Commentaires : // Administration et sécurité des réseaux pas à pas. //
* Débutant, à savoir : \\ [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-)
===== Gestion des comptes utilisateurs. =====
==== Introduction ====
La gestion des comptes utilisateurs est l’un des travaux absolument essentiels dévolu aux administrateurs. Gérer les utilisateurs et les mots de passe sont une tâche de base à laquelle tout administrateur doit attacher une attention particulière car une mauvaise gestion peut gravement affaiblir la sécurité d’un système.
Même dans le cas d’un système offrant des services réseau ne nécessitant pas la gestion de plusieurs utilisateurs, comme le DNS par exemple, il est essentiel de disposer d’au moins un compte autre que celui réservé à l’administrateur du système (root). \\
L’utilisation du compte root doit être limitée à des tâches spécifiques qui ne peuvent pas être réalisées sous l’identité d’un utilisateur normal. \\
Lorsqu’une personne est connectée à un système UNIX sous l’identité root, il a le droit d’effectuer toutes les opérations sans aucune contrainte. Une utilisation abusive de cette identité peut corrompre complètement l’intégrité du système par le biais de fausses manœuvres. \\
Tout administrateur système doit toujours disposer du compte root pour réaliser les tâches administratives critiques mais également d’un compte utilisateur traditionnel afin d’effectuer de petits travaux n’exigeant pas de privilèges particuliers.
Après l’installation d’un système Linux, le compte administrateur est créé et un mot de passe y est associé. Si l’administrateur se connecte à la console, il aura toujours la faculté de s’identifier et de réaliser les travaux nécessaires à la bonne marche de ce système. Néanmoins, dans de nombreux cas, l’administrateur n’utilise que rarement la console.
En règle générale l’administrateur se connecte par l’intermédiaire d’un poste distant. Pour des raisons de sécurité, root ne peut se connecter directement qu’à la console.
**Attention: Ce qui suit est obsolète, la sécurité d'accès à la console est gérée depuis Debian 11 bullseye ( voire même avant ) par les modules libpam. Ne plus tenir compte de ce qui suit.**
Cette sécurité est établie au travers du fichier de configuration :
/etc/securetty.
Ce fichier contient la liste des terminaux qui sont considérés comme des points d’entrée sécurisés du système.
Ces terminaux n’engendrent pas de connexion réseau, ce qui rend impossible une écoute de la ligne à la recherche du mot de passe du super-utilisateur.
Voici un exemple de fichier /etc/securetty(([[:doc:systeme:cat]])) dans un terminal root :
cat securetty
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
...
Ce fichier décrit que les huit consoles sont des postes de travail sécurisés permettant à l’administrateur de se connecter sans risque. L’effacement de ce fichier peut introduire un trou dans la sécurité.
En l’absence du fichier **/etc/securetty**, l’administrateur est autorisé à se connecter directement au système à partir de n’importe quel poste de travail.
==== Principe de base ====
* [[:doc:systeme:commandes:avise | Tableau des commandes d'administration]]
* [[:doc:systeme:chattr | chattr - Protection des fichiers]]