[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Verrouillage de compte utilisateur



At 16:12 6/08/2001, you wrote:
Dans le fichier /etc/shadow certains mots de passe sont de
la forme "!!". Si je m'en tiens au "man passwd" ce sont des
comptes verrouillés.
Mais qu'en est-il des utilisateurs dont le mot de passe crypté
est '*' tels que "bin" ou "ftp" ? Peut-on se loguer avec ces comptes ?
Quels utilisateurs puis-je supprimer ?
Primo, tu n'en supprimes aucun s'il-te-plaît.
Ensuite, il faut savoir que les passwords Unix sont composés de 2 caractères, le "salt" et du password crypté lui-même. Le salt est tiré au hasard et sert uniquement à perturber l'algorithme de cryptage. Un password qui ne contient qu'un ou deux caractères ne peut donc en aucun cas être valide puisqu'aucun cryptage ne fera moins de 10 caractères. Donc, ces passwords seront toujours refusés (sauf pour ceux qui ont un serveur SSH commercial 3.0.0).

Quant à se logger sur ces comptes, tu ne peux pas faire un login direct, ni un su depuis un utilisateur. Tu ne peux donc que faire un su depuis root.
Attention que "su" tout court garde le shell courant. Si un utilisateur est locké par un shell /bin/false, il est toujours possible pour un autre utilisateur, avec le bon password, de faire un su sur ce compte avec /bin/false ! Bien sûr, "su -" utilise le compte de l'utilisateur cible et donc va refuser la connexion.


Une dernière question sur le même sujet :
Le compte de l'utilisateur "mysql" est verrouillé. Si il y a un utilisateur
mysql mais aussi des fichiers qui lui appartiennent c'est qu'il y a
un programme qui va s'identifier comme étant l'utilisateur mysql.
J'en arrive à ma question :
Comment se passe l'identification/le changement d'utilisateur lorsque
le compte est verrouillé ? J'aurais pû aussi prendre l'exemple de "gdm".
Ces programmes sont généralement lancés par root. Ils font donc directement un "setuid()" ou un "su", ce qui est permis sans password en venant de root.

Eric.



[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
[ Archives de la mailing list: http://archives.linuxbe.org/linux/ ]
[ http://LinuxBe.org Contact: listmaster@linuxbe.org ]