Accéder au contenu France-Français
Accueil HP.com France Produits et Services Support et Pilotes Espaces Comment Acheter
» Contacter HP
Plus d'options
Accueil HP.com France
 Guide de l'administrateur système HP-UX : Gestion de la sécurité : HP-UX 11i version 3 > Chapitre 2 Administration de la sécurité système et utilisateur

Authentification des utilisateurs durant la connexion
» 

Documentation technique

Manuel complet en PDF
» Commentaires
Début du contenu

 » Table des matières

 » Glossaire

 » Index

spacerspacerspacer
spacer
spacer
  		 
 

Pour accéder à un système et à ses ressources, les utilisateurs doivent ouvrir une session. En contrôlant l'accès au système, vous pouvez essayer d'empêcher les utilisateurs non autorisés d'accéder au système. Si des utilisateurs non autorisés parviennent malgré tout à accéder au système, vous pouvez les empêcher d'exécuter des programmes qui consomment des ressources et d'accéder aux données système. Cette section décrit ce qui se produit durant le processus login du moment où vous tapez votre nom d'utilisateur jusqu'au moment où vous recevez une invite de shell.

Explication du processus de connexion

Les étapes suivantes décrivent le processus de connexion. Ces informations démontrent l'importance de la création de noms d'utilisateurs uniques et de la maintenance d'une stratégie de sécurité des mots de passe. Pour plus d’informations, voir login(1)..

  1. Une fois le système installé, le gestionnaire de session affiche un écran de connexion. L'environnement CDE (Common Desktop Environment) affiche un écran de connexion CDE s'il est installé.

  2. Le programme init crée un processus getty, qui vous invite à fournir un nom d'utilisateur. Vous entrez votre nom d'utilisateur. Le programme getty passe le nom d'utilisateur au programme login.

  3. Le programme login recherche le nom d'utilisateur dans le fichier /etc/passwd.

    • Si le nom d'utilisateur existe, login passe à l'étape 4.

    • Si le nom d'utilisateur n'existe pas, login effectue les vérifications suivantes :

      • Invite de mot de passe (Password: ).

      • Si un mot de passe non valide est entré, le système affiche le message d'erreur Invalid login.

      • Mise à jour du fichier /var/adm/btmp, s'il existe. Le fichier /var/adm/btmp assure le suivi des tentatives de connexion non valides. Pour plus d’informations, voir la Section .

      • Après trois tentatives de connexion non valides consécutives, le programme s'arrête.

  4. Le processus login vérifie le fichier /etc/passwd.

    • Si le champ de mot de passe est défini, login affiche une invite de mot de passe et passe à l'étape 5.

    • Si le champ de mot de passe n'est pas défini, l'utilisateur n'a pas besoin de spécifier de mot de passe et login passe à l'étape 6.

  5. Le processus login compare le mot de passe au mot de passe chiffré répertorié dans /etc/passwd.

    • Si les mots de passe sont identiques, login passe à l'étape 6.

    • Si les mots de passe sont différents, login affiche un message Invalid login. Le processus login autorise trois tentatives de connexion consécutives. Après la troisième tentatives de connexion non valide, login se ferme.

  6. Le processus login met à jour le fichier /var/adm/wtmp, qui assure le suivi des connexions valides. Pour plus d’informations, voir la Section .

    Après une connexion réussie, les ID utilisateur et de groupe, la liste d'accès de groupe et le répertoire de travail sont initialisés.

  7. Le processus login exécute ensuite la commande répertoriée dans le champ de commande du fichier /etc/passwd. En général, le champ de commande est le nom de chemin d'accès d'un shell, tel que /bin/ksh, /bin/csh ou /bin/sh. Si le champ de commande est vide, la valeur par défaut est /bin/sh.

    Il n'est pas obligatoire que le champ de commande soit un shell. Pour un exemple d'exécution d'une autre commande, voir la Section .

  8. Une fois l'initialisation de shell terminée, le système affiche une invite et attend l'entrée utilisateur.

Vous pouvez faire en sorte que le processus login effectue une authentification utilisateur plus approfondie à l'aide de modules d'authentification enfichables (PAM, Pluggable Authentication Modules). Pour plus d'informations, voir pam.conf(4) et la Section .

