Upravljanje lokalnim korisnicima i grupama - MSP mreže

Opšti indeks serije: Računarske mreže za mala i srednja preduzeća: Uvod

Pozdrav prijatelji i prijatelji!

Ovaj je članak nastavak Squid + PAM autentifikacija u CentOS 7- SMB mrežama.

UNIX / Linux operativni sistemi nude STVARNO višekorisničko okruženje, u kojem mnogi korisnici mogu istovremeno raditi na istom sistemu i dijeliti resurse poput procesora, tvrdih diskova, memorije, mrežnih sučelja, uređaja umetnutih u sistem itd.

Iz tog razloga, sistemski administratori su dužni kontinuirano upravljati korisnicima i grupama sistema i formulirati i provoditi dobru strategiju administracije.

Dalje ćemo vrlo kratko sagledati opšte aspekte ove važne aktivnosti u Linux sistemskoj administraciji.

Ponekad je bolje ponuditi uslužne, a zatim i nužne potrebe.

Ovo je tipičan primjer te naredbe. Prvo pokazujemo kako implementirati Internet Proxy uslugu sa Squidom i lokalnim korisnicima. Sada se moramo zapitati:

  • ¿kako mogu implementirati mrežne usluge na UNIX / Linux LAN-u od lokalnih korisnika i sa prihvatljiva sigurnost?.

Nije bitno što su, pored toga, Windows klijenti povezani na ovu mrežu. Važna je samo potreba za uslugama koje Mrežna mreža treba i koji je najjednostavniji i najjeftiniji način njihove primjene.

Dobro pitanje na koje bi svi trebali potražiti svoje odgovore. Pozivam vas da pretražite pojam «autentifikaciju»Na Wikipediji na engleskom jeziku, koja je daleko najpotpunija i najdosljednija u pogledu originalnog sadržaja - na engleskom jeziku.

Prema istoriji već grubo, prvo je bilo Autentifikacija y Autorizacija lokalno, nakon NIS Mrežni informacioni sistem razvio Sun Microsystem i poznat i kao Yellow Pages o yp, i onda LDAP Lightweight Directory Access Protocol.

O čemu "Prihvatljiva sigurnost»Događa se zato što se puno puta brinemo o sigurnosti naše lokalne mreže, dok pristupamo Facebooku, Gmailu, Yahoou itd. - da spomenemo samo neke - i u njih dajemo svoju privatnost. I pogledajte veliki broj članaka i dokumentaraca koji se tiču Nema privatnosti na Internetu oni postoje

Napomena o CentOS-u i Debianu

CentOS / Red Hat i Debian imaju vlastitu filozofiju o tome kako implementirati sigurnost, koja se u osnovi ne razlikuje. Međutim, mi potvrđujemo da su oboje vrlo stabilni, sigurni i pouzdani. Na primjer, u CentOS-u je SELinux kontekst omogućen prema zadanim postavkama. U Debianu moramo instalirati paket osnove selinux-a, što ukazuje da možemo koristiti i SELinux.

U CentOS-u, FreeBSDi drugih operativnih sistema kreira se grupa -system točak da dozvoli pristup kao korijen samo korisnicima sistema koji pripadaju toj grupi. Čitaj /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, y /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian ne uključuje grupu točak.

Glavne datoteke i naredbe

Arhiva

Glavne datoteke povezane sa upravljanjem lokalnim korisnicima u Linux operativnom sistemu su:

CentOS i Debian

  • / etc / passwd: informacije o korisničkom računu.
  • / etc / shadow- Sigurnosne informacije za korisničke račune.
  • / etc / group: informacije o grupnom računu.
  • / etc / gshadow- Sigurnosne informacije za grupne račune.
  • / etc / default / useradd: zadane vrijednosti za kreiranje računa.
  • / etc / skel /: direktorij koji sadrži zadane datoteke koje će biti uključene u HOME direktorij novog korisnika.
  • /etc/login.defs- Konfiguracijski paket zaštite lozinke.

Debian

  • /etc/adduser.conf: zadane vrijednosti za kreiranje računa.

