Chapitre 4. Authentification

Table des matières

4.1. Authentification normale d’UNIX
4.2. Gestion des informations des comptes et des mots de passes
4.3. Mot de passe de qualité
4.4. Créer un mot de passe chiffré
4.5. PAM et NSS
4.5.1. Fichiers de configuration auxquels accèdent PAM et NSS
4.5.2. Le système de gestion centralisée moderne
4.5.3. « Pourquoi la commande su de GNU ne gère-t-elle pas le groupe wheel »
4.5.4. Règle de mots de passe plus stricte
4.6. Autres contrôles d’accès
4.6.1. sudo
4.6.2. PolicyKit
4.6.3. SELinux
4.6.4. Restreindre l’accès à certains services du serveur
4.7. Sécurité de l’authentification
4.7.1. Mot de passe sûr avec Internet
4.7.2. Le shell sûr (Secure Shell)
4.7.3. Mesures de sécurité supplémentaires pour Internet
4.7.4. sécuriser le mot de passe de l’administrateur

Lorsqu’une personne (ou un programme) demande l’accès au système, l’authentification confirme que l’identité est autorisée.

[Avertissement] Avertissement

Des erreurs de configuration de PAM peuvent vous mettre à la porte de votre propre système. Vous devez avoir un CD de secours prêt ou une partition de démarrage de remplacement. Pour restaurer, démarrez le système depuis l’un de ces moyens de secours et corrigez les choses depuis là.

L’authentification normale d’UNIX est fournie par le module pam_unix(8) avec PAM (Pluggable Authentication Modules : « Modules attachables d’authentification ») . Il y a trois fichiers de configuration importants, dont les entrées sont séparées par des « : », ce sont :


« /etc/passwd » contient ce qui suit :

 ...
utilisateur1:x:1000:1000:Nom Utilisateur1,,,:/home/utilisateur1:/bin/bash
utilisateur2:x:1001:1001:Nom Utilisateur2,,,:/home/utilisateur2:/bin/bash
 ...

Comme il est expliqué dans passwd(5), les entrées de ce fichier, séparées par des « : », ont la signification suivante :

  • nom de l’utilisateur pour la connexion ;

  • entrée de spécification du mot de passe ;

  • identifiant numérique de l’utilisateur ;

  • identifiant numérique du groupe ;

  • nom de l’utilisateur ou champ de commentaire ;

  • répertoire personnel de l’utilisateur ;

  • interpréteur de commandes, optionnel, de l’utilisateur.

La seconde entrée de « /etc/passwd » était autrefois utilisée comme entrée de mot de passe chiffré. Depuis l’introduction de « /etc/shadow », cette entrée est utilisée comme entrée de spécification du mot de passe.


« /etc/shadow » contient ceci :

 ...
utilisateur1:$1$Xop0FYH9$IfxyQwBe9b8tiyIkt2P4F/:13262:0:99999:7:::
utilisateur2:$1$vXGZLVbS$ElyErNf/agUDsm1DehJMS/:13261:0:99999:7:::
 ...

Comme c’est expliqué dans shadow(5), les différentes entrées de ce fichier, séparées par des « : » ont les significations suivantes :

  • nom de l’utilisateur pour la connexion ;

  • mot de passe chiffré (le « $1$ » du début indique l’utilisation d’un chiffrement MD5. Le signe « * » indique que le compte ne peut pas se connecter) ;

  • Date du dernier changement de mot de passe, exprimé en nombre de jours passés depuis le premier janvier 1970.

  • Nombre de jours avant qu’un utilisateur ne soit autorisé à changer à nouveau son mot de passe.

  • Nombre de jours avant que l’utilisateur ne soit tenu de changer son mot de passe.

  • nombre de jours avant qu’un mot de passe n’arrive à expiration et durant lesquels l’utilisateur doit être averti ;

  • Nombre de jours durant lesquels un mot de passe devrait encore être accepté, passé sa date d’expiration.

  • Date d’expiration du compte, exprimée en nombre de jours passés depuis le premier janvier 1970.

« /etc/group » contient ce qui suit :

group1:x:20:utilisateur1,utilisateur2

Comme il est expliqué dans group(5), les entrées de ce fichier, séparées par des « : », ont la signification suivante :

  • nom du groupe ;

  • mot de passe chiffré (non utilisé en pratique) ;

  • identifiant numérique du groupe ;

  • liste des noms d’utilisateurs séparés par des « , ».

[Note] Note

« /etc/gshadow » fournit les mêmes fonctions que « /etc/shadow » pour « /etc/group » mais n’est pas réellement utilisé.

