Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » Debian » Debian 11 » Présentation de la Certification » LDF501 - Gestion des Utilisateurs

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

--- elearning:workbooks:debian:10:junior:l106 [2022/05/17 08:14] – created admin
+++ elearning:workbooks:debian:10:junior:l106 [2024/03/08 08:28] (Version actuelle) – admin
@@ Ligne 1: / Ligne 1: @@
 ~~PDF:LANDSCAPE~~
-Version : **2021.01**
+Version : **2024.01**
 Dernière mise-à-jour : ~~LASTMOD~~
-======LCF501 - Gestion des Utilisateurs======
+======LDF501 - Gestion des Utilisateurs======
 =====Contenu du Module=====
-  * **LCF501 - Gestion des Utilisateurs**
+  * **LDF501 - Gestion des Utilisateurs**
     * Contenu du Module
     * Présentation
@@ Ligne 32: / Ligne 32: @@
     * LAB #1 - Gérer les Utilisateurs et les Groupes
     * LAB #2 - Forcer l'utilisation des mots de passe complexe avec PAM
-      * Utiliser des Mots de Passe Complexe
+      * 2.1 - Présentation de PAM
-      * Configuration
+      * 2.2 - Configuration des modules
-    * su et su -
+      * 2.3 - Utiliser des Mots de Passe Complexe
-    * sudo
+    * LAB #3 - su et su -
+    * LAB #4 - sudo
 =====Présentation=====
-<WRAP center round todo 60%>
+<WRAP center round todo>
 **A faire** : Afin de mettre en pratique les exemples dans ce cours, vous devez vous connecter à votre système en tant que root grâce à la commande **su -** et le mot de passe **fenestros**.
 </WRAP>
@@ Ligne 53: / Ligne 54: @@
   * **/etc/group**.
-====/etc/nsswitch.conf sous RHEL 8====
+====/etc/nsswitch.conf====
 <code>
-[root@centos8 ~]# cat /etc/nsswitch.conf
+root@debian11:~# cat /etc/nsswitch.conf
-# Generated by authselect on Mon Apr 19 11:54:28 2021
+# /etc/nsswitch.conf
-# Do not modify this file manually.
-# If you want to make changes to nsswitch.conf please modify
-# /etc/authselect/user-nsswitch.conf and run 'authselect apply-changes'.
 #
-# Note that your changes may not be applied as they may be
+# Example configuration of GNU Name Service Switch functionality.
-# overwritten by selected profile. Maps set in the authselect
+# If you have the `glibc-doc-reference' and `info' packages installed, try:
-# profile takes always precedence and overwrites the same maps
+# `info libc "Name Service Switch"' for information about this file.
-# set in the user file. Only maps that are not set by the profile
-# are applied from the user file.
-#
-# For example, if the profile sets:
-#     passwd: sss files
-# and /etc/authselect/user-nsswitch.conf contains:
-#     passwd: files
-#     hosts: files dns
-# the resulting generated nsswitch.conf will be:
-#     passwd: sss files # from profile
-#     hosts: files dns  # from user file
-passwd:     sss files systemd
+passwd:         files systemd
-group:      sss files systemd
+group:          files systemd
-netgroup:   sss files
+shadow:         files
-automount:  sss files
+gshadow:        files
-services:   sss files
-...
+hosts:          files mdns4_minimal [NOTFOUND=return] dns
-shadow:     files sss
+networks:       files
-...
+protocols:      db files
+services:       db files
+ethers:         db files
+rpc:            db files
+netgroup:       nis
 </code>
-Dans ce fichier :
+Pour les entrées **passwd**, **group**, **shadow** et **gshadow** :
+  * **files** implique l'utilisation des fichiers locaux dans le répertoire **/etc**,
+  * **systemd** implique l'utilisation du plugin **nss-systemd** de la fonctionalité **Name Service Switch** (NSS) de la bibliothèque **GNU C Library** (glibc).
+Il est aussi possible de trouver une autre valeur pour ces entrées :
   * **sss** implique l'utilisation du **System Security Services Daemon** (SSSD).
     * SSSD trouve ses origines dans le projet opensource **FreeIPA** (Identity, Policy and Audit) et offre aux réseaux Linux/Unix des fonctionalités similaires à celles fournies aux réseaux Windows(tm) par les Microsoft Active Directory Domain Services,
     * Pour plus d'informations, consultez **[[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system-level_authentication_guide/configuring_services|cette page]]**.
-  * **files** implique l'utilisation des fichiers locaux dans le répertoire **/etc**,
-  * **systemd** implique l'utilisation du plugin **nss-systemd** de la fonctionalité **Name Service Switch** (NSS) de la bibliothèque **GNU C Library** (glibc).
 ====Interrogation des Bases de Données====
@@ Ligne 105: / Ligne 100: @@
 <code>
-[root@centos8 ~]# getent passwd trainee
+root@debian11:~# getent passwd trainee
-trainee:x:1000:1000:trainee:/home/trainee:/bin/bash
+trainee:x:1000:1000:trainee,,,:/home/trainee:/bin/bash
 </code>
@@ Ligne 112: / Ligne 107: @@
 <code>
-[root@centos8 ~]# getent group mail
+root@debian11:~# getent group mail
-mail:x:12:
+mail:x:8:
 </code>
@@ Ligne 119: / Ligne 114: @@
 <code>
-[root@centos8 ~]# getent passwd
+root@debian11:~# getent passwd
 root:x:0:0:root:/root:/bin/bash
-bin:x:1:1:bin:/bin:/sbin/nologin
+daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
-daemon:x:2:2:daemon:/sbin:/sbin/nologin
+bin:x:2:2:bin:/bin:/usr/sbin/nologin
-adm:x:3:4:adm:/var/adm:/sbin/nologin
+sys:x:3:3:sys:/dev:/usr/sbin/nologin
-lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
+sync:x:4:65534:sync:/bin:/bin/sync
-sync:x:5:0:sync:/sbin:/bin/sync
+games:x:5:60:games:/usr/games:/usr/sbin/nologin
-shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
+man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
-halt:x:7:0:halt:/sbin:/sbin/halt
+lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
-mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
+mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
-operator:x:11:0:operator:/root:/sbin/nologin
+news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
-games:x:12:100:games:/usr/games:/sbin/nologin
+uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
-ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
+proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
-nobody:x:65534:65534:Kernel Overflow User:/:/sbin/nologin
+www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
-dbus:x:81:81:System message bus:/:/sbin/nologin
+backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
-systemd-coredump:x:999:997:systemd Core Dumper:/:/sbin/nologin
+list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
-systemd-resolve:x:193:193:systemd Resolver:/:/sbin/nologin
+irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin
-tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
+gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
-polkitd:x:998:996:User for polkitd:/:/sbin/nologin
+nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
-unbound:x:997:994:Unbound DNS resolver:/etc/unbound:/sbin/nologin
+_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
-libstoragemgmt:x:996:993:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
+systemd-network:x:101:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
-cockpit-ws:x:995:991:User for cockpit-ws:/nonexisting:/sbin/nologin
+systemd-resolve:x:102:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
-sssd:x:994:990:User for sssd:/:/sbin/nologin
+messagebus:x:103:109::/nonexistent:/usr/sbin/nologin
-setroubleshoot:x:993:989::/var/lib/setroubleshoot:/sbin/nologin
+systemd-timesync:x:104:110:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
-sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
+usbmux:x:105:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
-chrony:x:992:988::/var/lib/chrony:/sbin/nologin
+rtkit:x:106:113:RealtimeKit,,,:/proc:/usr/sbin/nologin
-tcpdump:x:72:72::/:/sbin/nologin
+dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
-trainee:x:1000:1000:trainee:/home/trainee:/bin/bash
+avahi:x:108:114:Avahi mDNS daemon,,,:/run/avahi-daemon:/usr/sbin/nologin
-cockpit-wsinstance:x:991:987:User for cockpit-ws instances:/nonexisting:/sbin/nologin
+speech-dispatcher:x:109:29:Speech Dispatcher,,,:/run/speech-dispatcher:/bin/false
-rngd:x:990:986:Random Number Generator Daemon:/var/lib/rngd:/sbin/nologin
+pulse:x:110:116:PulseAudio daemon,,,:/run/pulse:/usr/sbin/nologin
-gluster:x:989:985:GlusterFS daemons:/run/gluster:/sbin/nologin
+saned:x:111:119::/var/lib/saned:/usr/sbin/nologin
-qemu:x:107:107:qemu user:/:/sbin/nologin
+colord:x:112:120:colord colour management daemon,,,:/var/lib/colord:/usr/sbin/nologin
-rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
+lightdm:x:113:121:Light Display Manager:/var/lib/lightdm:/bin/false
-rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
+trainee:x:1000:1000:trainee,,,:/home/trainee:/bin/bash
-saslauth:x:988:76:Saslauthd user:/run/saslauthd:/sbin/nologin
+systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
-radvd:x:75:75:radvd user:/:/sbin/nologin
+sshd:x:114:65534::/run/sshd:/usr/sbin/nologin
-dnsmasq:x:983:983:Dnsmasq DHCP and DNS server:/var/lib/dnsmasq:/sbin/nologin
 </code>
@@ Ligne 163: / Ligne 157: @@
 <code>
-[root@centos8 ~]# cat /etc/group
+root@debian11:~# cat /etc/group
 root:x:0:
-bin:x:1:
+daemon:x:1:
-daemon:x:2:
+bin:x:2:
 sys:x:3:
 adm:x:4:
@@ Ligne 172: / Ligne 166: @@
 disk:x:6:
 lp:x:7:
-mem:x:8:
+mail:x:8:
-kmem:x:9:
+news:x:9:
-wheel:x:10:
+uucp:x:10:
-cdrom:x:11:
+man:x:12:
-mail:x:12:
+proxy:x:13:
-man:x:15:
+kmem:x:15:
-dialout:x:18:
+dialout:x:20:
-floppy:x:19:
+fax:x:21:
-games:x:20:
+voice:x:22:
-tape:x:33:
+cdrom:x:24:trainee
-video:x:39:
+floppy:x:25:trainee
-ftp:x:50:
+tape:x:26:
-lock:x:54:
+sudo:x:27:
-audio:x:63:
+audio:x:29:pulse,trainee
+dip:x:30:trainee
+www-data:x:33:
+backup:x:34:
+operator:x:37:
+list:x:38:
+irc:x:39:
+src:x:40:
+gnats:x:41:
+shadow:x:42:
+utmp:x:43:
+video:x:44:trainee
+sasl:x:45:
+plugdev:x:46:trainee
+staff:x:50:
+games:x:60:
 users:x:100:
-nobody:x:65534:
+nogroup:x:65534:
-dbus:x:81:
+systemd-journal:x:101:
-utmp:x:22:
+systemd-network:x:102:
-utempter:x:35:
+systemd-resolve:x:103:
-input:x:999:
+input:x:104:
-kvm:x:36:qemu
+kvm:x:105:
-render:x:998:
+render:x:106:
-systemd-journal:x:190:
+crontab:x:107:
-systemd-coredump:x:997:
+netdev:x:108:trainee
-systemd-resolve:x:193:
+messagebus:x:109:
-tss:x:59:
+systemd-timesync:x:110:
-polkitd:x:996:
+ssh:x:111:
-printadmin:x:995:
+ssl-cert:x:112:
-unbound:x:994:
+rtkit:x:113:
-libstoragemgmt:x:993:
+avahi:x:114:
-ssh_keys:x:992:
+lpadmin:x:115:trainee
-cockpit-ws:x:991:
+pulse:x:116:
-sssd:x:990:
+pulse-access:x:117:
-setroubleshoot:x:989:
+scanner:x:118:saned,trainee
-sshd:x:74:
+saned:x:119:
-chrony:x:988:
+colord:x:120:
-slocate:x:21:
+lightdm:x:121:
-tcpdump:x:72:
 trainee:x:1000:
-cockpit-wsinstance:x:987:
+systemd-coredump:x:999:
-rngd:x:986:
+mlocate:x:122:
-gluster:x:985:
-qemu:x:107:
-rpc:x:32:
-rpcuser:x:29:
-saslauth:x:76:
-libvirt:x:984:
-radvd:x:75:
-dnsmasq:x:983:
-screen:x:84:
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
-**Important** : Notez que la valeur du GID du groupe root est toujours de 0. Notez que sous RHEL / CentOS 8, les GID des utilisateurs normaux commencent à **1000** et les GID des comptes système sont inclus entre 1 et 99 et entre 201 et 999.
