Chapitre 5. Obtention de privilèges
Les administrateurs système, et dans certains cas les utilisateurs, doivent effectuer certaines tâches avec un accès administratif. L'accès au système en tant qu'utilisateur
root
est potentiellement dangereux et peut causer des dommages qui se répandent sur le système et sur les données. Ce chapitre couvre les manières d'obtenir des privilèges administratifs en utilisant des programmes setuid tels que su
et sudo
. Ces programmes autorisent des utilisateurs spécifiques à effectuer des tâches qui seraient normalement uniquement disponibles à l'utilisateur root
tout en conservant un niveau de contrôle et de sécurité du système élevés.
Veuillez consulter le Guide de sécurité Red Hat Enterprise Linux 7 pour obtenir davantage d'informations sur les contrôles administratifs, sur les dangers potentiels et sur les manières de prévenir les pertes de données résultant d'une utilisation incorrecte d'un accès privilégié.
5.1. La commande su
Lorsqu'un utilisateur exécute la commande
su
, il lui est demandé le mot de passe de l'utilisateur root
. Une invite de shell root
s'ouvrira après l'authentification.
Une fois connecté par le biais de la commande
su
, l'utilisateur devient l'utilisateur root
et possède un accès administratif absolu sur le système. Veuillez remarquer que cet accès reste sujet aux restrictions imposées par SELinux, si activé. En outre, une fois qu'un utilisateur est connecté en tant qu'utilisateur root
, il est lui est possible d'utiliser la commande su
pour modifier tout autre utilisateur sur le système sans avoir à saisir de mot de passe.
Comme ce programme est puissant, les administrateurs d'une organisation pourraient souhaiter limiter l'accès à cette commande.
L'une des simple manières de prcéder consiste à ajouter des utilisateurs à un groupe administratif particulier appelé wheel. Pour cela, veuillez saisir la commande suivante en tant qu'utilisateur
root
:
~]# usermod -a -G wheel
username
Dans la commande précédente, veuillez remplacer username par le nom d'utilisateur que vous souhaitez ajouter au groupe
wheel
.
Vous pouvez également utiliser l'outil des paramètres Utilisateurs pour modifier les appartenances aux groupes comme suit. Veuillez remarquer que vous aurez besoin de privilèges d'administrateur pour effectuer cette procédure.
- Veuillez appuyer sur la touche Super pour accéder à « Vue d'ensembles des activités », saisissez
Utilisateurs
puis appuyez sur Entrée. L'outil des paramètres Utilisateurs s'affiche. La touche Super apparaît sous une variété de formes, selon le clavier et autre matériel, mais le plus souvent, il s'agit de la touche Windows ou Commande, et elle se trouve habituellement à gauche de la Barre d'espace. - Pour autoriser les modifications, veuillez cliquer sur le bouton, puis saisissez un mot de passe d'administrateur valide.
- Veuillez cliquer sur l'icône dans la colonne de gauche pour afficher les propriétés de l'utilisateur dans le volet du côté droit.
- Modifiez lede
Standard
àAdministrateur
. Cela aura pour effet d'ajouter l'utilisateur au groupewheel
.
Veuillez consulter la Section 3.2, « Gestion des utilisateurs dans un environnement graphique » pour obtenir davantage d'informations sur l'outil Utilisateurs.
Après avoir ajouté les utilisateurs souhaités au groupe
wheel
, il est recommandé d'autoriser ces utilisateurs spécifiques uniquement à utiliser la commande su
. Pour faire cela, veuillez modifier le fichier de configuration Pluggable Authentication Module (PAM) de su
, /etc/pam.d/su
. Ouvrez ce fichier dans un éditeur de texte et enlevez la ligne suivante du commentaire en supprimant le caractère #
:
#auth required pam_wheel.so use_uid
Ce changement signifie que seuls les membres du groupe administratif
wheel
peuvent basculer sur un autre utilisateur en utilisant la commande su
.
Note
L'utilisateur
root
fait partie du groupe wheel
par défaut.