Naredbe na CentOS i Debian

[root @ linuxbox ~] # chpasswd -h # Ažuriranje lozinki u batch načinu rada
Kako koristiti: chpasswd [opcije] Opcije: -c, --crypt-method METODA metoda kriptiranja (jedna od NONE DES MD5 SHA256 SHA512) -e, --kriptirane šifrirane lozinke -h, --help to pokazuje pomoć zatraži i završi -m, --md5 šifrira lozinku u bistro koristeći MD5 algoritam -R, --root CHROOT_DIR direktorij za chroot u -s, --sha-rounds broj SHA rundi za SHA algoritme šifriranja * # serija- Izvršavajte naredbe kada to dopušta opterećenje sistema. Drugim riječima # kada prosječno opterećenje padne ispod 0.8 ili vrijednost navedena kod pozivanja # naredbe atd. Više informacija man-batch.

[root @ linuxbox ~] # gpasswd -h # Prijavite administratore u / etc / group i / etc / gshadow
Kako koristiti: gpasswd [options] GROUP Options: -a, --add USER dodaje USER u GROUP -d, --delete USER uklanja USER iz GROUP -h, --help prikazuje ovu poruku pomoći i završava -Q, - -root CHROOT_DIR direktorij za chroot u -r, --delete-password uklanja GROUP-ovu lozinku -R, --ograničava ograničavanje pristupa GROUP-u svojim članovima -M, --članovi USER, ... postavljaju listu članova GROUP -A, --administrators ADMIN, ... postavlja listu GROUP administratora Osim opcija -A i -M, opcije se ne mogu kombinirati.

[root @ linuxbox ~] # groupadd -h    # Kreirajte novu grupu
Kako se koristi: groupadd [opcije] GROUP Opcije: -f, --force prekinuti ako grupa već postoji, i otkazati -g ako se GID već koristi -g, --gid GID koristi GID za novu grupu - h, --help prikazuje ovu poruku pomoći i završava -K, --key KEY = VALUE prepisuje zadane vrijednosti "/etc/login.defs" -o, --non-unique vam omogućava da kreirate grupe sa GID-ovima (nisu jedinstvene ) duplicira -p, --password PASSWORD koristi ovu šifriranu lozinku za novu grupu -r, --system kreira sistemski račun -R, --root CHROOT_DIR direktorij za chroot u

[root @ linuxbox ~] # groupdel -h # Izbrišite postojeću grupu
Kako se koristi: groupdel [options] GROUP Options: -h, --help prikaži ovu poruku pomoći i prekini direktorij -R, --root CHROOT_DIR za chroot u

[root @ linuxbox ~] # groupmems -h # Proglasite administratore u primarnoj grupi korisnika
Kako koristiti: groupmems [options] [action] Opcije: -g, --group GROUP mijenja ime grupe umjesto korisničke grupe (može to učiniti samo administrator) -R, --root CHROOT_DIR direktorij za chroot u Akcije: -a, --add USER dodaje USER članovima grupe -d, --delete USER uklanja USER sa liste članova grupe -h, --help prikazuje ovu poruku pomoći i završava -p, - očistiti očistiti sve članove grupe -l, --list navodi članove grupe

[root @ linuxbox ~] # grupni mod -h # Izmijenite definiciju grupe
Kako koristiti: groupmod [options] GROUP Options: -g, --gid GID mijenja identifikator grupe u GID -h, --help prikazuje ovu poruku pomoći i završava -n, --new-name NEW_Group mijenja ime NEW_GROUP -o, --non-unique omogućava upotrebu duplikata GID (ne jedinstvenog) -p, --password PASSWORD mijenja lozinku u PASSWORD (šifrirano) -R, --root CHROOT_DIR direktorij za chroot u

[root @ linuxbox ~] # grpck -h # Provjerite integritet grupne datoteke
Kako se koristi: grpck [opcije] [grupa [gshadow]] Opcije: -h, --help prikaži ovu poruku pomoći i izađi -r, - greške i upozorenja prikazuju samo čitanje, ali ne mijenjaju datoteke -R, - -root CHROOT_DIR direktorij za chroot u -s, - sortiranje unosa po UID-u

[root @ linuxbox ~] # grpconv
# Pridružene naredbe: pwconv, pwunconv, grpconv, grpunconv
# Koristi se za pretvaranje u i iz lozinki i grupa iz sjene
# Četiri naredbe djeluju na datoteke / etc / passwd, / etc / group, / etc / shadow, 
# i / etc / gshadow. Za više informacija man grpconv.