+**Important** : Notez que la valeur du GID du groupe root est toujours de 0. Notez que sous Debian 11, les GID des utilisateurs normaux commencent à **1000** et les GID des comptes système sont inclus entre 1 et 99 et entre 201 et 999.
 </WRAP>
@@ Ligne 238: / Ligne 237: @@
 <code>
-[root@centos8 ~]# cat /etc/gshadow
+root@debian11:~# cat /etc/gshadow
-root:::
+root:*::
-bin:::
+daemon:*::
-daemon:::
+bin:*::
-sys:::
+sys:*::
-adm:::
+adm:*::
-tty:::
+tty:*::
-disk:::
+disk:*::
-lp:::
+lp:*::
-mem:::
+mail:*::
-kmem:::
+news:*::
-wheel:::
+uucp:*::
-cdrom:::
+man:*::
-mail:::
+proxy:*::
-man:::
+kmem:*::
-dialout:::
+dialout:*::
-floppy:::
+fax:*::
-games:::
+voice:*::
-tape:::
+cdrom:*::trainee
-video:::
+floppy:*::trainee
-ftp:::
+tape:*::
-lock:::
+sudo:*::
-audio:::
+audio:*::pulse,trainee
-users:::
+dip:*::trainee
-nobody:::
+www-data:*::
-dbus:!::
+backup:*::
-utmp:!::
+operator:*::
-utempter:!::
+list:*::
-input:!::
+irc:*::
-kvm:!::qemu
+src:*::
-render:!::
+gnats:*::
+shadow:*::
+utmp:*::
+video:*::trainee
+sasl:*::
+plugdev:*::trainee
+staff:*::
+games:*::
+users:*::
+nogroup:*::
 systemd-journal:!::
-systemd-coredump:!::
+systemd-network:!::
 systemd-resolve:!::
-tss:!::
+input:!::
-polkitd:!::
+kvm:!::
-printadmin:!::
+render:!::
-unbound:!::
+crontab:!::
-libstoragemgmt:!::
+netdev:!::trainee
-ssh_keys:!::
+messagebus:!::
-cockpit-ws:!::
+systemd-timesync:!::
-sssd:!::
+ssh:!::
-setroubleshoot:!::
+ssl-cert:!::
-sshd:!::
+rtkit:!::
-chrony:!::
+avahi:!::
-slocate:!::
+lpadmin:!::trainee
-tcpdump:!::
+pulse:!::
+pulse-access:!::
+scanner:!::saned,trainee
+saned:!::
+colord:!::
+lightdm:!::
 trainee:!::
-cockpit-wsinstance:!::
+systemd-coredump:!*::
-rngd:!::
+mlocate:!::
-gluster:!::
-qemu:!::
-rpc:!::
-rpcuser:!::
-saslauth:!::
-libvirt:!::
-radvd:!::
-dnsmasq:!!::
-screen:!::
 </code>
@@ Ligne 309: / Ligne 313: @@
 <code>
-[root@centos8 ~]# grpck -r
+root@debian11:~# grpck -r
-[root@centos8 ~]#
+root@debian11:~#
 </code>
 Dans le cas où vos fichiers ne comportent pas d'erreurs, vous vous retrouverez retourné au prompt.
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : L'option **-r** permet la vérification des erreurs sans le modifier.
 </WRAP>
@@ Ligne 328: / Ligne 332: @@
 ====Les Fichiers /etc/passwd et /etc/shadow====
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Notez que la règle la plus libérale concernant les noms d'utilisateurs sous Linux limite la longueur à 32 caractères et permet l'utilisation de majuscules, de minuscules, de nombres (sauf au début du nom) ainsi que la plupart des caractères de ponctuation. Ceci dit, certains utilitaires, tel **useradd** interdisent l'utilisation de majuscules et de caractères de ponctuation mais permettent l'utilisation des caractères **_**, **.** ainsi que le caractère **$** à la fin du nom (**ATTENTION** : dans le cas de samba, un nom d'utilisateur se terminant par **$** est considéré comme un compte **machine**). Qui plus est, certains utilitaires limitent la longueur du nom à **8** caractères.
 </WRAP>
@@ Ligne 335: / Ligne 339: @@
 <code>
-[root@centos8 ~]# cat /etc/passwd
+root@debian11:~# cat /etc/passwd
 root:x:0:0:root:/root:/bin/bash
-bin:x:1:1:bin:/bin:/sbin/nologin
+daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
-daemon:x:2:2:daemon:/sbin:/sbin/nologin
+bin:x:2:2:bin:/bin:/usr/sbin/nologin
-adm:x:3:4:adm:/var/adm:/sbin/nologin
+sys:x:3:3:sys:/dev:/usr/sbin/nologin
-lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
+sync:x:4:65534:sync:/bin:/bin/sync
-sync:x:5:0:sync:/sbin:/bin/sync
+games:x:5:60:games:/usr/games:/usr/sbin/nologin
-shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
+man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
-halt:x:7:0:halt:/sbin:/sbin/halt
+lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
-mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
+mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
-operator:x:11:0:operator:/root:/sbin/nologin
+news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
-games:x:12:100:games:/usr/games:/sbin/nologin
+uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
-ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
+proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
-nobody:x:65534:65534:Kernel Overflow User:/:/sbin/nologin
+www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
-dbus:x:81:81:System message bus:/:/sbin/nologin
+backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
-systemd-coredump:x:999:997:systemd Core Dumper:/:/sbin/nologin
+list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
-systemd-resolve:x:193:193:systemd Resolver:/:/sbin/nologin
+irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin
-tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
+gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
-polkitd:x:998:996:User for polkitd:/:/sbin/nologin
+nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
-unbound:x:997:994:Unbound DNS resolver:/etc/unbound:/sbin/nologin
+_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
-libstoragemgmt:x:996:993:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
+systemd-network:x:101:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
-cockpit-ws:x:995:991:User for cockpit-ws:/nonexisting:/sbin/nologin
+systemd-resolve:x:102:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
-sssd:x:994:990:User for sssd:/:/sbin/nologin
+messagebus:x:103:109::/nonexistent:/usr/sbin/nologin
-setroubleshoot:x:993:989::/var/lib/setroubleshoot:/sbin/nologin
+systemd-timesync:x:104:110:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
-sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
+usbmux:x:105:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
-chrony:x:992:988::/var/lib/chrony:/sbin/nologin
+rtkit:x:106:113:RealtimeKit,,,:/proc:/usr/sbin/nologin
-tcpdump:x:72:72::/:/sbin/nologin
+dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
-trainee:x:1000:1000:trainee:/home/trainee:/bin/bash
+avahi:x:108:114:Avahi mDNS daemon,,,:/run/avahi-daemon:/usr/sbin/nologin
-cockpit-wsinstance:x:991:987:User for cockpit-ws instances:/nonexisting:/sbin/nologin
+speech-dispatcher:x:109:29:Speech Dispatcher,,,:/run/speech-dispatcher:/bin/false
-rngd:x:990:986:Random Number Generator Daemon:/var/lib/rngd:/sbin/nologin
+pulse:x:110:116:PulseAudio daemon,,,:/run/pulse:/usr/sbin/nologin
-gluster:x:989:985:GlusterFS daemons:/run/gluster:/sbin/nologin
+saned:x:111:119::/var/lib/saned:/usr/sbin/nologin
-qemu:x:107:107:qemu user:/:/sbin/nologin
+colord:x:112:120:colord colour management daemon,,,:/var/lib/colord:/usr/sbin/nologin
-rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
+lightdm:x:113:121:Light Display Manager:/var/lib/lightdm:/bin/false
-rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
+trainee:x:1000:1000:trainee,,,:/home/trainee:/bin/bash
-saslauth:x:988:76:Saslauthd user:/run/saslauthd:/sbin/nologin
+systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
-radvd:x:75:75:radvd user:/:/sbin/nologin
+sshd:x:114:65534::/run/sshd:/usr/sbin/nologin
-dnsmasq:x:983:983:Dnsmasq DHCP and DNS server:/var/lib/dnsmasq:/sbin/nologin
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
-**Important** : Notez que la valeur de l'UID de root est toujours de 0. Notez que sous RHEL / CentOS 8, les UID des utilisateurs normaux commencent à **1000** et les UID des comptes système sont inclus entre 1 et 99 et entre 201 et 999.
+**Important** : Notez que la valeur de l'UID de root est toujours de 0. Notez que sous Debian 11, les UID des utilisateurs normaux commencent à **1000** et les UID des comptes système sont inclus entre 1 et 99 et entre 201 et 999.
