Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
03 novembre 2011

htmlpdflatexmanmd




chfn

chfn

Permet de modifier le nom complet et les informations associées à un utilisateur

   Il change le nom complet, l’office number, l’office extension et le home phone number pour un compte utilisateur. Ces informations sont affichées par finger. Un utilisateur normal peut changer ses propres informations, en fonction des restrictions dans /etc/login.defs. Ces champs ne doivent pas contenir de ’,’, excepté pour le champ other, ne doivent pas contenir de ’=’ ou de ’-’. Il est également recommandé d’éviter les caractères non US-ASCII, mais c’est surtout pour le phone number. Le champ other est utilisé pour stocker des informations de compte utilisé par d’autres applications. Sans option, chfn opère de manière interactive.

OPTIONS

-f Nom complet du compte
-r Numéro de bureau
-w téléphone du bureau
-h Téléphone personnel
-o permet de changer les portions indéfinies du champ GECOS.
^
03 novembre 2011

htmlpdflatexmanmd




chsh

chsh

Modifie l’interpréteur de commande initial de l’utilisateur

OPTIONS

-s, --shell Nom du nouvel interpréteur de commande initial

   Le nouveau shell doit être listé dans /etc/shells, sauf si c’est root qui le change. Un utilisateur avec un shell restreint ne peut pas changer son shell.
^
03 novembre 2011

htmlpdflatexmanmd




shells

shells

Fichier texte contenant le chemin complet des shells valides

   /etc/shells contient la listes de shells valides, chemin complet inclus, un par ligne.

^
03 novembre 2011

htmlpdflatexmanmd




newgrp

newgrp

Permet de changer l’identifiant de groupe de l’utilisateur au cour d’une session

   Si - est fournie, l’environnement de l’utilisateur est réinitialisé, comme si l’utilisateur venait de se connecter. newgrp change l’identifiant de groupe réel, ou au groupe par défaut défini dans /etc/passwd si aucun groupe n’est spécifié. newgrp essayera également d’ajouter le groupe à l’ensemble des groupes de l’utilisateur.

  newgrp utilise des variables dans login.defs

^
03 novembre 2011

htmlpdflatexmanmd




sg

sg

Exécuter une commande avec un autre identifiant de groupe

   Il fonctionne comme newgrp, mais prend une commande en paramètre. Cette commande sera exécutée par /bin/sh. Une autre différence est que certains interpréteurs de commande traitent newgrp de façon particulière, en se remplaçant eux-mêmes par une nouvelle instance d’un interpréteur que newgrp créé. Ceci n’est pas le cas avec sg, ce qui permet de retrouver le groupe précédent à la sortie de sg.

OPTIONS

-c commande à exécuter

   sg utilise des variables dans /etc/login.defs
^
03 novembre 2011

htmlpdflatexmanmd




shadowconfig

shadowconfig

Active ou désactive les mots de passe cachés

   Ne prend que 2 valeurs, on et off. Désactiver puis réactiver les mots de passe permet de supprimer les informations d’âge des mots de passe.

^
03 novembre 2011

htmlpdflatexmanmd




add-shell

add-shell

Ajoute des interpréteurs à la liste des interpréteurs initiaux valables

   Copie /etc/shells dans /etc/shells.tmp, ajoute les interpréteurs de commande à ce fichier, puis copie ce fichier temporaire dans /etc/shells. Le chemin complet de l’interpréteur doit être fournis.

^
03 novembre 2011

htmlpdflatexmanmd




chgpasswd

chgpasswd

Mettre à jour les mots de passe par lot

   Il lit une liste de paires groupe/mot de passe depuis l’entrée standard et met à jours dans les groupes existant. Chaque ligne est sous la forme :

  nom_du_groupe:password

  Par défaut, les mots de passe doivent être en texte claire, et sont cryptés par chgpasswd. L’algorithme de cryptage peut être défini pour le système avec la variable ECRYPT_METHOD dans /etc/login.defs, et peut être remplacé avec les options sur la ligne de commande.

OPTIONS

-c, --crypt-method spécifie la méthode de cryptage (DES, MD5, NONE, SHA256 et SHA512.
-e, --encrypted Indique que les mots de passe fournis sont chiffrés
-m, --md5 Permet d’utiliser md5, plutôt que DES, lorsque les mots de passe sont fournis en clair
-s, --sha-rounds Nombre de passes pour chiffrer en sha. (Entre 1000 et 999 999 999, définis par défaut dans /etc/login.defs)

   chgpasswd utilise un certain nombre de variables dans /etc/login.defs.
^
03 novembre 2011

htmlpdflatexmanmd




chpasswd

chpasswd

Permet de mettre à jours des mots de passe par lot

   chpasswd lit une liste de paires de noms d’utilisateurs et de mots de passe depuis l’entrée standard et utilise ces informations pour mettre à jour un groupe d’utilisateurs existants. Chaque ligne est au format suivant :

  Nom_utilisateur:mot_de_passe

   Par défaut, le mot de passe doit être fournis en texte clair, et sont cryptés par chpasswd. L’âge du mot de passe sera mis à jours, si nécessaire. Par défaut, les mots de passe sont cryptés par PAM, mais vous pouvez utiliser une méthode de cryptage différente. Excepté quand PAM est utilisée, chpasswd met d’abords à jours tous les mots de passe en mémoire, et effectue ensuite tous les changements sur disque si aucune erreur ne s’est produite. Quand PAM est utilisé, si un mot de passe ne peut pas être mis à jours, chpasswd continue et retournera un code d’erreur.