[Note] Note

Le groupe d’appartenance réel d’un utilisateur peut être ajouté dynamiquement si la ligne « auth optional pam_group.so » est ajoutée à « /etc/pam.d/common-auth » et défini dans « /etc/security/group.conf ». Consultez pam_group(8).

[Note] Note

Le paquet base-passwd contient une liste faisant autorité d’utilisateurs et de groupes : « /usr/share/doc/base-passwd/users-and-groups.html ».

Voici quelques commandes importantes pour gérer les informations des comptes :


Vous pouvez avoir besoin des droits de l’administrateur pour certaines fonctions. Consultez crypt(3) pour le chiffrement des mots de passe et des données.

[Note] Note

Sur les systèmes configurés avec PAM et NSS comme la machine alioth de Debian, le contenu des fichiers locaux « /etc/passwd », « /etc/group » et « /etc/shadow » peut ne pas être utilisé de manière active par le système. Le commandes ci-dessus restent valables même sous un tel environnement.

Lors de la création d’un mot de passe à l’installation de votre système ou avec la commande passwd(1), il vous faudra choisir un bon mot de passe composé d’au moins 6 à 8 caractères, comprenant au moins un des caractères appartenant à l’ensemble suivant conformément à passwd(1) :

  • caractères alphabétiques en minuscules ;

  • chiffres de 0 à 9 ;

  • marques de ponctuation.

[Avertissement] Avertissement

Ne choisissez pas des mots qui se devinent aisément pour le mot de passe. Les noms de compte, les numéros de sécurité sociale, les numéros de téléphone, les adresses, les dates anniversaire, les noms des membres de votre famille ou de vos animaux domestiques, les mots du dictionnaire, les suites simples de caractères telles que « 12345 » ou « qwerty »… constituent tous de mauvais choix pour le mot de passe.

Il existe des outils autonomes permettant de créer des mots de passe chiffrés à partir d’une « semence ».


De nombreux systèmes modernes semblable à UNIX, comme le système Debian, fournissent les mécanismes PAM (Pluggable Authentication Modules) et NSS (Name Service Switch) pour la configuration du système par l’administrateur local. Leur rôle peut être résumé de la manière suivante :

  • PAM offre un mécanisme d’authentification souple qui est utilisé par les logiciels applicatifs lorsqu’ils ont besoins d’échanger des mots de passe.

  • NSS fournit un mécanisme souple de service de noms qui est fréquemment utilisé par la bibliothèque standard C pour obtenir le nom de groupe de programmes comme ls(1) et id(1).

Ces systèmes PAM et NSS doivent être configurés de manière cohérente.

Les paquets importants des systèmes PAM et NSS sont les suivants :


  • « The Linux-PAM System Administrators' Guide » de libpam-doc est essentiel à l’apprentissage de la configuration de PAM.

  • La section « System Databases and Name Service Switch » de glibc-doc-reference est essentielle pour l’apprentissage de la configuration de NSS.

[Note] Note

Vous en trouverez une liste plus complète et actuelle avec la commande « aptitude search 'libpam-|libnss-' ». L’acronyme NSS peut aussi signifier « Network Security Service » qui est différent de « Name Service Switch ».

[Note] Note

PAM est la manière la plus élémentaire d’initialiser des variables d’environnement pour tous les programmes avec des valeurs par défaut valables pour l’ensemble du système.

Voici quelques fichiers de configuration importants auxquels PAM et NSS peuvent accéder :


Les limitations dans la sélection des mots de passe est implémentée par les modules PAM pam_unix(8) et pam_cracklib(8). Ils peuvent être configurés à l’aide de leurs paramètres.

[Astuce] Astuce

Les noms de fichiers des modules PAM ont le suffixe « .so ».

La gestion centralisée du système peut être mise en œuvre en utilisant le serveur centralisé LDAP Protocole léger d’accès aux répertoires (« Lightweight Directory Access Protocol ») pour administrer de nombreux systèmes semblables à UNIX ou autres sur le réseau. Le logiciel OpenLDAP est l’implémentation à sources ouvertes du protocole LDAP

Sur un système Debian, le serveur LDAP fournit les informations de compte en utilisant PAM et de NSS avec les paquets libpam-ldap et libnss-ldap. Un certain nombre d’actions sont nécessaires pour l’activer (je n’ai pas utilisé cette configuration et ce qui suit est une information secondaire. Veuillez la lire dans ce contexte) :

  • définissez un serveur LDAP centralisé en faisant tourner un programme tel que le démon LDAP, slapd(8) ;

  • modifiez les fichiers de configuration de PAM dans le répertoire « /etc/pam.d/ » pour utiliser « pam_ldap.so » plutôt que le module par défaut « pam_unix.so » ;

    • Debian utilise « /etc/pam_ldap.conf » comme fichier de configuration de libpam-ldap et «nbsp;/etc/pam_ldap.secret » pour enregistrer le mot de passe de root.