 </WRAP>
@@ Ligne 391: / Ligne 394: @@
 <code>
-[root@centos8 ~]# cat /etc/shadow
+root@debian11:~# cat /etc/shadow
-root:$6$9Sa1IumuSlJc8EBg$8jGU/4xGCXy64QuBSMyKOC6/FWs41rdY5tzF5/7yHG6FRS2Y2eOJIcst1JbcvNoqMPDU4lpZ6THW97jwGuQNf1::0:99999:7:::
+root:$y$j9T$3oULwcP4KCW0crXb9zLB90$Tqr6eSITrKaEnKecir1vRGXpa1OdRRi3/Q.gLwLPph/:19107:0:99999:7:::
-bin:*:18264:0:99999:7:::
+daemon:*:19107:0:99999:7:::
-daemon:*:18264:0:99999:7:::
+bin:*:19107:0:99999:7:::
-adm:*:18264:0:99999:7:::
+sys:*:19107:0:99999:7:::
-lp:*:18264:0:99999:7:::
+sync:*:19107:0:99999:7:::
-sync:*:18264:0:99999:7:::
+games:*:19107:0:99999:7:::
-shutdown:*:18264:0:99999:7:::
+man:*:19107:0:99999:7:::
-halt:*:18264:0:99999:7:::
+lp:*:19107:0:99999:7:::
-mail:*:18264:0:99999:7:::
+mail:*:19107:0:99999:7:::
-operator:*:18264:0:99999:7:::
+news:*:19107:0:99999:7:::
-games:*:18264:0:99999:7:::
+uucp:*:19107:0:99999:7:::
-ftp:*:18264:0:99999:7:::
+proxy:*:19107:0:99999:7:::
-nobody:*:18264:0:99999:7:::
+www-data:*:19107:0:99999:7:::
-dbus:!!:18390::::::
+backup:*:19107:0:99999:7:::
-systemd-coredump:!!:18390::::::
+list:*:19107:0:99999:7:::
-systemd-resolve:!!:18390::::::
+irc:*:19107:0:99999:7:::
-tss:!!:18390::::::
+gnats:*:19107:0:99999:7:::
-polkitd:!!:18390::::::
+nobody:*:19107:0:99999:7:::
-unbound:!!:18390::::::
+_apt:*:19107:0:99999:7:::
-libstoragemgmt:!!:18390::::::
+systemd-network:*:19107:0:99999:7:::
-cockpit-ws:!!:18390::::::
+systemd-resolve:*:19107:0:99999:7:::
-sssd:!!:18390::::::
+messagebus:*:19107:0:99999:7:::
-setroubleshoot:!!:18390::::::
+systemd-timesync:*:19107:0:99999:7:::
-sshd:!!:18390::::::
+usbmux:*:19107:0:99999:7:::
-chrony:!!:18390::::::
+rtkit:*:19107:0:99999:7:::
-tcpdump:!!:18390::::::
+dnsmasq:*:19107:0:99999:7:::
-trainee:$6$p4HOAHX7UAzw1nQh$VZL12Lye.mR8v1IP2e4f0PCW8DzHj2MMAaA7r2ZLoTnQN7Ziskce3bo/xTMu1bXZm5GebJjSw7.X5tABVNoJ2/::0:99999:7:::
+avahi:*:19107:0:99999:7:::
-cockpit-wsinstance:!!:18736::::::
+speech-dispatcher:!:19107:0:99999:7:::
-rngd:!!:18736::::::
+pulse:*:19107:0:99999:7:::
-gluster:!!:18736::::::
+saned:*:19107:0:99999:7:::
-qemu:!!:18736::::::
+colord:*:19107:0:99999:7:::
-rpc:!!:18736:0:99999:7:::
+lightdm:*:19107:0:99999:7:::
-rpcuser:!!:18736::::::
+trainee:$y$j9T$iKJ5MC8LmULY.yq58DCjw1$WsIdItQEonaSeCFZil61bk4YPxSp1.5aFg0uDhwIbZC:19107:0:99999:7:::
-saslauth:!!:18736::::::
+systemd-coredump:!*:19107::::::
-radvd:!!:18736::::::
+sshd:*:19107:0:99999:7:::
-dnsmasq:!!:18736::::::
 </code>
@@ Ligne 447: / Ligne 449: @@
 <code>
-[root@centos8 ~]# pwck -r
+root@debian11:~# pwck -r
-user 'cockpit-ws': directory '/nonexisting' does not exist
+user 'lp': directory '/var/spool/lpd' does not exist
-user 'cockpit-wsinstance': directory '/nonexisting' does not exist
+user 'news': directory '/var/spool/news' does not exist
-user 'rngd': directory '/var/lib/rngd' does not exist
+user 'uucp': directory '/var/spool/uucp' does not exist
-user 'saslauth': directory '/run/saslauthd' does not exist
+user 'www-data': directory '/var/www' does not exist
+user 'list': directory '/var/list' does not exist
+user 'irc': directory '/run/ircd' does not exist
+user 'gnats': directory '/var/lib/gnats' does not exist
+user 'nobody': directory '/nonexistent' does not exist
+user '_apt': directory '/nonexistent' does not exist
 pwck: no changes
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Les erreurs ci-dessus ne sont pas importantes. Elles sont dues au fait que les répertoires de connexion de certains comptes systèmes ne sont pas créés par le système lors de la création des comptes et ceci justement pour éviter la possibilité qu'un pirate ou un hacker puisse se connecter au système en utilisant le compte concerné. Encore une fois, l'option **-r** permet la vérification des erreurs dans sans le modifier.
 </WRAP>
@@ Ligne 475: / Ligne 482: @@
 Cette commande est utilisée pour créer un groupe.
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# groupadd --help
+root@debian11:~# groupadd --help
 Usage: groupadd [options] GROUP
@@ Ligne 495: / Ligne 502: @@
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Il est possible de créer plusieurs groupes ayant le même GID.
 </WRAP>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Notez l'option **-r** qui permet la création d'un groupe système.
 </WRAP>
@@ Ligne 507: / Ligne 514: @@
 Cette commande est utilisée pour supprimer un groupe.
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# groupdel --help
+root@debian11:~# groupdel --help
 Usage: groupdel [options] GROUP
@@ Ligne 524: / Ligne 531: @@
 Cette commande est utilisée pour modifier un groupe existant.
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# groupmod --help
+root@debian11:~# groupmod --help
 Usage: groupmod [options] GROUP
@@ Ligne 545: / Ligne 552: @@
 Cette commande est utilisée pour modifier le groupe de l'utilisateur qui l'invoque.
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# newgrp --help
+root@debian11:~# newgrp --help
 Usage: newgrp [-] [group]
 </code>
@@ Ligne 554: / Ligne 561: @@
 ===gpasswd===
-Cette commande est utilisée pour modifier administrer le fichier **/etc/group**.
+Cette commande est utilisée pour administrer le fichier **/etc/group**.
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# gpasswd --help
+root@debian11:~# gpasswd --help
 Usage: gpasswd [option] GROUP
@@ Ligne 567: / Ligne 574: @@
   -h, --help                    display this help message and exit
   -Q, --root CHROOT_DIR         directory to chroot into
-  -r, --delete-password         remove the GROUP's password
+  -r, --remove-password         remove the GROUP's password
   -R, --restrict                restrict access to GROUP to its members
   -M, --members USER,...        set the list of members of GROUP
@@ Ligne 594: / Ligne 601: @@
 | 13 | Impossible de créer le spool mail de l'utilisateur |
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# useradd --help
+root@debian11:~# useradd --help
 Usage: useradd [options] LOGIN
        useradd -D
@@ Ligne 603: / Ligne 610: @@
 Options:
+      --badnames                do not check for bad names
   -b, --base-dir BASE_DIR       base directory for the home directory of the
                                 new account
+      --btrfs-subvolume-home    use BTRFS subvolume for home directory
   -c, --comment COMMENT         GECOS field of the new account
   -d, --home-dir HOME_DIR       home directory of the new account
@@ Ligne 635: / Ligne 644: @@
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Il est possible de créer plusieurs utilisateurs ayant le même UID.
 </WRAP>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Notez l'option **-r** qui permet la création d'un compte système. Dans ce cas la commande useradd ne crée pas de répertoire personnel.
 </WRAP>
@@ Ligne 647: / Ligne 656: @@
 Cette commande est utilisée pour supprimer un utilisateur.
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# userdel --help
+root@debian11:~# userdel --help
 Usage: userdel [options] LOGIN
 Options:
-  -f, --force                   force some actions that would fail otherwise
+  -f, --force                   force removal of files,
-                                e.g. removal of user still logged in
+                                even if not owned by user
-                                or files, even if not owned by the user
   -h, --help                    display this help message and exit
   -r, --remove                  remove home directory and mail spool
@@ Ligne 664: / Ligne 672: @@
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Notez que lors de la suppression d'un utilisateur, l'UID associé avec ce compte peut être réutilisé. Le nombre maximum de comptes était de **65 536** avec le noyau **2.2.x**. Avec les noyaux récents, cette limite passe à plus de 4,2 Milliards.
 </WRAP>
@@ Ligne 672: / Ligne 680: @@
 Cette commande est utilisée pour modifier un utilisateur existant.
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# usermod --help
+root@debian11:~# usermod --help
 Usage: usermod [options] LOGIN
 Options:
+  -b, --badnames                allow bad names
   -c, --comment COMMENT         new value of the GECOS field
   -d, --home HOME_DIR           new home directory for the user account
@@ Ligne 708: / Ligne 717: @@
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Notez l'option **-L** qui permet de verrouiller un compte.
 </WRAP>
@@ Ligne 716: / Ligne 725: @@
 Cette commande est utilisée pour créer ou modifier le mot de passe d'un utilisateur.
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# passwd --help
+root@debian11:~# passwd --help
-Usage: passwd [OPTION...] <accountName>
+Usage: passwd [options] [LOGIN]
-  -k, --keep-tokens       keep non-expired authentication tokens
-  -d, --delete            delete the password for the named account (root only); also removes password lock if any
-  -l, --lock              lock the password for the named account (root only)
-  -u, --unlock            unlock the password for the named account (root only)
-  -e, --expire            expire the password for the named account (root only)
-  -f, --force             force operation
-  -x, --maximum=DAYS      maximum password lifetime (root only)
-  -n, --minimum=DAYS      minimum password lifetime (root only)
-  -w, --warning=DAYS      number of days warning users receives before password expiration (root only)
-  -i, --inactive=DAYS     number of days after password expiration when an account becomes disabled (root only)
-  -S, --status            report password status on the named account (root only)
-      --stdin             read new tokens from stdin (root only)
-Help options:
+Options:
-  -?, --help              Show this help message
+  -a, --all                     report password status on all accounts
-      --usage             Display brief usage message
+  -d, --delete                  delete the password for the named account
+  -e, --expire                  force expire the password for the named account
+  -h, --help                    display this help message and exit
+  -k, --keep-tokens             change password only if expired
+  -i, --inactive INACTIVE       set password inactive after expiration
+                                to INACTIVE
+  -l, --lock                    lock the password of the named account
+  -n, --mindays MIN_DAYS        set minimum number of days before password
+                                change to MIN_DAYS
+  -q, --quiet                   quiet mode
+  -r, --repository REPOSITORY   change password in REPOSITORY repository
+  -R, --root CHROOT_DIR         directory to chroot into
+  -S, --status                  report password status on the named account
+  -u, --unlock                  unlock the password of the named account
+  -w, --warndays WARN_DAYS      set expiration warning days to WARN_DAYS
+  -x, --maxdays MAX_DAYS        set maximum number of days before password
+                                change to MAX_DAYS
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Notez l'option **-l** qui permet de verrouiller un compte en plaçant le caractère **!** devant le mot de passe crypté.
 </WRAP>
@@ Ligne 747: / Ligne 760: @@
 La commande chage modifie le nombre de jours entre les changements de mot de passe et la date du dernier changement. Ces informations sont utilisées par le système pour déterminer si un utilisateur doit changer son mot de passe.
-==Options de la commande==
+Les options de cette commande sont :
 <code>
-[root@centos8 ~]# chage --help
+root@debian11:~# chage --help
 Usage: chage [options] LOGIN
@@ Ligne 757: / Ligne 770: @@
   -E, --expiredate EXPIRE_DATE  set account expiration date to EXPIRE_DATE
   -h, --help                    display this help message and exit
+  -i, --iso8601                 use YYYY-MM-DD when printing dates
   -I, --inactive INACTIVE       set password inactive after expiration
                                 to INACTIVE
@@ Ligne 773: / Ligne 787: @@
 <code>
-[root@centos8 ~]# cat /etc/default/useradd
+root@debian11:~# cat /etc/default/useradd
-# useradd defaults file
+# Default values for useradd(8)
-GROUP=100
+#
-HOME=/home
+# The SHELL variable specifies the default login shell on your
-INACTIVE=-1
+# system.
