Tu viens d’installer Linux, ton système tourne, et tu te connectes avec le compte créé à l’installation. Tout roule. Sauf que ce compte a probablement tous les droits sur la machine. C’est pratique… et c’est un problème. La gestion des utilisateurs est l’un des piliers de la sécurité sous Linux, et comprendre comment créer un utilisateur Linux et gérer les droits dès le départ, c’est éviter des galères qui peuvent aller du simple fichier écrasé à une compromission complète du système.
Pas de panique : c’est plus accessible qu’il n’y paraît. Quelques commandes, quelques concepts, et tu vas voir que Linux est en réalité très bien pensé pour ça.
Pourquoi créer plusieurs utilisateurs sur Linux
Le principe multi-utilisateur au cœur de Linux
Linux a été conçu dès le départ pour être un système multi-utilisateur. Contrairement à Windows où pendant longtemps tout le monde utilisait un compte admin sans y réfléchir, Linux distingue nativement ce que chaque utilisateur peut faire ou non. Chaque personne qui se connecte dispose de son propre espace (son répertoire /home/nom_utilisateur), de ses préférences, et d’un périmètre d’action défini.
Cette architecture a une conséquence très concrète : si un programme malveillant tourne sous ton compte, il ne peut accéder qu’aux fichiers auxquels ton compte a le droit d’accéder. Compartimenter les accès, c’est réduire la surface d’attaque. Un principe simple, mais redoutablement efficace.
Le danger d’un seul compte administrateur
Utiliser un compte avec tous les droits pour ses activités quotidiennes, c’est comme conduire avec un détonateur posé sur le tableau de bord. Une mauvaise commande, un script téléchargé sans réfléchir, et c’est l’ensemble du système qui trinque. Les utilisateurs expérimentés gardent un compte standard pour le quotidien et n’utilisent les privilèges administrateur que quand c’est strictement nécessaire.
Pour un contexte familial ou partagé, c’est encore plus vrai : créer un compte dédié pour chaque personne évite qu’un enfant (ou un invité peu scrupuleux) modifie des configurations système ou supprime des fichiers importants. La securite linux debutant passe autant par la gestion des utilisateurs que par le pare-feu ou les mises à jour.
Créer un utilisateur sous Linux : les commandes de base
useradd, adduser ou interface graphique : laquelle choisir ?
useradd est la commande brute, disponible sur toutes les distributions. Elle crée l’utilisateur mais ne fait pas grand chose de plus sans options supplémentaires. Elle ne crée pas forcément le dossier personnel, ne définit pas de mot de passe, et laisse des valeurs par défaut qui ne conviennent pas toujours aux débutants.
adduser, disponible sur Debian, Ubuntu et leurs dérivées, est une surcouche interactive bien plus agréable. Elle pose les questions une par une, crée automatiquement le répertoire /home, et demande le mot de passe directement. Pour un débutant, c’est clairement le bon choix sur ces distributions. Sur Fedora, openSUSE ou Arch, on revient à useradd avec les bonnes options.
Les interfaces graphiques (comme l’outil « Utilisateurs » dans les paramètres de GNOME) font le même travail de façon visuelle. C’est parfaitement valable, mais connaître les commandes reste utile quand on administre un serveur ou qu’on n’a pas d’interface graphique sous la main.
Étape par étape : créer un compte standard
Sur Ubuntu ou Debian, voici la procédure complète :
Ouvre un terminal et tape :
sudo adduser prenomLinux va te demander un mot de passe, puis quelques informations optionnelles (nom complet, numéro de bureau, etc.). Tu peux les laisser vides avec Entrée. Le compte est créé, le dossier /home/prenom aussi.
Sur Fedora ou une distribution sans adduser :
sudo useradd -m -s /bin/bash prenom
sudo passwd prenomL’option -m crée le répertoire home, -s /bin/bash définit le shell par défaut. La deuxième commande définit le mot de passe.
Définir un mot de passe solide
Un mot de passe, ça se réfléchit. Sur Linux, la commande passwd gère ça, mais c’est toi qui choisis la complexité. Vise au minimum 12 caractères, avec un mélange de majuscules, minuscules, chiffres et symboles. Une phrase de passe (comme Chien!Saute3fois) est souvent plus mémorisable et plus solide qu’une suite de caractères aléatoires imbittable.
Pour forcer l’expiration périodique d’un mot de passe (utile sur un système partagé), la commande chage permet de définir une durée de validité. C’est une bonne pratique dans les environnements professionnels, moins indispensable à la maison.
Gérer les droits et privilèges
Comprendre sudo, les groupes et les rôles
Sur Linux, tout repose sur une mécanique de groupes. Un utilisateur appartient à un ou plusieurs groupes, et ces groupes déterminent ce qu’il peut faire. Le groupe sudo (ou wheel sur Fedora/Red Hat) est celui qui permet d’exécuter des commandes avec les privilèges administrateur via sudo.
Le fichier /etc/sudoers est le grand livre des permissions sudo. On ne le modifie pas à la main : on utilise visudo qui vérifie la syntaxe avant d’enregistrer, histoire d’éviter de se bloquer dehors de son propre système. Un utilisateur non membre du groupe sudo ne peut pas installer de logiciels, modifier des fichiers système, ou redémarrer des services. C’est exactement ce qu’on veut pour un compte standard.
Ajouter un utilisateur au groupe sudo
Une seule commande suffit :
sudo usermod -aG sudo prenomLe -aG signifie « append to Group », c’est-à-dire ajouter au groupe sans retirer les groupes existants. Sur Fedora, remplace sudo par wheel. L’utilisateur doit se déconnecter et se reconnecter pour que le changement prenne effet.
