Administration

La ges­tion des uti­li­sa­teurs et des groupes peut se retrou­ver com­plexe dans Linux. Voi­ci un résu­mé de com­ment gérer tout cela.

La liste des uti­li­sa­teurs se trouve dans le fichier “/etc/passwd” avec cer­taines infor­ma­tions.

cat /etc/passwd

Voi­ci ce que mon fichier passwd me retourne:
theo­phile:x:1000:1000:Garin Théo­phile:/home/theophile:/bin/bash
bruce:x:1001:1001:Lee Bruce:/home/gauthier:/bin/sh
herve:x:1002:1002::/home/thibault:/bin/sh
lucia:x:1003:1003::/home/thomas:/bin/sh

Expli­ca­tions:

En pre­mier vient l’i­den­ti­fiant de l’u­ti­li­sa­teur, c’est avec celui ci qu’il doit uti­li­ser pour se connec­ter.
En deuxième, vient le mot de passe qui doit être uti­li­sé aus­si pour la connec­tion.
En troi­sième vient l’UID (Unique Iden­ti­fier), il est créé juste pour l’u­ti­li­sa­teur et ne sera attri­bué à per­sonne d’autre.
En qua­trième vient le GID (Group Iden­ti­fer) c’est le groupe pri­maire de l’u­ti­li­sa­teur. A la créa­tion d’un uti­li­sa­teur, un groupe juste pour celui-ci est créé.
En cin­quième vient le nom com­plet de l’u­ti­li­sa­teur, il n’est pas obli­ga­toire.
En sixième vient le che­min com­plet du réper­toire per­son­nel de l’u­ti­li­sa­teur.
En sep­tième posi­tion vient l’in­ter­pré­teur de l’u­ti­li­sa­teur qu’il aura à sa connexion. Il peut ne pas être spé­ci­fié, en par­ti­cu­lier pour se connec­ter en FTP.


Créer et gérer des utilisateurs.

Pour la créa­tion des uti­li­sa­teurs, nous uti­li­se­rons la com­mande “use­radd”, voi­ci quelques exemples d’u­ti­li­sa­tions :

useradd -c Garin Théophile theophile

useradd -c Garin Théophile theophile --create-home --shell /bin/bash

useradd theophile -m -s /bin/bash --password

-c per­met de four­nir un com­men­taire, est sou­vent uti­li­sé pour être le nom com­plet de l’u­ti­li­sa­teur
-m / –create-home per­met de créer le réper­toire per­son­nel de l’u­ti­li­sa­teur
-s / –shell per­met de défi­nir l’in­ter­pré­teur qui sera uti­li­sé
-p / –pass­word per­met de défi­nir le mot de passe

Pour la modi­fi­ca­tion des comptes uti­li­sa­teurs, nous uti­li­se­rons la com­mande “user­mod”, voi­ci quelques exemples d’u­ti­li­sa­tions :

usermod -a -G wireshark theophile

-a per­met d’a­jou­ter
-G per­met de mettre un option un groupe
-m per­met de bou­ger toutes les don­nées du réper­toire per­son­nel d’un uti­li­sa­teur d’en­droits
-L per­met de ver­rouiller le compte de l’u­ti­li­sa­teur

Pour la sup­pres­sion des comptes uti­li­sa­teurs, nous uti­li­se­rons la com­mande “user­del”, voi­ci quelques exemples d’u­ti­li­sa­tions :

userdel theophile

-r per­met de sup­pri­mer éga­le­ment le réper­toire uti­li­sa­teur.

Pour la ges­tion des mots de passes, nous uti­li­se­rons la com­mande “passwd”, voi­ci quelques exemples d’u­ti­li­sa­tions:

passwd theophile

passwd -l thomas

passwd -u thomas

passwd per­met en ajou­tant le nom d’u­ti­li­sa­teur de modi­fier le mot de passe
-l per­met de ver­rouiller le compte
-u per­met de déve­rouiller le compte


Paramètres par défaut des utilisateurs

La com­mande “use­radd ‑D” per­met de créer un uti­li­sa­teur selon des spé­ci­fi­ca­tions que l’on a préa­la­ble­ment confi­gu­ré. Pour confi­gu­rer tout cela, nous pou­vons accé­der à :

  • /etc/default/useradd — Fichier per­met­tant d’é­vi­ter de devoir rajou­ter des options à use­radd
  • /etc/login.defs — Confi­gu­ra­tion des options
  • /etc/skel — Tout ce qui sera créé dans ce dos­sier, sera rajou­ter au réper­toire per­son­nel de l’u­ti­li­sa­teur