-EXPIRE=
+# Similar to DSHELL in adduser. However, we use "sh" here because
-SHELL=/bin/bash
+# useradd is a low level utility and should be as general
-SKEL=/etc/skel
+# as possible
-CREATE_MAIL_SPOOL=yes
+SHELL=/bin/sh
+#
+# The default group for users
+# 100=users on Debian systems
+# Same as USERS_GID in adduser
+# This argument is used when the -n flag is specified.
+# The default behavior (when -n and -g are not specified) is to create a
+# primary user group with the same name as the user being added to the
+# system.
+# GROUP=100
+#
+# The default home directory. Same as DHOME for adduser
+# HOME=/home
+#
+# The number of days after a password expires until the account
+# is permanently disabled
+# INACTIVE=-1
+#
+# The default expire date
+# EXPIRE=
+#
+# The SKEL variable specifies the directory containing "skeletal" user
+# files; in other words, files such as a sample .profile that will be
+# copied to the new user's home directory when it is created.
+# SKEL=/etc/skel
+#
+# Defines whether the mail spool should be created while
+# creating the account
+# CREATE_MAIL_SPOOL=yes
 </code>
 Dans ce fichier, nous trouvons les directives suivantes :
+  * **SHELL** - renseigne le shell de l'utilisateur,
   * **GROUP** - identifie le groupe principal par défaut de l'utilisateur quand l'option **-N** est utilisée avec la commande **useradd**. Dans le cas contraire le groupe principal est soit le groupe spécifié par l'option **-g** de la commande, soit un nouveau groupe au même nom que l'utilisateur,
   * **HOME** - indique que le répertoire personnel de l'utilisateur sera créé dans le répertoire **home** lors de la création du compte si cette option a été activée dans le fichier **/etc/login.defs**,
   * **INACTIVE** - indique le nombre de jours d'inactivité après l'expiration d'un mot de passe avant que le compte soit verrouillé. La valeur de -1 désactive cette directive,
   * **EXPIRE** - sans valeur, cette directive indique que le mot de passe de l'utilisateur n'expire jamais,
-  * **SHELL** - renseigne le shell de l'utilisateur,
   * **SKEL** - indique le répertoire contenant les fichiers qui seront copiés vers le répertoire personnel de l'utilisateur, si ce répertoire est créé lors de la création de l'utilisateur,
   * **CREATE_MAIL_SPOOL** - indique si oui ou non une boite mail interne au système sera créée pour l'utilisateur.
-Cette même information peut être visualisée en exécutant la commande **useradd** avec l'option **-D** :
+Il est aussi possible de renseigner la valeur de la directive suivante :
+  * **UMASK** - indique l'umask de l'utilisateur. Cette valeur, si présente, prend le dessus sur la valeur indiqué dans le fichier **/etc/login.defs**.
+Ces mêmes informations peuvent être visualisées en exécutant la commande **useradd** avec l'option **-D** :
 <code>
-[root@centos8 ~]# useradd -D
+root@debian11:~# useradd -D
 GROUP=100
 HOME=/home
 INACTIVE=-1
 EXPIRE=
-SHELL=/bin/bash
+SHELL=/bin/sh
 SKEL=/etc/skel
-CREATE_MAIL_SPOOL=yes
+CREATE_MAIL_SPOOL=no
 </code>
@@ Ligne 811: / Ligne 856: @@
 <code>
-[root@centos8 ~]# ls -la /etc/skel
+root@debian11:~# ls -la /etc/skel
-total 24
+total 20
-drwxr-xr-x.   2 root root   62 Apr 19 11:50 .
+drwxr-xr-x   2 root root 4096 Apr 25 06:29 .
-drwxr-xr-x. 106 root root 8192 Apr 20 10:17 ..
+drwxr-xr-x 112 root root 4096 Jun  2 16:42 ..
--rw-r--r--.   1 root root   18 Jul 21  2020 .bash_logout
+-rw-r--r--   1 root root  220 Aug  4  2021 .bash_logout
--rw-r--r--.   1 root root  141 Jul 21  2020 .bash_profile
+-rw-r--r--   1 root root 3526 Aug  4  2021 .bashrc
--rw-r--r--.   1 root root  376 Jul 21  2020 .bashrc
+-rw-r--r--   1 root root  807 Aug  4  2021 .profile
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
-**Important** : Notez que sous RHEL / CentOS le fichier **.bash_profile** remplace le fichier **.profile**.
+**Important** : Notez que sous Debian le fichier **.profile** remplace le fichier **.bash_profile**.
 </WRAP>
@@ Ligne 828: / Ligne 872: @@
 <code>
-[root@centos8 ~]# id trainee
+root@debian11:~# id trainee
-uid=1000(trainee) gid=1000(trainee) groups=1000(trainee)
+uid=1000(trainee) gid=1000(trainee) groups=1000(trainee),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),108(netdev),115(lpadmin),118(scanner)
 </code>
@@ Ligne 835: / Ligne 879: @@
 <code>
-[root@centos8 ~]# groups trainee
+root@debian11:~# groups trainee
-trainee : trainee
+trainee : trainee cdrom floppy audio dip video plugdev netdev lpadmin scanner
 </code>
@@ Ligne 849: / Ligne 893: @@
 UID_MAX                 60000
 # System accounts
-SYS_UID_MIN               201
+#SYS_UID_MIN              100
-SYS_UID_MAX               999
+#SYS_UID_MAX              999
 #
@@ Ligne 858: / Ligne 902: @@
 GID_MAX                 60000
 # System accounts
-SYS_GID_MIN               201
+#SYS_GID_MIN              100
-SYS_GID_MAX               999
+#SYS_GID_MAX              999
 ...
 </file>
@@ Ligne 868: / Ligne 912: @@
 <code>
-[root@centos8 ~]# groupadd groupe1; groupadd groupe2; groupadd -g 1807 groupe3
+root@debian11:~# groupadd groupe1; groupadd groupe2; groupadd -g 1807 groupe3
 </code>
@@ Ligne 874: / Ligne 918: @@
 <code>
-[root@centos8 ~]# useradd -g groupe2 fenestros2; useradd -g 1807 fenestros3; useradd -g groupe1 fenestros1
+root@debian11:~# useradd -g groupe2 fenestros2; useradd -g 1807 fenestros3; useradd -g groupe1 fenestros1
-[root@centos8 ~]# usermod -G groupe1,groupe3 fenestros2
-[root@centos8 ~]# usermod -c "tux1" fenestros1
+root@debian11:~# usermod -G groupe1,groupe3 fenestros2
+root@debian11:~# usermod -c "tux1" fenestros1
 </code>
-En consultant votre fichier **/etc/passwd**, vous obtiendrez un résultat similaire à celui-ci:
+En consultant la fin de votre fichier **/etc/passwd**, vous obtiendrez un résultat similaire à celui-ci :
 <code>
-[root@centos8 ~]# tail /etc/passwd
+root@debian11:~# tail /etc/passwd
-gluster:x:989:985:GlusterFS daemons:/run/gluster:/sbin/nologin
+pulse:x:110:116:PulseAudio daemon,,,:/run/pulse:/usr/sbin/nologin
-qemu:x:107:107:qemu user:/:/sbin/nologin
+saned:x:111:119::/var/lib/saned:/usr/sbin/nologin
-rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
+colord:x:112:120:colord colour management daemon,,,:/var/lib/colord:/usr/sbin/nologin
-rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
+lightdm:x:113:121:Light Display Manager:/var/lib/lightdm:/bin/false
-saslauth:x:988:76:Saslauthd user:/run/saslauthd:/sbin/nologin
+trainee:x:1000:1000:trainee,,,:/home/trainee:/bin/bash
-radvd:x:75:75:radvd user:/:/sbin/nologin
+systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
-dnsmasq:x:983:983:Dnsmasq DHCP and DNS server:/var/lib/dnsmasq:/sbin/nologin
+sshd:x:114:65534::/run/sshd:/usr/sbin/nologin
-fenestros2:x:1001:1002::/home/fenestros2:/bin/bash
+fenestros2:x:1001:1002::/home/fenestros2:/bin/sh
-fenestros3:x:1002:1807::/home/fenestros3:/bin/bash
+fenestros3:x:1002:1807::/home/fenestros3:/bin/sh
-fenestros1:x:1003:1001:tux1:/home/fenestros1:/bin/bash
+fenestros1:x:1003:1001:tux1:/home/fenestros1:/bin/sh
 </code>
-En regardant votre fichier **/etc/group**, vous obtiendrez un résultat similaire à celui-ci:
+En regardant la fin de votre fichier **/etc/group**, vous obtiendrez un résultat similaire à celui-ci :
 <code>
-[root@centos8 ~]# tail /etc/group
+root@debian11:~# tail /etc/group
-rpc:x:32:
+scanner:x:118:saned,trainee
-rpcuser:x:29:
+saned:x:119:
-saslauth:x:76:
+colord:x:120:
-libvirt:x:984:
+lightdm:x:121:
-radvd:x:75:
+trainee:x:1000:
-dnsmasq:x:983:
+systemd-coredump:x:999:
-screen:x:84:
+mlocate:x:122:
 groupe1:x:1001:fenestros2
 groupe2:x:1002:
@@ Ligne 914: / Ligne 960: @@
 <code>
-[root@centos8 ~]# gpasswd groupe3
+root@debian11:~# gpasswd groupe3
 Changing the password for group groupe3
 New Password: fenestros
 Re-enter new password: fenestros
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Notez que les mots de passe saisis ne seront **pas** visibles.
 </WRAP>
-Consultez le fichier **/etc/gshadow** :
+Consultez la fin de votre fichier **/etc/gshadow** :
 <code>
-[root@centos8 ~]# tail /etc/gshadow
+root@debian11:~# tail /etc/gshadow
-rpc:!::
+scanner:!::saned,trainee
-rpcuser:!::
+saned:!::
-saslauth:!::
+colord:!::
-libvirt:!::
+lightdm:!::
-radvd:!::
+trainee:!::
-dnsmasq:!!::
+systemd-coredump:!*::
-screen:!::
+mlocate:!::
 groupe1:!::fenestros2
 groupe2:!::
-groupe3:$6$c0nWuaO.7BveY$qZ907ORU.vEOhlYcka.VCL1Im0obgxJg8g3SvWnEA3YiZc9TB3CXEU/8nnNNAg5fBAhct7PNUXdPXwsSsY0Zg0::fenestros2
+groupe3:$6$QEb2./zgnba/w1$FZ6hbzzcsZmoraLn2tNUhXd3F8K8yUI14.u7cVp2GPteBLJ6h0iNcjnhCsjS5/Wp8u8pe8nXpn/9UFsOXEGJ90::fenestros2
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Notez la présence du mot de passe crypté pour le **groupe3**.