[root @ linuxbox ~] # sg -h # Izvršite naredbu s drugim ID-om grupe ili GID-om
Kako se koristi: sg group [[-c] order]

[root @ linuxbox ~] # newgrp -h # Promijenite trenutni GID za vrijeme prijave
Kako se koristi: newgrp [-] [grupa]

[root @ linuxbox ~] # novikorisnici -h # Ažurirajte i kreirajte nove korisnike u batch načinu
Način upotrebe: novi korisnici [opcije] Opcije: -c, --crypt-method METODA metoda kripte (jedna od NONE DES MD5 SHA256 SHA512) -h, --help prikaži ovu poruku pomoći i izađi -r, --system kreira sistemske račune -R, --root direktorij CHROOT_DIR za chroot u -s, --sha-rounds broj SHA rundi za algoritme SHA šifriranja

[root @ linuxbox ~] # pwck -h # Provjerite integritet datoteka lozinki
Kako se koristi: pwck [opcije] [passwd [sjena]] Opcije: -h, --help prikaži ovu poruku pomoći i izađi -q, - samo tiho prijavi greške -r, - greške i upozorenja prikazuju samo čitanje ali nemojte mijenjati datoteke -R, --root CHROOT_DIR direktorij u chroot u -s, --sort sortirati unose prema UID-u

[root @ linuxbox ~] # useradd -h # Kreirajte novog korisnika ili ažurirajte zadane # informacije novog korisnika
Kako koristiti: useradd [opcije] KORISNIK useradd -D useradd -D [opcije] Opcije: -b, --base-dir BAS_DIR osnovni direktorij za početni direktorij novog računa -c, --komentirajte polje COMMENT GECOS na novi račun -d, --home-dir PERSONAL_DIR početni direktorij novog računa -D, - zadane postavke ispis ili promjena zadanih postavki useradd -e, - istekao EXPIRY_DATE datum isteka novog računa -f, - neaktivan NEAKTIVNO razdoblje neaktivnosti lozinku za novi račun
delgroup
  -g, --gid GROUP ime ili identifikator primarne grupe novog računa -G, --groups GROUPS lista dopunskih grupa novog računa -h, --help prikazuje ovu poruku pomoći i završava -k, - skel DIR_SKEL koristi ovaj zamjenski direktorij "kostura" -K, --key KEY = VALUE prepisuje zadane vrijednosti "/etc/login.defs" -l, --no-log-init ne dodaje korisnika u baze podataka iz lastlog-a i dnevnika neuspjeha -m, --create-home kreira kućni direktorij korisnika -M, --no-create-home ne stvara matični direktorij korisnika -N, --no-user-group ne stvara grupu s isto ime kao i korisnik -o, --non-unique omogućava stvaranje korisnika s duplikatima (nejedinstvenim) identifikatorima (UID) -p, - lozinka šifrirana lozinka PASSWORD novog računa -r, --system kreira račun računa sistem -R, --root CHROOT_DIR direktorij za chroot u -s, --shell CONSOLE pristup konzoli novog računa -u, --uid UID identifikator korisnika novog računa -U, --user-group creategrupa s istim imenom kao korisnik -Z, --selinux-korisnik USER_SE koristi navedenog korisnika za SELinux korisnika

[root @ linuxbox ~] # userdel -h # Izbrišite korisnički račun i povezane datoteke
Način upotrebe: userdel [opcije] KORISNIČKE opcije: -f, --force prisiljavaju neke radnje koje ne bi uspjele u suprotnom, npr. Uklanjanje korisnika koji je još uvijek prijavljen ili datoteka, čak i ako nije u vlasništvu korisnika -h, --help prikazuje ovu poruku Pomozite i dovršite -r, --uklonite uklanjanje početnog direktorija i poštanskog sandučića -R, --root CHROOT_DIR direktorij za chroot u -Z, --selinux-user uklonite mapu SELinux korisnika za korisnika