On édite le pre­mier fichier :

vim /etc/default/useradd

shadow

Secure-Enhan­ced linux est un module qui ren­force la sécu­ri­té de Linux. Il per­met de défi­nir des poli­tiques d’ac­cès à dif­fé­rents élé­ments du sys­tème d’ex­ploi­ta­tion tel que des pro­ces­sus ou des fichiers. Chaque pro­ces­sus est caté­go­ri­sé, et en fonc­tion de cela les fichiers sont tagués/étiquetés. Pour cela les pro­ces­sus ne pour­ront accé­der qu’aux fichiers asso­ciés. Il vient amé­lio­rer la sécu­ri­té des ser­veurs en com­plé­tant ceux exis­tant, si un pro­ces­sus vien­drait à être alté­ré, il n’au­ra tout de même accès qu’aux fichiers pour celui-ci.


Les principes

SEli­nux peut se mettre en trois modes dif­fé­rents:

  • Enfor­cing : Il est mode par défaut, les accès sont res­treints avec des règles pré-défi­ni.
  • Per­mis­sive : Ce mode est géné­ra­le­ment à consi­dé­rer comme un mode de débo­guage. En mode per­mis­sif, les règles SELi­nux seront inter­ro­gées, les erreurs d’ac­cès log­guées, mais l’ac­cès ne sera pas blo­qué. Ce mode peut être utile pour consta­ter l’en­semble des erreurs SELi­nux posées par un pro­ces­sus par­ti­cu­lier par exemple.
  • Disa­bled : SELi­nux est désac­ti­vé. Rien ne sera res­treint, rien ne sera log­gué.

Pour pou­voir déter­mi­ner le mode actuelle de SEli­nux, nous pou­vons uti­li­ser cette com­mande pour nous retour­ner l’un des trois modes cité ci-des­sus:

getenforce

Pour pou­voir chan­ger le mode actuelle, nous pou­vons uti­li­ser cette com­mande avec l’at­tri­but que vous sou­hai­tez [0/1/2]:

setenforce 0

Si un pro­blème venait à arri­ver du à une confi­gu­ra­tion par­ti­cu­lière, SEli­nux four­nit beau­coup de log:

grep sealert /var/log/messages

 

Virtual Data Opti­mi­zer est une fonc­tion­na­li­té qui per­met d’op­ti­mi­ser le sto­ckage. Elle réduit la redon­dance des don­nées avec une com­pres­sion et une dédu­pli­ca­tion ( Fac­to­rise le sto­ckage ) avant qu’elles soient sto­ckées. Red Hat affirme que les couts de sto­ckage pour les cloud peuvent être réduits de plus de 80%. L’ou­til est dis­po­nible par défaut dans les dépôts de Cen­tOS / Red­hat, mais pour Debian il vous fau­dra com­pi­ler le logi­ciel à la main.


Installation & mise en place

Ins­tal­la­tion des paquets néces­saires:

dnf update && dnf install vdo kmod-kvdo

Iden­ti­fi­ca­tion des par­ti­tions:

lsblk

Nous vou­lons opti­mi­ser l’es­pace qui sera uti­li­sé sur sdb pré­sent à la ligne 8.

On créé la par­ti­tion sous VDO:

vdo create --name=vdo1 --device=/dev/sdb --vdoLogicalSize=20G

Sur la ligne n°7 nous pou­vons voir le disque opti­mi­sé et dis­po­nible sur /dev/mapper/vdo1.

On for­mate la par­ti­tion pour pou­voir l’u­ti­li­ser.

mkfs.xfs -K /dev/mapper/vdo1

La par­ti­tion est bien for­ma­tée.

Créa­tion du dos­sier qui sera mon­té sur la par­ti­tion créée.

mkdir /vdo1

Nous allons ensuite copier le fichier four­nit dans la docu­men­ta­tion de vdo pour ajou­ter le ser­vice qui fera le mon­tage auto­ma­ti­que­ment:

cp /usr/share/doc/vdo/examples/systemd/VDO.mount.example /etc/systemd/system/vdo1.mount

On édite le fichier:

vim /etc/systemd/system/vdo1.mount

Modi­fier comme ce qui suis:

On démarre le ser­vice et on l’ac­tive au démar­rage :

systemctl enable --now vdo1.mount

On véri­fie que le ser­vice à bien mon­té notre par­ti­tion:

mount

Cette ligne à la fin doit appa­raitre.

Nous pou­vons voir les sta­tis­tiques de notre par­ti­tion:

vdostats --human-readable