 </WRAP>
@@ Ligne 947: / Ligne 993: @@
 <code>
-[root@centos8 ~]# gpasswd -A fenestros1 groupe3
+root@debian11:~# gpasswd -A fenestros1 groupe3
 </code>
-Consultez le fichier **/etc/gshadow** de nouveau :
+Consultez la fin de votre fichier **/etc/gshadow** de nouveau :
 <code>
-[root@centos8 ~]# tail /etc/gshadow
+root@debian11:~# tail /etc/gshadow
-rpc:!::
+scanner:!::saned,trainee
-rpcuser:!::
+saned:!::
-saslauth:!::
+colord:!::
-libvirt:!::
+lightdm:!::
-radvd:!::
+trainee:!::
-dnsmasq:!!::
+systemd-coredump:!*::
-screen:!::
+mlocate:!::
 groupe1:!::fenestros2
 groupe2:!::
-groupe3:$6$c0nWuaO.7BveY$qZ907ORU.vEOhlYcka.VCL1Im0obgxJg8g3SvWnEA3YiZc9TB3CXEU/8nnNNAg5fBAhct7PNUXdPXwsSsY0Zg0:fenestros1:fenestros2
+groupe3:$6$QEb2./zgnba/w1$FZ6hbzzcsZmoraLn2tNUhXd3F8K8yUI14.u7cVp2GPteBLJ6h0iNcjnhCsjS5/Wp8u8pe8nXpn/9UFsOXEGJ90:fenestros1:fenestros2
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : L'utilisateur **fenestros1** peut maintenant administrer le groupe **groupe3** en y ajoutant ou en y supprimant des utilisateurs à condition de connaître le mot de passe du groupe.
 </WRAP>
@@ Ligne 973: / Ligne 1019: @@
 <code>
-[root@centos8 ~]# groupdel groupe3
+root@debian11:~# groupdel groupe3
 groupdel: cannot remove the primary group of user 'fenestros3'
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : En effet, vous ne pouvez pas supprimer un groupe tant qu'un utilisateur le possède comme son groupe principal.
 </WRAP>
@@ Ligne 984: / Ligne 1030: @@
 <code>
-[root@centos8 ~]# userdel fenestros3
+root@debian11:~# userdel fenestros3
 </code>
@@ Ligne 990: / Ligne 1036: @@
 <code>
-[root@centos8 ~]# groupdel groupe3
+root@debian11:~# groupdel groupe3
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
 **Important** : Notez que cette fois-ci la commande est exécutée sans erreur.
 </WRAP>
-Le fait de supprimer un utilisateur **sans** l'option **-r** implique que le répertoire personnel de l'utilisateur demeure sur le système.
+Le fait de supprimer un utilisateur **sans** l'option **-r** implique que le répertoire personnel de l'utilisateur demeure sur la machine.
-Saisissez la commande suivante sous RHEL / CentOS 8 pour vérifier :
+Sous Debian les répertoires personnels des utilisateurs n'ont pas été créés parce que les directives n'ont pas été activées dans le fichier **/etc/default/useradd** et que nous n'avons pas spécifier la création du répertoire lors de l'utilisation de la commande **useradd** avec l'option **-m** :
 <code>
-[root@centos8 ~]# ls -ld /home/fenestros3
+root@debian11:~# cat /etc/default/useradd
-drwx------. 2 1002 groupe3 62 Apr 20 14:28 /home/fenestros3
+# Default values for useradd(8)
+#
+# The SHELL variable specifies the default login shell on your
+# system.
+# Similar to DSHELL in adduser. However, we use "sh" here because
+# useradd is a low level utility and should be as general
+# as possible
+SHELL=/bin/sh
+#
+# The default group for users
+# 100=users on Debian systems
+# Same as USERS_GID in adduser
+# This argument is used when the -n flag is specified.
+# The default behavior (when -n and -g are not specified) is to create a
+# primary user group with the same name as the user being added to the
+# system.
+# GROUP=100
+#
+# The default home directory. Same as DHOME for adduser
+# HOME=/home
+#
+# The number of days after a password expires until the account
+# is permanently disabled
+# INACTIVE=-1
+#
+# The default expire date
+# EXPIRE=
+#
+# The SKEL variable specifies the directory containing "skeletal" user
+# files; in other words, files such as a sample .profile that will be
+# copied to the new user's home directory when it is created.
+# SKEL=/etc/skel
+#
+# Defines whether the mail spool should be created while
+# creating the account
+# CREATE_MAIL_SPOOL=yes
 </code>
-Pour supprimer les fichiers de cet utilisateur, il convient de saisir la commande suivante :
+Otez donc le caractère **#** devant les lignes suivantes :
 <code>
-[root@centos8 ~]# find /home -user 1002 -exec rm -rf {} \;
+root@debian11:~# vi /etc/default/useradd
-find: ‘/home/fenestros3’: No such file or directory
-[root@centos8 ~]# ls -ld /home/fenestros3
+root@debian11:~# cat /etc/default/useradd
-ls: cannot access '/home/fenestros3': No such file or directory
+# Default values for useradd(8)
+#
+# The SHELL variable specifies the default login shell on your
+# system.
+# Similar to DSHELL in adduser. However, we use "sh" here because
+# useradd is a low level utility and should be as general
+# as possible
+SHELL=/bin/sh
+#
+# The default group for users
+# 100=users on Debian systems
+# Same as USERS_GID in adduser
+# This argument is used when the -n flag is specified.
+# The default behavior (when -n and -g are not specified) is to create a
+# primary user group with the same name as the user being added to the
+# system.
+GROUP=100
+#
+# The default home directory. Same as DHOME for adduser
+HOME=/home
+#
+# The number of days after a password expires until the account
+# is permanently disabled
+INACTIVE=-1
+#
+# The default expire date
+EXPIRE=
+#
+# The SKEL variable specifies the directory containing "skeletal" user
+# files; in other words, files such as a sample .profile that will be
+# copied to the new user's home directory when it is created.
+SKEL=/etc/skel
+#
+# Defines whether the mail spool should be created while
+# creating the account
+CREATE_MAIL_SPOOL=yes
 </code>
-<WRAP center round important 60%>
+Pour tester la configuration, créez un utilisateur test :
-**Important** : La commande **find** est lancée d'une manière itérative. L'erreur est normale car quand la commande **find** ne trouve plus de fichiers à supprimer, elle s’arrête avec un code retour de 2.
-</WRAP>
+<code>
+root@debian11:~# useradd -m test
+</code>
+Vérifiez que l'utilisateur test a un répertoire personnel :
+<code>
+root@debian11:~# ls -l /home
+total 8
+drwxr-xr-x  2 test    test    4096 Jun  5 13:01 test
+drwxr-xr-x 17 trainee trainee 4096 Jun  3 17:39 trainee
+</code>
+Créez maintenant les répertoires personnels de fenestros1 et fenestros2 :
+<code>
+root@debian11:~# mkdir /home/fenestros1 /home/fenestros2
+</code>
+Copiez le contenu du répertoire **/etc/skel** dans les répertoires **/home/fenestros1** et **/home/fenestros2** :
+<code>
+root@debian11:~# cp -r /etc/skel/.[a-zA-Z]* /home/fenestros1
+root@debian11:~# cp -r /etc/skel/.[a-zA-Z]* /home/fenestros2
+</code>
+Modifiez le propriétaire et le groupe pour les répertoires **/home/fenestros1** et **/home/fenestros2** :
+<code>
+root@debian11:~# chown -R fenestros1:groupe1 /home/fenestros1
+root@debian11:~# chown -R fenestros2:groupe2 /home/fenestros2
+</code>
 Créez maintenant les mots de passe pour **fenestros1** et **fenestros2**. Indiquez un mot de passe identique au nom du compte :
 <code>
-[root@centos8 ~]# passwd fenestros1
+root@debian11:~# passwd fenestros1
-Changing password for user fenestros1.
 New password: fenestros1
-BAD PASSWORD: The password contains the user name in some form
 Retype new password: fenestros1
-passwd: all authentication tokens updated successfully.
+passwd: password updated successfully
-[root@centos8 ~]# passwd fenestros2
+root@debian11:~# passwd fenestros2
-Changing password for user fenestros2.
 New password: fenestros2
-BAD PASSWORD: The password contains the user name in some form
 Retype new password: fenestros2
-passwd: all authentication tokens updated successfully.
+passwd: password updated successfully
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
-**Important** : Notez que les règles gouvernant l'utilisation des mots de passe ne sont pas appliqués aux utilisateurs créés par root. Notez aussi que les mots de passe saisis ne seront **PAS** visibles.
+**Important** : Notez que les règles concernant la création de mots de passe ne sont pas appliqués aux mots de passe créés par root. Notez aussi que les mots de passe saisis ne seront **PAS** visibles.
 </WRAP>
 =====LAB #2 - Forcer l'utilisation des mots de passe complexe avec PAM=====
+====2.1 - Présentation de PAM====
 **PAM** ( //Pluggable Authentification Modules// ou Modules d'Authentification Enfichables ) est une architecture modulaire permettant à l'administrateur système de définir une politique d'authentification pour les logiciels prenant en charge PAM.