  • modifiez la configuration de NSS dans le fichier « /etc/nsswitch.conf » pour utiliser « ldap » plutôt que ce qui s’y trouve par défaut (« compat » ou « file ») ;

    • Debian utilise « /etc/libnss-ldap.conf » comme fichier de configuration de libnss-ldap.

  • vous devez configurer libpam-ldap de manière à ce qu’il utilise une connexion SSL (ou TLS) pour la sécurité du mot de passe ;

  • vous pouvez configurer libnss-ldap de manière à ce qu’il utilise une connexion SSL (ou TLS) afin d’assurer l’intégrité des données au prix d’une surcharge du réseau LDAP ;

  • Afin de réduire le trafic réseau de LDAP, vous devrez faire tourner nscd(8) localement pour mettre en cache les résultats de recherche de LDAP .

Consultez les documentations dans pam_ldap.conf(5) et « /usr/share/doc/libpam-doc/html/ » qui sont fournies par le paquet libpam-doc et « info libc 'Name Service Switch' fournie par le paquet glibc-doc.

De manière similaire, vous pouvez mettre en œuvre des systèmes centralisés de remplacement avec d’autres méthodes.

[Astuce] Astuce

Under systemd, logind may be used to manage user logins. See systemd-logind(8).

sudo(8) est un programme conçu pour permettre à un administrateur système de donner des privilèges d’administration limités aux utilisateurs et d’enregistrer dans un journal les actions de l’administrateur (« root ». sudo ne demande que le mot de passe d’un utilisateur normal. Installez le paquet sudo et activez-le en définissant les options dans « /etc/sudoers ». Consultez l’exemple de configuration dans « /usr/share/doc/sudo/examples/sudoers » et Section 1.1.12, « Configuration de sudo ».

Mon utilisation de sudo sur un système avec un seul utilisateur (consultez Section 1.1.12, « Configuration de sudo ») est destinée à me protéger moi-même contre ma propre stupidité. Personnellement, je considère que l’utilisation de sudo est une meilleure alternative que l’utilisation permanente du système depuis le compte de l’administrateur. Par exemple, les modifications suivantes du propriétaire de « <un_fichier> » par « <mon_nom> » :

$ sudo chown <mon_nom> <un_fichier>

Bien sûr, si vous connaissez le mot de passe de root (comme beaucoup d’utilisateurs de Debian qui ont installé eux-mêmes leur système), n’importe quelle commande peut être lancée en tant qu’administrateur depuis un compte utilisateur par « su -c ».

PolicyKit est un composant du système d’exploitation permettant de contrôler les droits globaux sur les systèmes de type UNIX.

Les applications graphiques les plus récentes ne sont pas conçues pour fonctionner comme des processus privilégiés. Elles échangent avec les processus privilégiés par l’intermédiaire de PolicyKit pour réaliser les opérations d’administration.

PolicyKit limite de telles opérations aux comptes d’utilisateurs appartenant au groupe sudo sur le système Debian.

Consultez polkit(8).

Security-Enhanced Linux (SELinux) est une infrastructure pour resserrer davantage le modèle des privilèges que le modèle de sécurité ordinaire des systèmes semblables à UNIX avec les règles de contrôle d’accès obligatoire (MAC) (« mandatory access control »). La puissance de l’administrateur peut être restreinte sous certaines conditions.

Pour la sécurité du système, il est préférable de désactiver autant de programmes de serveurs que possible. Cela devient critique pour les services par l’intermédiaire du réseau. Avoir des services réseau inutilisés, qu’ils soient activés directement en tant que démon ou par l’intermédiaire du programme super-serveur, est considéré comme un risque de sécurité.

De nombreux programmes, tels que sshd(8), utilisent un contrôle d’accès basé sur PAM. Il y a de nombreuses manières de restreindre l’accès à certains serveurs de services :

Consultez Section 3.2.3, « Exemple de gestion de niveau de fonctionnement », Section 3.2.4, « Paramètre par défaut de chaque script init », Section 4.5.1, « Fichiers de configuration auxquels accèdent PAM et NSS », Section 3.2.8, « Initialisation des services réseau » et Section 5.9, « Infrastructure de netfilter ».

[Astuce] Astuce

Les services Sun RPC doivent être actif pour NFS et les autres programmes basés sur RPC.

[Astuce] Astuce

Si vous avez des problèmes pour les accès à distance sur un système Debian récent, commentez la ligne de configuration posant problème, comme « ALL: PARANOID » de « /etc/hosts.deny » si elle existe. (Mais vous devrez faire attention au risque de sécurité induit par ce type d’action).