[root @ linuxbox ~] # usermod -h # Izmijenite korisnički račun
Način upotrebe: usermod [options] USER Options: -c, --comment COMMENT nova vrijednost polja GECOS -d, --home PERSONAL_DIR novi početni direktorij za novog korisnika -e, --expiredate EXPIRED_DATE postavlja datum isteka račun do EXPIRED_DATE -f, - neaktivan INAKTIVNO postavlja vrijeme mirovanja nakon isteka računa na INACTIVE -g, --gid GROUP forsira upotrebu GROUP za novi korisnički račun -G, --groups GROUPS lista dodatne grupe -a, --apend dodaju korisnika dodatnim GRUPAMA koje spominje opcija -G bez uklanjanja njega / nje iz drugih grupa -h, --pomoći prikaz ove poruke pomoći i ponovno prekinuti -l, --login NAME ime za korisnika -L, --lock zaključava korisnički račun -m, --move-home premješta sadržaj kućnog direktorija u novi direktorij (koristi se samo zajedno s -d) -o, --non-unique omogućava upotrebu Duplicirani UID-ovi (nisu jedinstveni) -p, --password PASSWORD koriste šifriranu lozinku za novi račun -R, --root CHR OOT_DIR direktorij za chroot u -s, --shell CONSOLE nova pristupna konzola za korisnički račun -u, --uid UID prisiljava upotrebu UID-a za novi korisnički račun -U, --unlock otključava korisnički račun -Z, --selinux-user SEUSER novo mapiranje SELinux korisnika za korisnički račun

Naredbe u Debianu

Debian razlikuje useradd y adduser. Preporučuje upotrebu sistemskih administratora adduser.

root @ sysadmin: / home / xeon # adduser -h # Dodajte korisnika u sistem
root @ sysadmin: / home / xeon # addgroup -h # Dodajte grupu u sistem
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup GRUPA | --gid ID] [--disabled-password] [--disabled-login] KORISNIK Dodajte normalnog korisnika adduser --system [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--group | --ingroup GROUP | --gid ID] [--disabled-password] [--disabled-login] KORISNIK Dodajte korisnika iz sistemskog adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP Dodajte grupu korisnika addgroup --system [--gid ID] GROUP Dodajte grupu iz sistemskog davatelja korisnika KORISNIČKA GRUPA Dodajte postojećeg korisnika u postojeću grupu opšte opcije: --quiet | -q ne prikazuju informacije o procesu na standardnom izlazu --force-badname dopuštaju korisnička imena koja se ne podudaraju s konfiguracijskom varijablom NAME_REGEX --help | -h poruka o upotrebi --verzija | -v broj verzije i autorska prava --conf | -c FILE koristi FILE kao konfiguracijsku datoteku

root @ sysadmin: / home / xeon # deluser -h # Uklonite normalnog korisnika iz sistema
root @ sysadmin: / home / xeon # delgroup -h # Uklonite normalnu grupu iz sistema
deluser USER uklanja normalnog korisnika iz primjera sistema: deluser miguel --remove-home uklanja korisnikov kućni direktorij i red pošte. --remove-all-files uklanja sve datoteke u vlasništvu korisnika. - backup izrađuje sigurnosne kopije datoteka prije brisanja. - sigurnosna kopija odredišni direktorij za sigurnosne kopije. Trenutni direktorij se koristi prema zadanim postavkama. --system ukloniti samo ako ste korisnik sistema. delgroup GROUP deluser --group GROUP uklanja grupu iz sistema primjer: deluser --group students --system uklanja samo ako je grupa iz sistema. --ly-if-empty uklonite samo ako nemaju više članova. deluser USER GROUP uklanja korisnika iz grupe primjer: deluser miguel students opće opcije: --quiet | -q ne dajte informacije o procesu na stdout --help | -h poruka o upotrebi --verzija | -v broj verzije i autorska prava --conf | -c FILE koristi FILE kao konfiguracijsku datoteku

Politike

Dvije su politike koje moramo uzeti u obzir prilikom kreiranja korisničkih računa:

  • Politike korisničkog računa
  • Politike starenja lozinke

Politike korisničkog računa

U praksi su osnovne komponente koje identificiraju korisnički račun:

  • Ime korisničkog računa - korisnik ULOGOVATI SE, a ne ime i prezimena.
  • Korisnički broj - UID.
  • Glavna grupa kojoj pripada - GID.
  • Lozinka - lozinka.
  • Dozvole za pristup - dozvole za pristup.

Glavni faktori koje treba uzeti u obzir prilikom kreiranja korisničkog računa su:

  • Količina vremena tokom kojeg će korisnik imati pristup sistemu datoteka i resursima.
  • Količina vremena u kojem korisnik mora povremeno mijenjati lozinku iz sigurnosnih razloga.
  • Vremenski period u kojem će prijava -log ostati aktivan.

Nadalje, pri dodjeli korisnika njegovom UID y lozinka, moramo uzeti u obzir da:

  • Vrijednost cijelog broja UID mora biti jedinstven i ne negativan.
  • El lozinka mora biti odgovarajuće dužine i složenosti, tako da je teško odgonetnuti.