@@ Ligne 1047: / Ligne 1192: @@
 <code>
-[root@centos8 ~]# ls -l /etc/pam.d
+root@debian11:~# ls -l /etc/pam.d
-total 88
+total 104
--rw-r--r--. 1 root root 272 May 11  2019 atd
+-rw-r--r-- 1 root root  384 Feb  7  2020 chfn
--rw-r--r--. 1 root root 192 Jul 21  2020 chfn
+-rw-r--r-- 1 root root   92 Feb  7  2020 chpasswd
--rw-r--r--. 1 root root 192 Jul 21  2020 chsh
+-rw-r--r-- 1 root root  581 Feb  7  2020 chsh
--rw-r--r--. 1 root root 997 Aug 19  2020 cockpit
+-rw-r--r-- 1 root root 1208 Apr 25 06:49 common-account
--rw-r--r--. 1 root root 232 Jun 15  2020 config-util
+-rw-r--r-- 1 root root 1214 Apr 25 06:49 common-auth
--rw-r--r--. 1 root root 328 Nov  8  2019 crond
+-rw-r--r-- 1 root root 1660 Apr 25 06:49 common-password
-lrwxrwxrwx. 1 root root  32 Apr 19 11:54 fingerprint-auth -> /etc/authselect/fingerprint-auth
+-rw-r--r-- 1 root root 1146 Apr 25 06:49 common-session
--rw-r--r--. 1 root root 715 Jul 21  2020 login
+-rw-r--r-- 1 root root 1154 Apr 25 06:49 common-session-noninteractive
--rw-r--r--. 1 root root 154 Jun 15  2020 other
+-rw-r--r-- 1 root root  606 Feb 22  2021 cron
--rw-r--r--. 1 root root 168 Apr  6  2020 passwd
+-rw-r--r-- 1 root root   69 May 27  2021 cups
-lrwxrwxrwx. 1 root root  29 Apr 19 11:54 password-auth -> /etc/authselect/password-auth
+-rw-r--r-- 1 root root 1354 Feb  3  2020 lightdm
--rw-r--r--. 1 root root 155 Apr  9  2020 polkit-1
+-rw-r--r-- 1 root root 1428 Feb  3  2020 lightdm-autologin
-lrwxrwxrwx. 1 root root  25 Apr 19 11:54 postlogin -> /etc/authselect/postlogin
+-rw-r--r-- 1 root root  493 Feb  3  2020 lightdm-greeter
--rw-r--r--. 1 root root 640 Jul 21  2020 remote
+-rw-r--r-- 1 root root 4126 Feb  7  2020 login
--rw-r--r--. 1 root root 143 Jul 21  2020 runuser
+-rw-r--r-- 1 root root   92 Feb  7  2020 newusers
--rw-r--r--. 1 root root 138 Jul 21  2020 runuser-l
+-rw-r--r-- 1 root root  520 Jan 30  2021 other
--rw-r--r--. 1 root root  36 Jul 20  2019 screen
+-rw-r--r-- 1 root root   92 Feb  7  2020 passwd
-lrwxrwxrwx. 1 root root  30 Apr 19 11:54 smartcard-auth -> /etc/authselect/smartcard-auth
+-rw-r--r-- 1 root root  270 Jan 13 20:32 polkit-1
--rw-r--r--. 1 root root 727 Apr 26  2020 sshd
+-rw-r--r-- 1 root root  168 Jan  7  2021 ppp
--rw-r--r--. 1 root root 214 Sep 17  2020 sssd-shadowutils
+-rw-r--r-- 1 root root  143 Jan 20 20:55 runuser
--rw-r--r--. 1 root root 566 Jul 21  2020 su
+-rw-r--r-- 1 root root  138 Jan 20 20:55 runuser-l
--rw-r--r--. 1 root root 154 Jan 26 16:58 sudo
+-rw-r--r-- 1 root root 2133 Mar 13  2021 sshd
--rw-r--r--. 1 root root 178 Jan 26 16:58 sudo-i
+-rw-r--r-- 1 root root 2259 Jan 20 20:55 su
--rw-r--r--. 1 root root 137 Jul 21  2020 su-l
+-rw-r--r-- 1 root root   95 Feb 27  2021 sudo
-lrwxrwxrwx. 1 root root  27 Apr 19 11:54 system-auth -> /etc/authselect/system-auth
+-rw-r--r-- 1 root root  137 Jan 20 20:55 su-l
--rw-r--r--. 1 root root 248 Apr  7 16:55 systemd-user
--rw-r--r--. 1 root root  84 Jul 20  2020 vlock
 </code>
-Ces fichiers ont une structure spécifique et sont nommés d'après le service ou l'application qu'ils contrôlent. Leur contenu fait appel à des modules qui se trouvent dans le répertoire **/lib64/security** :
+Ces fichiers ont une structure spécifique et sont nommés d'après le service ou l'application qu'ils contrôlent. Leur contenu fait appel à des modules qui se trouvent dans le répertoire **/lib/x86_64-linux-gnu/security** :
 <code>
-[root@centos8 ~]# ls -l /lib64/security
+root@debian11:~# ls /lib/x86_64-linux-gnu/security
-total 1880
+pam_access.so  pam_faildelay.so      pam_issue.so      pam_loginuid.so   pam_permit.so     pam_sepermit.so    pam_time.so       pam_usertype.so
--rwxr-xr-x. 1 root root  19992 Jun 15  2020 pam_access.so
+pam_debug.so   pam_faillock.so       pam_keyinit.so    pam_mail.so       pam_pwhistory.so  pam_setquota.so    pam_timestamp.so  pam_warn.so
--rwxr-xr-x. 1 root root  15680 Jun 15  2020 pam_cap.so
+pam_deny.so    pam_filter.so         pam_lastlog.so    pam_mkhomedir.so  pam_rhosts.so     pam_shells.so      pam_tty_audit.so  pam_wheel.so
--rwxr-xr-x. 1 root root  11624 Jun 15  2020 pam_chroot.so
+pam_echo.so    pam_ftp.so            pam_limits.so     pam_motd.so       pam_rootok.so     pam_stress.so      pam_umask.so      pam_xauth.so
--rwxr-xr-x. 1 root root  16168 Aug 24  2020 pam_cockpit_cert.so
+pam_env.so     pam_gnome_keyring.so  pam_listfile.so   pam_namespace.so  pam_securetty.so  pam_succeed_if.so  pam_unix.so
--rwxr-xr-x. 1 root root  28904 Jun 15  2020 pam_console.so
+pam_exec.so    pam_group.so          pam_localuser.so  pam_nologin.so    pam_selinux.so    pam_systemd.so     pam_userdb.so
--rwxr-xr-x. 1 root root  19888 Jun 15  2020 pam_cracklib.so
--rwxr-xr-x. 1 root root  11712 Jun 15  2020 pam_debug.so
--rwxr-xr-x. 1 root root   7472 Jun 15  2020 pam_deny.so
--rwxr-xr-x. 1 root root  11728 Jun 15  2020 pam_echo.so
--rwxr-xr-x. 1 root root  20080 Jun 15  2020 pam_env.so
--rwxr-xr-x. 1 root root  15792 Jun 15  2020 pam_exec.so
--rwxr-xr-x. 1 root root  11640 Jun 15  2020 pam_faildelay.so
--rwxr-xr-x. 1 root root  20424 Jun 15  2020 pam_faillock.so
-drwxr-xr-x. 2 root root     24 Apr 19 11:50 pam_filter
--rwxr-xr-x. 1 root root  15824 Jun 15  2020 pam_filter.so
--rwxr-xr-x. 1 root root  28864 Apr 14  2020 pam_fprintd.so
--rwxr-xr-x. 1 root root  11632 Jun 15  2020 pam_ftp.so
--rwxr-xr-x. 1 root root  15800 Jun 15  2020 pam_group.so
--rwxr-xr-x. 1 root root  11664 Jun 15  2020 pam_issue.so
--rwxr-xr-x. 1 root root  11656 Jun 15  2020 pam_keyinit.so
--rwxr-xr-x. 1 root root  20048 Jun 15  2020 pam_lastlog.so
--rwxr-xr-x. 1 root root  23968 Jun 15  2020 pam_limits.so
--rwxr-xr-x. 1 root root  11672 Jun 15  2020 pam_listfile.so
--rwxr-xr-x. 1 root root  11664 Jun 15  2020 pam_localuser.so
--rwxr-xr-x. 1 root root  11680 Jun 15  2020 pam_loginuid.so
--rwxr-xr-x. 1 root root  15768 Jun 15  2020 pam_mail.so
--rwxr-xr-x. 1 root root  11624 Jun 15  2020 pam_mkhomedir.so
--rwxr-xr-x. 1 root root  11760 Jun 15  2020 pam_motd.so
--rwxr-xr-x. 1 root root  45232 Jun 15  2020 pam_namespace.so
--rwxr-xr-x. 1 root root  11688 Jun 15  2020 pam_nologin.so
--rwxr-xr-x. 1 root root  41672 Nov  3 11:34 pam_oddjob_mkhomedir.so
--rwxr-xr-x. 1 root root   7560 Jun 15  2020 pam_permit.so
--rwxr-xr-x. 1 root root   7536 Jun 15  2020 pam_postgresok.so
--rwxr-xr-x. 1 root root  20344 Jun 15  2020 pam_pwhistory.so
--rwxr-xr-x. 1 root root  11896 May 10  2019 pam_pwquality.so
--rwxr-xr-x. 1 root root  11632 Jun 15  2020 pam_rhosts.so
--rwxr-xr-x. 1 root root  11688 Jun 15  2020 pam_rootok.so
--rwxr-xr-x. 1 root root  11688 Jun 15  2020 pam_securetty.so
-lrwxrwxrwx. 1 root root     15 Jun 15  2020 pam_selinux_permit.so -> pam_sepermit.so
--rwxr-xr-x. 1 root root  24088 Jun 15  2020 pam_selinux.so
--rwxr-xr-x. 1 root root  15800 Jun 15  2020 pam_sepermit.so
--rwxr-xr-x. 1 root root  11656 Jun 15  2020 pam_shells.so
--rwxr-xr-x. 1 root root  24272 Aug 24  2020 pam_ssh_add.so
--rwxr-xr-x. 1 root root  54088 Sep 17  2020 pam_sss.so
--rwxr-xr-x. 1 root root  15864 Jun 15  2020 pam_stress.so
--rwxr-xr-x. 1 root root  15848 Jun 15  2020 pam_succeed_if.so
--rwxr-xr-x. 1 root root 906728 Apr  7 16:56 pam_systemd.so
--rwxr-xr-x. 1 root root  15784 Jun 15  2020 pam_time.so
--rwxr-xr-x. 1 root root  24664 Jun 15  2020 pam_timestamp.so
--rwxr-xr-x. 1 root root  15792 Jun 15  2020 pam_tty_audit.so
--rwxr-xr-x. 1 root root  11648 Jun 15  2020 pam_umask.so
-lrwxrwxrwx. 1 root root     11 Jun 15  2020 pam_unix_acct.so -> pam_unix.so
-lrwxrwxrwx. 1 root root     11 Jun 15  2020 pam_unix_auth.so -> pam_unix.so
-lrwxrwxrwx. 1 root root     11 Jun 15  2020 pam_unix_passwd.so -> pam_unix.so
-lrwxrwxrwx. 1 root root     11 Jun 15  2020 pam_unix_session.so -> pam_unix.so
--rwxr-xr-x. 1 root root  57856 Jun 15  2020 pam_unix.so
--rwxr-xr-x. 1 root root  15800 Jun 15  2020 pam_userdb.so
--rwxr-xr-x. 1 root root  11736 Jun 15  2020 pam_usertype.so
--rwxr-xr-x. 1 root root   7576 Jun 15  2020 pam_warn.so
--rwxr-xr-x. 1 root root  11672 Jun 15  2020 pam_wheel.so
--rwxr-xr-x. 1 root root  23960 Jun 15  2020 pam_xauth.so
 </code>
@@ Ligne 1154: / Ligne 1241: @@
 | pam_listfile.so | Ce module est utilisé pour consulter un fichier spécifique pour vérifier les authiorisations. Par exemple, le service ftp utilise ce module pour consulter le fichier **/etc/ftpusers** qui contient une liste d'utilisateurs qui ne sont **pas** autorisés à se connecter au serveur ftp. |
 | pam_nologin.so | Ce module interdit les connexions d'utilisteurs, autre que root, dans le cas où le fichier **/etc/nologin** est présent. |
-| pam_pwquality.so | Ce module est utilisé pour vérifier la qualité du mot de passe d'un utilisateur |
 | pam_securetty.so | Ce module interdit des connexions de root à partir des périphériques tty qui ne sont pas listés dans le fichier **/etc/securetty**. |
 | pam_unix.so | Ce module est utilisé pour vérifier les informations suivantes ; expire, last_change, max_change, min_change, warn_change. |
@@ Ligne 1161: / Ligne 1247: @@
 <code>
-[root@centos8 ~]# cat /etc/pam.d/login
+root@debian11:~# cat /etc/pam.d/login
-#%PAM-1.0
+#
-auth       substack     system-auth
+# The PAM configuration file for the Shadow `login' service
-auth       include      postlogin
+#
-account    required     pam_nologin.so
-account    include      system-auth
+# Enforce a minimal delay in case of failure (in microseconds).
-password   include      system-auth
+# (Replaces the `FAIL_DELAY' setting from login.defs)
-# pam_selinux.so close should be the first session rule
+# Note that other modules may require another minimal delay. (for example,
-session    required     pam_selinux.so close
+# to disable any delay, you should add the nodelay option to pam_unix)
+auth       optional   pam_faildelay.so  delay=3000000
+# Outputs an issue file prior to each login prompt (Replaces the
+# ISSUE_FILE option from login.defs). Uncomment for use
+# auth       required   pam_issue.so issue=/etc/issue
+# Disallows other than root logins when /etc/nologin exists
+# (Replaces the `NOLOGINS_FILE' option from login.defs)
+auth       requisite  pam_nologin.so
+# SELinux needs to be the first session rule. This ensures that any
+# lingering context has been cleared. Without this it is possible
+# that a module could execute code in the wrong domain.
+# When the module is present, "required" would be sufficient (When SELinux
+# is disabled, this returns success.)