OPTIONS

-c, --crypt-method spécifie la méthode de cryptage (DES, MD5, NONE, SHA256 et SHA512.
-e, --encrypted Indique que les mots de passe fournis sont chiffrés
-m, --md5 Permet d’utiliser md5, plutôt que DES, lorsque les mots de passe sont fournis en clair
-s, --sha-rounds Nombre de passes pour chiffrer en sha. (Entre 1000 et 999 999 999, définis par défaut dans /etc/login.defs)

Fichiers

/etc/pam.d/chpasswd Configuration utilisée lorsque chpasswd utilise PAM.
^
03 novembre 2011

htmlpdflatexmanmd




gpasswd

gpasswd

Administrer group et gshadow

   Permet d’administrer /etc/group et /etc/gshadow. Chaque groupe peut avoir des administrateurs, des membres et un mot de passe. Appelé par un administrateur de groupe.

OPTIONS

Excepté pour -A et -M, les options ne peuvent pas être combinées
-a, --add Ajoute l’utilisateur spécifié au groupe
-d, --delete Supprime l’utilisateur du groupe
-r, --remove-password Supprime le mot de passe du groupe. Seuls les membres du groupe seront autorisés à utiliser newgrp pour joindre le groupe
-R, --restrict Restreint l’accès au groupe. Seuls les membres du groupe seront autorisés à utiliser newgrp pour joindre le groupe.
-A, --administrators Définis les liste des administrateurs du groupe
-M, --members Définis la liste des membres du groupe.

   gpasswd utilise des variables de login.defs.
^
03 novembre 2011

htmlpdflatexmanmd




grpck

grpck

Vérifier l’intégrité des informations sur les groupes systèmes

   Toutes les entrées dans /etc/group et /etc/gshadow sont vérifiées afin de s’assurer qu’elles ont le bon format et qu’elles contiennent des données valides. Les vérifications effectuées sont :

        - nombre correct de champs
        - unicité et validité des noms des groupes
        - GID valide (/etc/group uniquement)
        - liste valide de membres et administrateurs
        - une entrée dans /etc/group correspondant à une entrée dans /etc/gshadow

   La vérification du nombre de champs et de l’unicité du nom des groupes est fatale, et il sera demandé à l’utilisateur de supprimer la ligne. Si l’utilisateur refuse de supprimer la ligne, les autres vérifications ne sont pas effectuées.

OPTIONS

-r Mode lecture seule.
-s Trie les entrées par GID.

   Par défaut, grpck vérifie group et shadow. Il est possible de choisir l’un ou l’autre avec les paramètres group et shadow

  gpasswd utilise des variables dans login.defs

Valeurs de retour

0 succès
1 erreur de syntaxe
2 entrée de groupe ou plus est incorrecte
3 impossible d’ouvrir les fichiers group
4 impossible de verrouiller les fichiers group
5 impossible de mettre à jour les fichiers group
^
03 novembre 2011

htmlpdflatexmanmd




mkpasswd

mkpasswd

frontend pour crypt(3)

OPTIONS

-S, --salt=STRING salt. Ne doit pas contenir de préfixe tel que $1$
-R, --rounds=NUMBER Nombre de passes. dépendant du chiffrement utilisé
-m, --method=TYPE Méthode utilisé. Peut être md5, des, sha-256, sha-512 ou help
-5 idem à --method=md5
-P, --passwd-fd=NUM Lit le mot de passe depuis le descripteur de fichier NUM au lieu d’utiliser getpass(3).
-s, --stdin identique à --password-fd=0

Variables d'environnement

MKPASSWD_OPTIONS Une liste d’options qui vont être évaluées avant ceux spécifiés sur la ligne de commande.
^
03 novembre 2011

htmlpdflatexmanmd




passwd

passwd

Modifier le mot de passe d’un utilisateur. Un utilisateur normal peut seulement changer son propre mot de passe. passwd peut également changer le compte ou la période de validité du mot de passe associé

