Chapitre 5. Obtention de privilèges

Les administrateurs système, et dans certains cas les utilisateurs, doivent effectuer certaines tâches avec un accès administratif. L'accès au système en tant qu'utilisateur root est potentiellement dangereux et peut causer des dommages qui se répandent sur le système et sur les données. Ce chapitre couvre les manières d'obtenir des privilèges administratifs en utilisant des programmes setuid tels que su et sudo. Ces programmes autorisent des utilisateurs spécifiques à effectuer des tâches qui seraient normalement uniquement disponibles à l'utilisateur root tout en conservant un niveau de contrôle et de sécurité du système élevés.
Veuillez consulter le Guide de sécurité Red Hat Enterprise Linux 7 pour obtenir davantage d'informations sur les contrôles administratifs, sur les dangers potentiels et sur les manières de prévenir les pertes de données résultant d'une utilisation incorrecte d'un accès privilégié.

5.1. La commande su

Lorsqu'un utilisateur exécute la commande su, il lui est demandé le mot de passe de l'utilisateur root. Une invite de shell root s'ouvrira après l'authentification.
Une fois connecté par le biais de la commande su, l'utilisateur devient l'utilisateur root et possède un accès administratif absolu sur le système. Veuillez remarquer que cet accès reste sujet aux restrictions imposées par SELinux, si activé. En outre, une fois qu'un utilisateur est connecté en tant qu'utilisateur root, il est lui est possible d'utiliser la commande su pour modifier tout autre utilisateur sur le système sans avoir à saisir de mot de passe.
Comme ce programme est puissant, les administrateurs d'une organisation pourraient souhaiter limiter l'accès à cette commande.
L'une des simple manières de prcéder consiste à ajouter des utilisateurs à un groupe administratif particulier appelé wheel. Pour cela, veuillez saisir la commande suivante en tant qu'utilisateur root :
~]# usermod -a -G wheel username
Dans la commande précédente, veuillez remplacer username par le nom d'utilisateur que vous souhaitez ajouter au groupe wheel.
Vous pouvez également utiliser l'outil des paramètres Utilisateurs pour modifier les appartenances aux groupes comme suit. Veuillez remarquer que vous aurez besoin de privilèges d'administrateur pour effectuer cette procédure.
  1. Veuillez appuyer sur la touche Super pour accéder à « Vue d'ensembles des activités », saisissez Utilisateurs puis appuyez sur Entrée. L'outil des paramètres Utilisateurs s'affiche. La touche Super apparaît sous une variété de formes, selon le clavier et autre matériel, mais le plus souvent, il s'agit de la touche Windows ou Commande, et elle se trouve habituellement à gauche de la Barre d'espace.
  2. Pour autoriser les modifications, veuillez cliquer sur le bouton Déverrouiller, puis saisissez un mot de passe d'administrateur valide.
  3. Veuillez cliquer sur l'icône dans la colonne de gauche pour afficher les propriétés de l'utilisateur dans le volet du côté droit.
  4. Modifiez le Type de compte de Standard à Administrateur. Cela aura pour effet d'ajouter l'utilisateur au groupe wheel.
Veuillez consulter la Section 3.2, « Gestion des utilisateurs dans un environnement graphique » pour obtenir davantage d'informations sur l'outil Utilisateurs.
Après avoir ajouté les utilisateurs souhaités au groupe wheel, il est recommandé d'autoriser ces utilisateurs spécifiques uniquement à utiliser la commande su. Pour faire cela, veuillez modifier le fichier de configuration Pluggable Authentication Module (PAM) de su, /etc/pam.d/su. Ouvrez ce fichier dans un éditeur de texte et enlevez la ligne suivante du commentaire en supprimant le caractère # :
#auth           required        pam_wheel.so use_uid
Ce changement signifie que seuls les membres du groupe administratif wheel peuvent basculer sur un autre utilisateur en utilisant la commande su.

Note

L'utilisateur root fait partie du groupe wheel par défaut.