[Note] Note

Les informations données ici pourraient ne répondre que partiellement à vos besoins en matière de sécurité mais elles devraient néanmoins constituer un bon point de départ.

La couche de transport de nombreux services populaires communique les messages, y compris les mots de passe d’authentification, en texte clair. C’est une très mauvaise idée de transmettre un mot de passe en texte clair dans la jungle d’Internet où il peut être intercepté. Vous pouvez faire tourner des services sur une couche de transport sécurisée « Sécurité de la couche de transport (« Transport Layer Security ») » (TLS) ou son prédécesseur « Secure Sockets Layer » (SSL) pour sécuriser par chiffrement la communication dans son ensemble, y compris le mot de passe.


Le chiffrement coûte du temps processeur. Comme solution de remplacement pour économiser du temps processeur, vous pouvez continuer à effectuer les communications en texte clair tout en ne sécurisant que le mot de passe avec un protocole d’authentification sécurisé comme « Authenticated Post Office Protocol » (APOP) pour POP et « Challenge-Response Authentication Mechanism MD5 » (CRAM-MD5) pour SMTP et IMAP. (Depuis peu, pour envoyer des messages de courrier électronique au travers d’internet à votre serveur de courrier depuis votre client de courrier, il est devenu habituel d’utiliser le port 587 en remplacement du port SMTP 25 habituel pour soumettre le courrier afin d’éviter le blocage du port 25 par le fournisseur d’accès au réseau tout en vous authentifiant avec CRAM-MD5).

Le programme SSH, Shell sûr (« Secure Shell ») permet une communication chiffrée sûre entre deux machines qui ne sont pas « de confiance » au travers d’un réseau non sûr avec une authentification sûre. Il est constitué du client OpenSSH, de ssh(1), et du démon OpenSSH, sshd (8). SSH peut être utilisé pour « tunneler » de manière sécurisée un protocole de communications non sûr tel que POP et X au travers d’Internet à l’aide de la fonctionnalité de transfert de port.

Le client essaie de s’authentifier en utilisant l’authentification basée sur l’hôte, une clé publique d’authentification, une authentification par question-réponse ou une authentification par mot de passe. L’utilisation d’une authentification par clé publique permet la connexion à distance sans mot de passe. Consultez Section 6.9, « The remote access server and utilities (SSH) ».

Afin d’éviter que des personnes accèdent à votre machine avec les privilèges de l’administrateur, vous devez prendre les mesures suivante :

  • rendre impossible l’accès physique au disque dur ;

  • verrouiller le BIOS et interdire l’amorçage depuis un support amovible ;

  • définir un mot de passe pour la session interactive de GRUB ;

  • verrouiller l’édition du menu de GRUB.

Avec un accès physique au disque, réinitialiser le mot de passe est relativement facile en suivant les étapes suivantes :

  1. Déplacer le disque dur sur un PC dont le BIOS permet le démarrage depuis un CD.

  2. Démarrer le système avec un support de secours (disque d’amorçage de Debian, CD Knoppix, CD GRUB…)

  3. Monter la partition racine avec les droits en lecture et écriture.

  4. Éditer « /etc/passwd » de la partition racine et vider la seconde entrée du compte root.

Si vous avez l’accès en édition au menu GRUB (consultez Section 3.1.2, « Étage 2 : le chargeur initial »), avec grub-rescue-pc, il est encore plus simple d’effectuer les étapes suivantes au moment du démarrage :

  1. Démarrer le système avec les paramètres du noyau modifiés en quelque chose qui ressemble à « root=/dev/hda6 rw init=/bin/sh ».

  2. Éditer « /etc/passwd » et vider la seconde entrée du compte root.

  3. Redémarrer le système.

L’interpréteur de commandes de l’administrateur est maintenant accessible sans mot de passe.

[Note] Note

Une fois que quelqu’un a accès à l’interpréteur de commandes de l’administrateur, il peut accéder à l’ensemble du système et en réinitialiser tous les mots de passe. De plus, il peut compromettre le mot de passe de n’importe quel utilisateur en utilisant des outils de cassage de mots de passe par force brute tels que les paquets john et crack (consultez Section 9.4.11, « Vérification de la sécurité et de l’intégrité du système »). Ces mots de passes cassés peuvent permettre de compromettre d’autres systèmes.

La seule solution logicielle raisonnable pour éviter tout ça est d’utiliser une partition racine (ou une partition « /etc ») chiffrée par logiciel en utilisant dm-crypt et initramfs (consultez Section 9.8, « Astuces de chiffrement des données »). Vous aurez alors toujours besoin d’un mot de passe pour vous connecter au système.