Vérification des fichiers de suivi de connexions (btmp et wtmp)

Les fichiers suivants conservent un journal des connexions :

  • Le fichier /var/adm/btmp assure le suivi des échecs de connexion.

  • Le fichier /var/adm/wtmp assure le suivi des connexions réussies.

Utilisez la commande lastb pour lire le fichier /var/adm/btmp afin de savoir si des utilisateurs non autorisés ont tenté de se connecter.

Utilisez la commande last pour lire le fichier /var/adm/wtmp.

Les commandes last et lastb affichent les informations utilisateur les plus récentes, par ordre décroissant.

Les fichiers wtmp et btmp tendent à croître de manière illimitée ; il convient donc de les examiner régulièrement. Supprimez périodiquement les informations qui ne sont plus utiles, afin de limiter la taille des fichiers. Les fichiers wtmp et btmp ne sont pas créés par les programmes qui les maintiennent. Si ces fichiers sont supprimés, le suivi des connexions est désactivé.

L'une des erreurs les plus fréquentes des utilisateurs consiste à entrer le mot de passe (ou une partie du mot de passe) à l'invite de connexion. Cet échec de connexion est enregistré dans le fichier btmps et expose le mot de passe complet ou partiel. Pour cette raison, la protection de fichier sur btmps doit être définie de sorte que seuls les administrateurs puissent le lire.

# chmod 400 /var/adm/btmps

Si la stratégie de sécurité exige que les sessions antérieures d'un utilisateur ne puissent pas être visualisées par un autre utilisateur, vous devrez peut-être également modifier la protection du fichier /var/adm/wtmp.

Pour plus d'informations, voir last(1), utmp(4) et wtmp(4).

La base de données utmp est une base de données de comptabilité d'utilisateurs gérée et synchronisée en fonction de /var/adm/utmp par la commande utmpd. Les programmes d'applications peuvent accéder à la base de données utmps. Voir les pages de manuel utmpd(1M) et utmps(4).

Exemples d'utilisation de la commande last

Cette section contient des exemples d'utilisation de la commande last. La commande suivante répertorie toutes les sessions racines et toutes les sessions sur le terminal de console :

# last root console | more
root pts/1 Mon Mar 12 16:22 - 18:04 (01:41)
abcdeux console Mon Mar 12 10:13 - 10:19 (00:06)
root pts/2 Fri Mar 9 13:51 - 15:12 (01:21)
abcdeux console Thu Mar 8 12:21 - 12:22 (00:00)
root pts/ta Wed Mar 7 15:38 - 18:13 (02:34)

La commande suivante répertorie les heures où des réamorçages ont eu lieu :

# last reboot
reboot system boot Sun Mar 28 18:06 still logged in
reboot system boot Sun Mar 28 17:48 - 18:06 (00:17)
reboot system boot Sun Mar 28 17:40 - 17:48 (00:08)
reboot system boot Thu Feb 19 18:25 - 17:40 (37+23:15)
reboot system boot Mon Feb 16 13:56 - 18:25 (3+04:28)

Vérification de l'utilisateur connecté

La commande who examine le fichier /etc/utmp afin d'obtenir les informations de connexion de l'utilisateur actuel. En outre, la commande who peut répertorier les connexions, les déconnexions, les réamorçages, les modifications de l'horloge système et les processus créés par le processus init.

Utilisez la commande who -u pour contrôler qui est actuellement connecté. Par exemple :

# who -u
aperson console Aug 5 11:28 old 5796 system.home.company.com
aperson pts/0 Aug 17 18:11 0:03 24944 system
aperson pts/1 Aug 5 11:28 1:14 5840 system

Pour plus d’informations, voir who(1).



Gestion de l'accès utilisateur
  		 


Authentification des utilisateurs avec PAM  
Version imprimable
Respect de la vie privée L'utilisation de ce site implique que vous en acceptez les conditions
© 2008 Hewlett-Packard Development Company, L.P.