+session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
+# Sets the loginuid process attribute
 session    required     pam_loginuid.so
-session    optional     pam_console.so
-# pam_selinux.so open should only be followed by sessions to be executed in the user context
+# Prints the message of the day upon successful login.
-session    required     pam_selinux.so open
+# (Replaces the `MOTD_FILE' option in login.defs)
-session    required     pam_namespace.so
+# This includes a dynamically generated part from /run/motd.dynamic
-session    optional     pam_keyinit.so force revoke
+# and a static (admin-editable) part from /etc/motd.
-session    include      system-auth
+session    optional   pam_motd.so motd=/run/motd.dynamic
-session    include      postlogin
+session    optional   pam_motd.so noupdate
--session   optional     pam_ck_connector.so
+# SELinux needs to intervene at login time to ensure that the process
+# starts in the proper default security context. Only sessions which are
+# intended to run in the user's context should be run after this.
+# pam_selinux.so changes the SELinux context of the used TTY and configures
+# SELinux in order to transition to the user context with the next execve()
+# call.
+session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
+# When the module is present, "required" would be sufficient (When SELinux
+# is disabled, this returns success.)
+# This module parses environment configuration file(s)
+# and also allows you to use an extended config
+# file /etc/security/pam_env.conf.
+#
+# parsing /etc/environment needs "readenv=1"
+session       required   pam_env.so readenv=1
+# locale variables are also kept into /etc/default/locale in etch
+# reading this file *in addition to /etc/environment* does not hurt
+session       required   pam_env.so readenv=1 envfile=/etc/default/locale
+# Standard Un*x authentication.
+@include common-auth
+# This allows certain extra groups to be granted to a user
+# based on things like time of day, tty, service, and user.
+# Please edit /etc/security/group.conf to fit your needs
+# (Replaces the `CONSOLE_GROUPS' option in login.defs)
+auth       optional   pam_group.so
+# Uncomment and edit /etc/security/time.conf if you need to set
+# time restraint on logins.
+# (Replaces the `PORTTIME_CHECKS_ENAB' option from login.defs
+# as well as /etc/porttime)
+# account    requisite  pam_time.so
+# Uncomment and edit /etc/security/access.conf if you need to
+# set access limits.
+# (Replaces /etc/login.access file)
+# account  required       pam_access.so
+# Sets up user limits according to /etc/security/limits.conf
+# (Replaces the use of /etc/limits in old login)
+session    required   pam_limits.so
+# Prints the last login info upon successful login
+# (Replaces the `LASTLOG_ENAB' option from login.defs)
+session    optional   pam_lastlog.so
+# Prints the status of the user's mailbox upon successful login
+# (Replaces the `MAIL_CHECK_ENAB' option from login.defs).
+#
+# This also defines the MAIL environment variable
+# However, userdel also needs MAIL_DIR and MAIL_FILE variables
+# in /etc/login.defs to make sure that removing a user
+# also removes the user's mail spool file.
+# See comments in /etc/login.defs
+session    optional   pam_mail.so standard
+# Create a new session keyring.
+session    optional   pam_keyinit.so force revoke
+# Standard Un*x account and session
+@include common-account
+@include common-session
+@include common-password
 </code>
@@ Ligne 1203: / Ligne 1372: @@
 | **sufficient** | La réussite de ce module est suffisant pour authoriser l'authentification. Si aucun test //required// précédent est en échec, la vérification s'arrête. Si un test //required// précédent était en échec, le test //sufficient// est ignoré. L'échec d'un test //sufficient// n'a pas de conséquence si tous les tests //required// réussissent.  |
 | **optional** | La réussite ou l'échec de ce module est sans importance, **sauf** s'il s'agit du seul module à exécuter |
-| **include** | Ce control-flag permet d'inclure toutes les lignes du même //type de module// se trouvant dans le fichier spécifié en argument |
+| **@include** | Ce control-flag permet d'inclure toutes les lignes du même //type de module// se trouvant dans le fichier spécifié en argument |
-Le **troisième champs** stipule le //**module**// associé à la règle. Sans chemin absolu, le fichier est supposé être dans le répertoire **/lib/security**. Pour inclure un module en dehors de ce répertoire il convient donc de stipuler son chemin absolu.
+Le **troisième champs** stipule le //**module**// associé à la règle. Sans chemin absolu, le fichier est supposé être dans le répertoire **/lib/x86_64-linux-gnu/security**. Pour inclure un module en dehors de ce répertoire il convient donc de stipuler son chemin absolu.
 Le **quatrième champs** contient éventuellement les **arguments**.
@@ Ligne 1212: / Ligne 1381: @@
 <code>
-[root@centos8 ~]# cat /etc/pam.d/other
+root@debian11:~# cat /etc/pam.d/other
-#%PAM-1.0
+#
-auth     required       pam_deny.so
+# /etc/pam.d/other - specify the PAM fallback behaviour
-account  required       pam_deny.so
+#
-password required       pam_deny.so
+# Note that this file is used for any unspecified service; for example
-session  required       pam_deny.so
+#if /etc/pam.d/cron  specifies no session modules but cron calls
-</code>
+#pam_open_session, the session module out of /etc/pam.d/other is
+#used.  If you really want nothing to happen then use pam_permit.so or
+#pam_deny.so as appropriate.
-===Utiliser des Mots de Passe Complexes===
+# We fall back to the system default in /etc/pam.d/common-*
+#
+@include common-auth
+@include common-account
+@include common-password
+@include common-session
+</code>
-===Configuration===
+====2.2 - Configuration des modules====
 Certains modules de PAM peuvent être configurés grâce aux fichiers présents dans le répertoire **/etc/security** :
 <code>
-[root@centos8 ~]# ls /etc/security
+root@debian11:~# ls -l /etc/security
-access.conf       console.perms    limits.d        opasswd         time.conf
+total 48
-chroot.conf       console.perms.d  namespace.conf  pam_env.conf
+-rw-r--r-- 1 root root 4564 Aug 26  2021 access.conf
-console.apps      group.conf       namespace.d     pwquality.conf
+-rw-r--r-- 1 root root 2234 Aug 26  2021 faillock.conf
-console.handlers  limits.conf      namespace.init  sepermit.conf
+-rw-r--r-- 1 root root 3635 Aug 26  2021 group.conf
+-rw-r--r-- 1 root root 2161 Aug 26  2021 limits.conf
+drwxr-xr-x 2 root root 4096 Aug 26  2021 limits.d
+-rw-r--r-- 1 root root 1637 Aug 26  2021 namespace.conf
+drwxr-xr-x 2 root root 4096 Aug 26  2021 namespace.d
+-rwxr-xr-x 1 root root 1016 Aug 26  2021 namespace.init
+-rw------- 1 root root    0 Apr 25 06:30 opasswd
+-rw-r--r-- 1 root root 2971 Aug 26  2021 pam_env.conf
+-rw-r--r-- 1 root root  419 Aug 26  2021 sepermit.conf
+-rw-r--r-- 1 root root 2179 Aug 26  2021 time.conf
 </code>
 Parmi les fichiers cités on note ceux qui peuvent être utilisés pour configurer les modules suivants :
-^ Fichier///Répertoire// ^ Description ^
+^ Fichier///Répertoire// ^ Module ^
-| **access.conf** | Utilisé par le module pam_access.so |
+| **access.conf** | pam_access.so |
-| **//console.apps//** | Utilisés par le module pam_console.so |
+| **faillock.conf** | pam_faillock.so |
-| **console.perms** | Utilisé par le module pam_console.so |
+| **group.conf** | pam_group.so |
-| **//console.perms.d//** | Utilisé par le module pam_console.so |
+| **limits.conf** | pam_limits.so |
-| **group.conf** | Utilisés par le module pam_group.so |
+| **namespace.conf** | pam_namespace.so |
-| **limits.conf** | Utilisé par le module pam_limits.so |
+| **pam_env.conf** | pam_env.so |
-| **pam_env.conf** | Utilisé par le module pam_env.so |
+| **sepermit.conf** | pam_sepermit.so |
-| **pwquality.conf** | Utilisé par le module pam_cracklib.so |
+| **time.conf** | pam_time.so |
-| **time.conf** | Utilisé par le module pam_time.so |
+====2.3 - Utiliser des Mots de Passe Complexes====
+La complexité des mots de passe est gérée par le module **pam_pwquality.so**. Commencez par installer **libpam-pwquality** :
+<code>
+root@debian11:~# apt-get -y install libpam-pwquality
+</code>
+Vérifiez la présence du module :
+<code>
+root@debian11:~# ls /lib/x86_64-linux-gnu/security | grep quality
+pam_pwquality.so
+</code>
+L'installation du module a aussi installé un fichier de configuration :
+<code>
+root@debian11:~# ls -l /etc/security/pwquality.conf
+-rw-r--r-- 1 root root 2674 Dec 17  2020 /etc/security/pwquality.conf
+</code>
-La complexité des mots de passe est gérée par le module pam_pwquality.so. Afin de mettre en place une politique de mots de passe complexe, il convient de modifier le fichier **/etc/security/pwquality.conf** :
+Afin de mettre en place une politique de mots de passe complexe, il convient de modifier le fichier **/etc/security/pwquality.conf** :
 <code>
-[root@centos8 ~]# vi /etc/security/pwquality.conf
+root@debian11:~# vi /etc/security/pwquality.conf
-[root@centos8 ~]# cat /etc/security/pwquality.conf
+root@debian11:~# cat /etc/security/pwquality.conf
 # Configuration for systemwide password quality limits
 # Defaults:
@@ Ligne 1266: / Ligne 1474: @@
 # The maximum credit for having digits in the new password. If less than 0
 # it is the minimum number of digits in the new password.
 dcredit = -2
 #
 # The maximum credit for having uppercase characters in the new password.
 # If less than 0 it is the minimum number of uppercase characters in the new
 # password.
 ucredit = -1
 #
 # The maximum credit for having lowercase characters in the new password.
 # If less than 0 it is the minimum number of lowercase characters in the new
 # password.
 lcredit = -1
 #
 # The maximum credit for having other characters in the new password.
 # If less than 0 it is the minimum number of other characters in the new
 # password.
 ocredit = -1
 #
 # The minimum number of required classes of characters for the new
 # password (digits, uppercase, lowercase, others).
 minclass = 4
 #
 # The maximum number of allowed consecutive same characters in the new password.
@@ Ligne 1298: / Ligne 1506: @@
 # Whether to check for the words from the passwd entry GECOS string of the user.
 # The check is enabled if the value is not 0.
 gecoscheck = 1
 #
 # Whether to check for the words from the cracklib dictionary.
@@ Ligne 1307: / Ligne 1515: @@
 # The check is enabled if the value is not 0.
 usercheck = 1
+#
+# Length of substrings from the username to check for in the password
+# The check is enabled if the value is greater than 0 and usercheck is enabled.
+# usersubstr = 0
 #
 # Whether the check is enforced by the PAM module and possibly other
@@ Ligne 1315: / Ligne 1527: @@
 # Path to the cracklib dictionaries. Default is to use the cracklib default.
 # dictpath =
+#
+# Prompt user at most N times before returning with error. The default is 1.
+# retry = 3
+#
+# Enforces pwquality checks on the root user password.
+# Enabled if the option is present.
+# enforce_for_root
+#
+# Skip testing the password quality for users that are not present in the
+# /etc/passwd file.