Politike starenja lozinke

Na Linux sistemu, lozinka korisniku nije dodijeljeno zadano vrijeme isteka. Ako koristimo politike starenja lozinke, možemo promijeniti zadano ponašanje i prilikom kreiranja korisnika, definirane politike će se uzeti u obzir.

U praksi postoje dva faktora koja treba uzeti u obzir prilikom postavljanja starosti lozinke:

  • Sigurnost.
  • Korisnička pogodnost.

Lozinka je sigurnija što je kraći period njenog isteka. Manji je rizik da će procuriti drugim korisnicima.

Da bismo uspostavili politike starenja lozinke, možemo koristiti naredbu promjena:

[root @ linuxbox ~] # promjena
Način upotrebe: Chage [opcije] KORISNIČKE Opcije: -d, - zadnji dan LAST_DAY postavlja dan zadnje promjene lozinke na LAST_DAY -E, --expiredate CAD_DATE postavlja datum isteka na CAD_DATE -h, --help prikazuje ovu poruku pomoći i završava -I, - neaktivan NEAKTIVAN onemogućava račun nakon NEAKTIVNIH dana od datuma isteka -l, --list prikazuje podatke o starosti računa -m, --mindays MINDAYS postavlja broj minimalnih dana prije promjene lozinke u MIN_DAYS -M , --maxdays MAX_DAYS postavlja maksimalan broj dana prije promjene lozinke na MAX_DAYS -R, --root CHROOT_DIR direktorij u chroot u -W, --warndays WARNING_DAYS postavlja dane isteka na DAYS_NOTICE

U prethodnom članku stvorili smo nekoliko korisnika kao primjer. Ako želimo znati dobne vrijednosti korisničkog računa sa ULOGOVATI SE galadriel:

[root @ linuxbox ~] # chage --list galadriel
Posljednja promjena lozinke: 21. travnja 2017. Lozinka ističe: nikad Neaktivna lozinka: nikad Račun ističe: nikad Minimalni broj dana između promjene lozinke: 0 Maksimalni broj dana između promjene lozinke: 99999 Broj dana prije obavijesti lozinka ističe: 7

To su bile zadane vrijednosti koje je sistem imao kada smo kreirali korisnički račun koristeći grafički uslužni program "Korisnici i grupe":

Da biste promijenili zadane postavke starenja lozinke, preporučuje se uređivanje datoteke /etc/login.defs y izmijeniti minimalni iznos vrijednosti koji nam treba. U toj datoteci promijenit ćemo samo sljedeće vrijednosti:

# Kontrole starenja lozinke: # # PASS_MAX_DAYS Maksimalan broj dana kada se lozinka može koristiti. # PASS_MIN_DAYS Minimalan broj dana između promjena lozinke. # PASS_MIN_LEN Minimalna prihvatljiva dužina lozinke. # PASS_WARN_AGE Broj dana upozorenja dana prije isteka lozinke. # PASS_MAX_DAYS 99999 #! Više od 273 godine! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

za vrijednosti koje smo odabrali prema našim kriterijima i potrebama:

PASS_MAX_DAYS 42 # 42 neprekidnih dana koje možete koristiti lozinka
PASS_MIN_DAYS 0 # lozinka se može promijeniti u bilo kojem trenutku PASS_MIN_LEN 8 # minimalna dužina lozinke PASS_WARN_AGE 7 # Broj dana kada vas sistem upozori # morate promijeniti lozinku prije nego što istekne.

Ostatak datoteke ostavljamo onakvim kakav je bio i preporučujemo da ne mijenjate ostale parametre dok ne saznamo što radimo.

Nove vrijednosti će se uzeti u obzir kada kreiramo nove korisnike. Ako promijenimo lozinku već kreiranog korisnika, poštivat će se vrijednost minimalne duljine lozinke. Ako koristimo naredbu passwd umjesto grafičke korisnosti, pišemo da će lozinka biti «legolas17«, Sistem se žali poput grafičkog alata« Korisnici i grupe »i odgovara da«Lozinka nekako glasi korisničko ime»Iako na kraju prihvaćam tu slabu lozinku.

[root @ linuxbox ~] # passwd legolas
Promjena lozinke korisnika legolasa. Nova šifra: golman               # je manji od 7 znakova
NEPRAVILNA LOZINKA: Lozinka je manja od 8 znakova Ponovo unesite novu lozinku: legolas17
Lozinke se ne podudaraju.               # Logično zar ne?
Nova lozinka: legolas17
NEPRAVILNA LOZINKA: Lozinka nekako glasi korisničko ime Ponovo unesite novu lozinku: legolas17
passwd: svi tokeni za provjeru autentičnosti su uspješno ažurirani.