OPTIONS

-a, --all Ne peut être utilisée qu’avec -S et permet d’afficher l’état des mots de passe pour tous les utilisateurs
-d, --delete Supprime le mot de passe
-e, --expire Annule immédiatement la validité du mot de passe d’un compte. Ceci permet d’obliger un utilisateur à changer son mot de passe à sa prochaine connexion.
-i, --inactive DUREE_INACTIVITE Permet de désactiver un compte un certain nombre de jours après que son mot de passe soit arrivé en fin de validité depuis le nombre de jours spécifié, l’utilisateur ne pourra plus se connecter.
-k, --keep-tokens Indique qu’un changement de mot de passe devrait être exécuté uniquement pour les tokens d’authentification expiré.
-l, --lock Bloque le mot de passe du compte spécifié, en ajoutant un ’ !’ au début du hash du mot de passe). Cette méthode ne désactive pas le compte, il est toujours possible de se logger en utilisant d’autres token d’authentification tel que les clés SSH. Pour désactiver un compte, utiliser usermod --expiredate 1. Les utilisateurs avec un mot de passe bloqués ne peuvent pas changer leur mot de passe.
-m, --mindays JOURS_MIN Nombre de jours minimum entre chaque changement de mot de passe. A 0, désactive cette option.
-q, --quiet mode silencieux
-r, --repository REPOSITORY change le mot de passe dans le REPOSITORY
-S, --status Affiche l’état d’un compte. Cet état est constitué de 7 champs :

        - Nom du compte
        - Si le mot de passe est bloqué (L), n’a pas de mot de passe (NP) ou as un mot de passe utilisable (P)
        - Date de dernière modification du mot de passe
        - Durée minimum avant modification
        - Durée maximum de validité
        - Durée d’avertissement
        - Durée d’inactivité
        Les durées sont exprimées en jours.

-u, --unlock Déverrouille le mot de passe du compte spécifié.
-w, --warndays DUREE_AVERTISSEMENT Fixe le nombre de jours avant que le changement de mot de passe ne soit obligatoire et durant lequel l’utilisateur est prévenu que son mot de passe arrive à expiration.
-x, --maxdays JOURS_MAX Fiche le nombre de jours pendant lesquels un mot de passe reste valable, après, le mot de passe devra être modifié.

   passwd utilise PAM pour authentifier les utilisateurs et pour changer leur mot de passe (voir /etc/pam.d/passwd)

Valeurs de retour

0 succès
1 Permission refusée
2 combinaison d’options non valable
3 échec inattendu
4 le fichier passwd est manquant
5 fichier passwd en cour d’utilisation
6 paramètre non valable pour l’option
^
03 novembre 2011

htmlpdflatexmanmd




pwck

pwck

Vérifier l’intégrité des fichiers de mots de passe

   Toutes les entrées de /etc/shadow et /etc/passwd sont vérifiées afin de s’assurer qu’elles ont le bon format et qu’elles contiennent des données valables dans chaque champ. Une confirmation est demandé pour détruire les entrées mal formatées ou ayant des erreurs irrécupérables.

Vérifications effectuées

        Nombre correcte de champs
        Unicité des noms d’utilisateurs
        Validité des UID et GID
        Validité des groupes primaires
        Validité du répertoire personnel
        Validité du shell initial

   Les vérifications dans shadow sont effectuées quand un second paramètre de fichier est spécifié ou quand /etc/shadow existe sur le système. Les vérifications sont :

        Chaque mot de passe correspond à une entrée shadow, et chaque shadow a une entrée dans passwd
        Les mots de passe sont indiqués dans le fichier des mots de passe cachés
        Nombre correct de champs
        Le dernier changement de mot de passe n’est pas dans le future.

OPTIONS

-q Les avertissements qui ne nécessitent pas une action de l’utilisateur ne sont pas affichés
-r Mode lecture seule
-s Trie les entrées de /etc/passwd et /etc/shadow par UID

   pwck utilise des variables dans login.defs

Valeurs de retour

0 succès
1 erreur de syntaxe
2 une entrée de mot de passe est incorrecte
3 impossible d’ouvrir les fichiers de mots de passe
4 impossible de verrouiller les fichiers de mots de passe
5 impossible de mettre à jours les fichiers de mots de passe
6 impossible de trier les fichiers de mots de passe
^
03 novembre 2011

htmlpdflatexmanmd




pwconv

pwconv, pwunconv, grpconv, grpunconv

Convertir vers et depuis les fichiers de mots de passe ou de groupe cachés

pwconv crée le fichier shadow à partir du fichier passwd et d’un éventuel fichier shadow
pwunconv crée le fichier passwd à partir des fichiers shadow et passwd puis supprime shadow
grpconv crée le fichier gshadow à partir du fichier group et d’un éventuel fichier gshadow
grpunconv crée le fichier group à partir des fichiers gshadow et group puis supprime gshadow

   pwconv et grpconv sont similaires. Dans un premier temps, les entrées shadow ou gshadow qui n’existent pas dans passwd ou group sont retirés. Ensuite, les entrées shadow n’ayant pas pour mot de passe ’x’ dans le fichier passwd sont mises à jours. Enfin les entrées passwd sont remplacées par ’x’.

  pwunconv et grpunconv sont similaires. Les mots de passe principaux sont mis à jours à partir des fichiers shadow. Les entrées existant dans passwd mais pas dans shadow sont laissés. Puis shadow est supprimé.

  Ces utilitaires utilisent les paramètres dans login.defs