+# Enabled if the option is present.
+# local_users_only
 </code>
-=====su et su - =====
+=====LAB #3 - su et su - =====
 Vous allez maintenant devenir **fenestros2**, d'abord sans l'environnement de **fenestros2** puis avec l'environnement de **fenestros2**.
@@ Ligne 1324: / Ligne 1548: @@
 <code>
-[root@centos8 ~]# pwd
+root@debian11:~# pwd
 /root
 </code>
@@ Ligne 1331: / Ligne 1555: @@
 <code>
-[root@centos8 ~]# su fenestros2
+root@debian11:~# su fenestros2
 </code>
@@ Ligne 1337: / Ligne 1561: @@
 <code>
-[fenestros2@centos8 root]$ pwd
+$ pwd
 /root
 </code>
@@ Ligne 1343: / Ligne 1567: @@
 Vous noterez que vous êtes toujours dans le répertoire **/root**. Ceci indique que vous avez gardé l'environnement de **root**.
-<WRAP center round important 60%>
+<WRAP center round important>
-**Important** : L'environnement d'un utilisateur inclut donc, entre autre, le répertoire personnel de l'utilisateur ainsi que la valeur de la variable système **PATH**.
+**Important** : L'environnement d'un utilisateur inclut, entre autre, le répertoire personnel de l'utilisateur ainsi que la valeur de la variable système **PATH**.
 </WRAP>
@@ Ligne 1350: / Ligne 1574: @@
 <code>
-[fenestros2@centos8 root]$ exit
+$ exit
-exit
+root@debian11:~#
 </code>
@@ Ligne 1357: / Ligne 1581: @@
 <code>
-[root@centos8 ~]# su - fenestros2
+root@debian11:~# su - fenestros2
-Last login: Thu Oct 15 18:30:54 CEST 2015 on pts/0
 </code>
@@ Ligne 1364: / Ligne 1587: @@
 <code>
-[fenestros2@centos8 ~]$ pwd
+$ pwd
 /home/fenestros2
 </code>
@@ Ligne 1370: / Ligne 1593: @@
 Vous noterez que vous êtes maintenant dans le répertoire **/home/fenestros2**. Ceci indique que vous avez l'environnement de **fenestros2**.
-<WRAP center round important 60%>
+Saisissez la commande suivante pour redevenir **root** :
-**Important** : Notez que **root** peut devenir n'importe quel utilisateur **sans** avoir besoin de connaître son mot de passe.
-</WRAP>
-=====sudo=====
+<code>
+$ exit
+root@debian11:~#
+</code>
-<WRAP center round important 60%>
+<WRAP center round important>
-**Important** : Afin de mettre en pratique les exemples qui suivent, vous devez être connecté à votre système en tant que root. Tapez donc la commande **exit** pour sortir de l’environnement de **fenestros2**.
+**Important** : Notez que **root** peut devenir n'importe quel utilisateur **sans** avoir besoin de connaître son mot de passe.
 </WRAP>
+=====LAB #4 - sudo=====
 La commande **sudo** permet à un utilisateur autorisé d'exécuter une commande en tant que **root** ou en tant qu'un autre utilisateur. Lors de l'exécution de la commande, l'UID et le GID éffectifs et réels sont ceux de l'identité de l'utilisateur cible. L'utilisation de la commande **sudo** est une façon simple de déléguer des tâches administratives à d'autres utilisateurs sans communiquer le mot de passe de **root** et sans placer un SUID bit sur l'exécutable. La commande **sudo** est configurée grâce au fichier **/etc/sudoers**.
@@ Ligne 1385: / Ligne 1611: @@
 <code>
-[root@centos8 ~]# cat /etc/sudoers
+root@debian11:~# cat /etc/sudoers
-## Sudoers allows particular users to run various commands as
+#
-## the root user, without needing the root password.
+# This file MUST be edited with the 'visudo' command as root.
-##
+#
-## Examples are provided at the bottom of the file for collections
+# Please consider adding local content in /etc/sudoers.d/ instead of
-## of related commands, which can then be delegated out to particular
+# directly modifying this file.
-## users or groups.
+#
-##
+# See the man page for details on how to write a sudoers file.
-## This file must be edited with the 'visudo' command.
+#
+Defaults        env_reset
+Defaults        mail_badpass
+Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
-## Host Aliases
+# Host alias specification
-## Groups of machines. You may prefer to use hostnames (perhaps using
-## wildcards for entire domains) or IP addresses instead.
-# Host_Alias     FILESERVERS = fs1, fs2
-# Host_Alias     MAILSERVERS = smtp, smtp2
-## User Aliases
+# User alias specification
-## These aren't often necessary, as you can use regular groups
-## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
-## rather than USERALIAS
-# User_Alias ADMINS = jsmith, mikem
+# Cmnd alias specification
-## Command Aliases
+# User privilege specification
-## These are groups of related commands...
+root    ALL=(ALL:ALL) ALL
-## Networking
+# Allow members of group sudo to execute any command
-# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
+%sudo   ALL=(ALL:ALL) ALL
-## Installation and management of software
+# See sudoers(5) for more information on "@include" directives:
-# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
-## Services
+@includedir /etc/sudoers.d
-# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig, /usr/bin/systemctl start, /usr/bin/systemctl stop, /usr/bin/systemctl reload, /usr/bin/systemctl restart, /usr/bin/systemctl status, /usr/bin/systemctl enable, /usr/bin/systemctl disable
+</code>
-## Updating the locate database
+<WRAP center round important>
-# Cmnd_Alias LOCATE = /usr/bin/updatedb
+**Important** : Notez la présence de la ligne **%sudo   ALL=(ALL:ALL) ALL**. Cette ligne possède le format **Qui Hôte = (Utilisateur:Groupe) Commande(s)**. La ligne implique donc que les membres du groupe **sudo** peuvent exécuter à partir de n'importe quel hôte et en tant que n'importe quel utilisateur de n'importe quel groupe, toutes les commandes du système. Dans ce fichier donc, un groupe est référencé par un **%**. Un nom sans ce caractère est forcément un utilisateur. Pour éditer le fichier **/etc/sudoers**, il est **nécessaire** d'utiliser la commande **visudo**.
+</WRAP>
-## Storage
+Devenez l'utilisateur **trainee** :
-# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
-## Delegating permissions
+<code>
-# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
+root@debian11:~# exit
+logout
+trainee@debian11:~$
+</code>
-## Processes
+Saisissez la commande suivante :
-# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
-## Drivers
+<code>
-# Cmnd_Alias DRIVERS = /sbin/modprobe
+trainee@debian11:~$ sudo su -
-# Defaults specification
+We trust you have received the usual lecture from the local System
+Administrator. It usually boils down to these three things:
-#
+    #1) Respect the privacy of others.
-# Refuse to run if unable to disable echo on the tty.
+    #2) Think before you type.
-#
+    #3) With great power comes great responsibility.
-Defaults   !visiblepw
-#
+[sudo] password for trainee:
-# Preserving HOME has security implications since many programs
+</code>
-# use it when searching for configuration files. Note that HOME
-# is already set when the the env_reset option is enabled, so
-# this option is only effective for configurations where either
-# env_reset is disabled or HOME is present in the env_keep list.
-#
-Defaults    always_set_home
-Defaults    match_group_by_gid
-# Prior to version 1.8.15, groups listed in sudoers that were not
+Saisissez le mot de passe de **trainee** :
-# found in the system group database were passed to the group
-# plugin, if any. Starting with 1.8.15, only groups of the form
-# %:group are resolved via the group plugin by default.
-# We enable always_query_group_plugin to restore old behavior.
-# Disable this option for new behavior.
-Defaults    always_query_group_plugin
-Defaults    env_reset
+<code>
-Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
+[sudo] password for trainee: trainee
-Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
+trainee is not in the sudoers file.  This incident will be reported.
-Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
+</code>
-Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
-Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
-#
+<WRAP center round important>
-# Adding HOME to env_keep may enable a user to run unrestricted
+**Important** : Notez que la commande a échoué car l'utilisateur **trainee** n'est pas référencé dans le fichier **/etc/sudoers**.
-# commands via sudo.
+</WRAP>
-#
-# Defaults   env_keep += "HOME"
-Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
+Mettez maintenant l'utilisateur **trainee** dans le groupe **sudo** :
-## Next comes the main part: which users can run what software on
+<code>
-## which machines (the sudoers file can be shared between multiple
+trainee@debian11:~$ su -
-## systems).
+Password: fenestros
-## Syntax:
-##
-## 	user	MACHINE=COMMANDS
-##
-## The COMMANDS section may have other options added to it.
-##
-## Allow root to run any commands anywhere
-root	ALL=(ALL) 	ALL
-## Allows members of the 'sys' group to run networking, software,
+root@debian11:~# usermod -aG sudo trainee
-## service management apps and more.
-# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
-## Allows people in group wheel to run all commands
+root@debian11:~# groups trainee
-%wheel	ALL=(ALL)	ALL
+trainee : trainee cdrom floppy sudo audio dip video plugdev netdev lpadmin scanner
-## Same thing without a password
+root@debian11:~# exit
-# %wheel	ALL=(ALL)	NOPASSWD: ALL
+logout
+</code>
-## Allows members of the users group to mount and unmount the
+Constatez que vous ne faites pas parti du groupe **sudo** :
-## cdrom as root
-# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
-## Allows members of the users group to shutdown this system
+<code>
-# %users  localhost=/sbin/shutdown -h now
+trainee@debian11:~$ groups
+trainee cdrom floppy audio dip video plugdev netdev lpadmin scanner
+</code>
-## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
+Rejoignez le groupe **sudo** :
-#includedir /etc/sudoers.d
+<code>
+trainee@debian11:~$ newgrp sudo
+trainee@debian11:~$ groups
+sudo cdrom floppy audio dip video plugdev netdev lpadmin scanner trainee
+</code>
+Essayez de nouveau la commande sudo :
+<code>
+trainee@debian11:~$ sudo su -
+[sudo] password for trainee: trainee
+root@debian11:~#
 </code>
-<WRAP center round important 60%>
+<WRAP center round important>
-**Important** : Notez la présence de la ligne **%wheel	ALL=(ALL) ALL**. Cette ligne possède le format **Qui Où = (En tant que qui) Quoi**. La ligne implique donc que les membres du groupe **wheel** peuvent exécuter à partir de n'importe quel hôte et en tant que n'importe quel rôle, toutes les commandes du système. Dans ce fichier donc, un groupe est référencé par un **%**. Un nom sans ce caractère est forcément un utilisateur. Pour éditer le fichier **/etc/sudoers**, il est **nécessaire** d'utiliser la commande **visudo**.
+**Important** : Notez que la commande a réussi.
 </WRAP>
 -----
-Copyright © 2022 Hugh Norris.
+Copyright © 2024 Hugh Norris.

Piste : • DOF605 - Docker Compose, Docker Machine et Docker Swarm • DOF604 - Gestion des Volumes, du Réseau et de la Supervision des Conteneurs • DOF205 - Validation de la Formation • LCF608 - Validation de la Formation • Debian 6, 7 et 8 • DOE601 - Virtualisation by Isolation • DOF102 - Démarrer avec Docker • DOF101 - La Virtualisation par Isolation • LCF400 - Présentation de la Formation • LCF300 - Présentation de la Formation

Différences

Recherche

Imprimer/exporter

Menu