Nailazimo na "slabost" deklariranja lozinke koja uključuje ULOGOVATI SE korisnika. To je praksa koja se ne preporučuje. Ispravan način bio bi:

[root @ linuxbox ~] # passwd legolas
Promjena lozinke korisnika legolasa. Nova šifra: highmountains01
Ponovo unesite novu lozinku: highmountains01
passwd: svi tokeni za provjeru autentičnosti su uspješno ažurirani.

Za promjenu vrijednosti isteka lozinka de galadriel, koristimo naredbu chage i moramo samo promijeniti vrijednost PASS_MAX_DAYS od 99999 do 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Posljednja promjena lozinke: 21. aprila 2017. Lozinka ističe: 02. lipnja 2017. Neaktivna lozinka: nikad Račun ističe: nikad Minimalni broj dana između promjene lozinke: 0 Maksimalni broj dana između promjene lozinke: 42
Broj dana prije isteka lozinke: 7

I tako dalje, možemo ručno promijeniti lozinke već kreiranih korisnika i vrijednosti isteka, koristeći grafički alat «Korisnici i grupe» ili pomoću skripte - skripta koji automatizira neke neinteraktivne radove.

  • Na taj način, ako kreiramo lokalne korisnike sistema na način koji ne preporučuju najčešće prakse u pogledu sigurnosti, možemo promijeniti to ponašanje prije nego što nastavimo s implementacijom više usluga zasnovanih na PAM-u..

Ako kreiramo korisnika anduin con ULOGOVATI SE «anduin»I lozinka«ThePassword»Dobit ćemo sljedeći rezultat:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Promjena lozinke korisnika anduin. Nova šifra: ThePassword
NEPRAVILNA LOZINKA: Lozinka ne prolazi provjeru rječnika - zasniva se na riječi iz rječnika. Ponovo unesite novu lozinku: ThePassword
passwd - Svi tokeni za provjeru autentičnosti su uspješno ažurirani.

Drugim riječima, sistem je dovoljno kreativan da ukaže na slabosti lozinke.

[root @ linuxbox ~] # passwd anduin
Promjena lozinke korisnika anduin. Nova šifra: highmountains02
Ponovo unesite novu lozinku: highmountains02
passwd - Svi tokeni za provjeru autentičnosti su uspješno ažurirani.

Sažetak politike

  • Jasno je da je politika složenosti lozinke, kao i minimalna dužina od 5 znakova, omogućena po defaultu u CentOS-u. Na Debianu provjera složenosti funkcionira za normalne korisnike kada pokušaju promijeniti lozinku pozivanjem naredbe passwd. Za korisnika korijen, nema zadanih ograničenja.
  • Važno je znati različite opcije koje možemo prijaviti u datoteci /etc/login.defs pomoću naredbe man login.defs.
  • Također, provjerite sadržaj datoteka / etc / default / useradd, a također i u Debianu /etc/adduser.conf.

Korisnici i grupe sistema

U procesu instaliranja operativnog sistema stvara se čitav niz korisnika i grupa koje jedna literatura naziva Standardni korisnici, a druga Korisnici sistema. Mi ih više volimo nazivati ​​sistemskim korisnicima i grupama.

Korisnici sistema po pravilu imaju UID <1000 a vaše račune koriste različite aplikacije operativnog sistema. Na primjer, korisnički račun «lignje»Koristi program Squid, dok se račun« lp »koristi za postupak ispisa iz uređivača riječi ili teksta.

Ako želimo navesti te korisnike i grupe, to možemo učiniti pomoću naredbi:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # mačka / itd / grupa

Uopće se ne preporučuje modificiranje korisnika i grupa sistema. 😉

Zbog njegove važnosti ponavljamo da u CentOS-u, FreeBSDi drugih operativnih sistema kreira se grupa -system točak da dozvoli pristup kao korijen samo korisnicima sistema koji pripadaju toj grupi. Čitaj /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, y /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian ne uključuje grupu točak.

Upravljanje korisničkim i grupnim računima

Najbolji način da naučite kako upravljati korisničkim i grupnim računima je:

  • Vježbanje upotrebe gore navedenih naredbi, po mogućnosti u virtualnoj mašini i ranije koristiti grafičke alate.
  • Konsultovanje priručnika ili man stranice svake naredbe prije pretraživanja bilo kojih drugih informacija na Internetu.

