[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Verrouillage de compte utilisateur



Un petite chose à ajouter,

Lorsque l'on editer le fichier passwd il vaut mieux l'editer avec vipw
vipw lance vi ( ou l'editeur definit par default , puis synchonize le
shadow..

Dominique

----- Original Message -----
From: "Eric Darchis" <Edarchis@atos.be>
To: <linux@lists.linuxbe.org>
Sent: Monday, August 06, 2001 4:29 PM
Subject: Re: [linux] Verrouillage de compte utilisateur


At 16:12 6/08/2001, you wrote:
>Dans le fichier /etc/shadow certains mots de passe sont de
>la forme "!!". Si je m'en tiens au "man passwd" ce sont des
>comptes verrouillés.
>Mais qu'en est-il des utilisateurs dont le mot de passe crypté
>est '*' tels que "bin" ou "ftp" ? Peut-on se loguer avec ces comptes ?
>Quels utilisateurs puis-je supprimer ?

Primo, tu n'en supprimes aucun s'il-te-plaît.
Ensuite, il faut savoir que les passwords Unix sont composés de 2
caractères, le "salt" et du password crypté lui-même. Le salt est tiré au
hasard et sert uniquement à perturber l'algorithme de cryptage. Un password
qui ne contient qu'un ou deux caractères ne peut donc en aucun cas être
valide puisqu'aucun cryptage ne fera moins de 10 caractères. Donc, ces
passwords seront toujours refusés (sauf pour ceux qui ont un serveur SSH
commercial 3.0.0).

Quant à se logger sur ces comptes, tu ne peux pas faire un login direct, ni
un su depuis un utilisateur. Tu ne peux donc que faire un su depuis root.
Attention que "su" tout court garde le shell courant. Si un utilisateur est
locké par un shell /bin/false, il est toujours possible pour un autre
utilisateur, avec le bon password, de faire un su sur ce compte avec
/bin/false ! Bien sûr, "su -" utilise le compte de l'utilisateur cible et
donc va refuser la connexion.

>Une dernière question sur le même sujet :
>Le compte de l'utilisateur "mysql" est verrouillé. Si il y a un utilisateur
>mysql mais aussi des fichiers qui lui appartiennent c'est qu'il y a
>un programme qui va s'identifier comme étant l'utilisateur mysql.
>J'en arrive à ma question :
>Comment se passe l'identification/le changement d'utilisateur lorsque
>le compte est verrouillé ? J'aurais pû aussi prendre l'exemple de "gdm".

Ces programmes sont généralement lancés par root. Ils font donc directement
un "setuid()" ou un "su", ce qui est permis sans password en venant de root.

Eric.



[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]





[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]