Retirer des droits d’administration
Retirer quelqu’un du groupe sudo se fait avec gpasswd :
sudo gpasswd -d prenom sudoPourquoi retirer des droits ? Parce qu’un compte compromis avec les droits sudo peut faire beaucoup plus de dégâts qu’un compte standard. Si tu as créé un compte admin temporaire pour une intervention, pense à lui retirer ces droits une fois la tâche terminée. Le principe du moindre privilège, c’est donner exactement les accès nécessaires, pas plus.
Gérer finement l’accès aux fichiers
Lecture, écriture, exécution : le trio fondamental
Chaque fichier Linux a trois types de permissions : lire (r), écrire (w), exécuter (x). Ces permissions s’appliquent à trois entités différentes : le propriétaire du fichier, son groupe, et tous les autres utilisateurs. La commande ls -l affiche ces permissions sous forme d’une chaîne comme -rwxr-xr–.
Déchiffrer ça : le premier caractère indique le type (- pour fichier, d pour dossier). Ensuite, trois blocs de trois caractères pour le propriétaire, le groupe, et les autres. Un r présent = permission accordée, un tiret = permission refusée.
chmod et chown : modifier permissions et propriétaires
chmod modifie les permissions. Deux syntaxes existent : symbolique et numérique. La symbolique est plus lisible pour débuter :
chmod u+x script.sh # ajoute l'exécution pour le propriétaire
chmod g-w fichier.txt # retire l'écriture pour le groupe
chmod o-r secret.txt # retire la lecture pour les autreschown change le propriétaire d’un fichier :
sudo chown prenom:prenom /home/prenom/dossierLa syntaxe utilisateur:groupe permet de définir les deux en une seule commande.
Cas pratique : partager un dossier entre deux utilisateurs
Imaginons que tu veux qu’Alice et Bob partagent un dossier /home/partage. La bonne approche : créer un groupe dédié, ajouter les deux utilisateurs à ce groupe, puis régler les permissions du dossier pour que ce groupe puisse lire et écrire.
sudo groupadd partage
sudo usermod -aG partage alice
sudo usermod -aG partage bob
sudo mkdir /home/partage
sudo chown root:partage /home/partage
sudo chmod 775 /home/partageLe 775 en notation numérique signifie : propriétaire (rwx), groupe (rwx), autres (r-x). Personne en dehors du groupe ne pourra écrire dans ce dossier.
Bonnes pratiques pour gérer les droits utilisateurs
Limiter les comptes admin, auditer régulièrement
Sur un poste personnel, un seul compte devrait avoir les droits sudo. Pour les activités quotidiennes (naviguer, travailler, regarder des vidéos), un compte standard suffit largement. Pour vérifier qui appartient au groupe sudo sur ton système :
getent group sudoSi tu vois des noms que tu ne reconnais pas, c’est le moment de creuser. Un audit régulier des comptes existants est une habitude saine, surtout sur une machine partagée. Pour lister tous les utilisateurs avec un répertoire home actif :
ls /homePour aller plus loin dans les bonnes pratiques système, l’article sur la mettre a jour linux debutant complète bien cette approche globale de maintenance.
Désactiver ou supprimer un utilisateur correctement
Désactiver un compte sans le supprimer (pour garder ses fichiers) :
sudo usermod -L prenom # verrouille le compte
sudo usermod -s /sbin/nologin prenom # bloque la connexionSupprimer définitivement un compte avec son répertoire home :
sudo deluser --remove-home prenomAttention : --remove-home supprime tous les fichiers de l’utilisateur. Sans cette option, le répertoire reste intact. Réfléchis avant de lancer la commande, il n’y a pas d’annulation facile.
FAQ et erreurs courantes
Mon utilisateur ne peut pas installer d’applications
C’est normal pour un compte standard, et c’est voulu. Pour installer un logiciel, il faut les droits sudo. Si tu veux qu’un utilisateur puisse installer des applications, ajoute-le au groupe sudo avec usermod -aG sudo prenom. Mais réfléchis d’abord : est-ce vraiment nécessaire ? Pour un enfant ou un utilisateur occasionnel, la réponse est souvent non.
Mot de passe admin perdu : que faire ?
Si tu as perdu le mot de passe de ton compte sudo, la solution passe par le mode recovery de GRUB. Au démarrage, maintiens Shift (ou Échap selon ta distribution) pour accéder au menu GRUB, choisis le mode recovery ou rescue, et tu arrives sur un shell root depuis lequel tu peux réinitialiser un mot de passe avec passwd nom_utilisateur. La procédure varie légèrement selon les distributions, mais le principe reste le même.
C’est d’ailleurs une des raisons pour lesquelles sécuriser GRUB avec un mot de passe est une bonne idée sur les machines sensibles ou partagées.
La gestion des utilisateurs est intimement liée à l’ensemble de l’écosystème de sécurité Linux. Si tu veux construire une approche cohérente, explore aussi la configuration du pare feu linux ufw debutant et les fondamentaux rassemblés dans le guide linux debutant. La prochaine étape logique après avoir maîtrisé les utilisateurs et les groupes, c’est d’aller plus loin avec sudo : comprendre la syntaxe du fichier sudoers, créer des règles granulaires qui permettent à un utilisateur de lancer uniquement certaines commandes avec des privilèges élevés, sans lui donner un accès admin complet. Un niveau de contrôle qui change vraiment la donne.