Praksa je najbolji kriterij istine.

Resumen

Daleko, jedan članak posvećen upravljanju lokalnim korisnicima i grupama nije dovoljan. Stepen znanja koji svaki administrator stekne ovisit će o ličnom interesu za učenje i produbljivanje ove i drugih srodnih tema. To je isto kao i sa svim aspektima koje smo razvili u seriji članaka MSP mreže. Na isti način možete uživati ​​u ovoj verziji u pdf-u ovdje

Sledeća isporuka

Nastavit ćemo primjenjivati ​​usluge s autentifikacijom protiv lokalnih korisnika. Zatim ćemo instalirati uslugu razmjene trenutnih poruka na osnovu programa Prozodija.

Vidimo se uskoro!


4 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   HO2GI rekao je

    Pozdrav, odličan članak, pitam vas gdje radim, štampači se dijele, problem je u šalicama, ponekad visi i ne mogu ispisivati ​​jer im mogu dati dopuštenje da ga ponovo pokrenu (jer većinu vremena radimo u drugim područjima) bez davanja lozinke root, jer jedini način koji sam pronašao je da ga promijenim tako da ga određeni korisnik može ponovno pokrenuti.
    Već vam hvala.

    1.    federico rekao je

      Pozdrav HO2GI!. Na primjer, recimo da je korisnik Legolas želite mu dopustiti samo ponovno pokretanje usluge CUPS, naravno koristeći naredbu sudo, koji moraju biti instalirani:
      [root @ linuxbox ~] # visudo

      Specifikacija zamjenskog imena

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups restart

      Specifikacija privilegija korisnika

      root ALL = (ALL: ALL) ALL
      legolas ALL = RESTARTCUPS

      Spremite promjene napravljene u datoteci džemperi. Prijavite se kao korisnik legole:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid ponovno učitavanje
      [sudo] lozinka za legole:
      Sorry, user legolas is not allowed to execute ‘/etc/init.d/postfix reload’ as root on linuxbox.desdelinux.fan.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups restart
      [sudo] lozinka za legole:
      [ok] Ponovno pokretanje sistema Unix za ispis: cupsd.

      Oprostite ako se upit razlikuje na CentOS-u, jer sam se vodio onim što sam upravo učinio na Debian Wheezy-u. ;-). Gdje sam trenutno, nemam CentOS pri ruci.

      S druge strane, ako želite dodati druge korisnike sistema kao potpune CUPS administratore - oni to mogu pogrešno konfigurirati - postat ćete ih članovima grupe lpadmin, koji se kreira kada instalirate CUPS.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI rekao je

        Sjajno hvala hiljadu Fico, probaću odmah.

  2.   federico rekao je

    HO2GI, u CentOS / Red -Hat to bi bilo:

    [root @ linuxbox ~] # visudo

    usluge

    Cmnd_Alias ​​RESTARTTCUPS = / usr / bin / systemctl restart cups, / usr / bin / systemctl status cups

    Dopustite root-u da izvršava bilo koje naredbe bilo gdje

    root ALL = (ALL) ALL
    legolas ALL = PONOVNO POKRETANJE

    Sačuvaj promjene

    [root @ linuxbox ~] # izlaz

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    lozinka legolas @ linuxbox:

    [legolas @ linuxbox ~] $ sudo systemctl ponovo pokrenite čaše

    Vjerujemo da ste dobili uobičajeno predavanje od lokalnog sistema
    Administrator. Obično se svodi na ove tri stvari:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] lozinka za legole:
    [legolas @ linuxbox ~] $ sudo systemctl statusne čaše
    ● cups.service - Usluga štampanja CUPS
    Učitana: učitana (/usr/lib/systemd/system/cups.service; omogućena; unaprijed postavljena opcija dobavljača: omogućena)
    Aktivan: aktivan (trči) od ožujka 2017-04-25 22:23:10 EDT; Prije 6s
    Glavni PID: 1594 (cupsd)
    CGroup: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [legolas @ linuxbox ~] $ sudo systemctl ponovo pokrenite squid.service
    Žao nam je, korisničke legole ne smiju izvršiti '/ bin / systemctl restart squid.service' kao root na linuxboxu.
    [legolas @ linuxbox ~] $ izlaz