Gestió d'usuaris i grups locals- Xarxes PIMES

fico

21 minuts

Índex general de la sèrie: Xarxes de Ordinadors per a les PIMES: Introducció

Hola amigues i amics!

Aquest article és continuació de Squid + Autenticació PAM en CentOS 7- Xarxes PIMES.

Els sistemes operatius UNIX / Linux ofereixen un ambient multiusuari REAL, en els quals molts usuaris poden treballar simultàniament sobre el mateix sistema i compartir recursos com ara processadors, discs durs, memòria, interfícies de xarxes, dispositius inserits en el sistema, etcètera.

Per això, els Administradors de Sistemes estan obligats a gestionar de forma contínua als usuaris i grups de sistema ia formular i implementar una bona estratègia d'administració.

A continuació veurem de forma molt concisa els aspectes generals d'aquesta important activitat en l'Administració de Sistemes Linux.

De vegades és millor oferir Utilitat i després Necessitat.

Aquest és un típic exemple d'aquest ordre. primer vam mostrar com implementar un servei d'Internet Proxy amb Squid i usuaris locals. Ara ens hem de preguntar:

  • ¿com puc implementar serveis de xarxes en una LAN UNIX / Linux a partir d'usuaris locals i amb una seguretat acceptable?.

No importa que, a més, estiguin connectats a aquesta xarxa clients Windows. Només importa la necessitat de quins serveis necessita la Xarxa PIME i quina és la forma més senzilla i barata de implementar-los.

Una bona pregunta que cadascú ha de buscar les seves respostes. Convido a que realitzin una recerca pel terme «autenticació»En la Wikipedia en anglès, que per molt és la més completa i coherent pel que fa a contingut original -en anglès- es refereix.

D'acord amb la Història ia més o menys, Primer va ser la autenticació y autorització locals, després NIS Network Information System desenvolupat per la Sun Microsystem i conegut també com Pàgines Grogues o yp, I després LDAP Protocol lleuger d'accés a directoris.

Això de «seguretat Acceptable»Ve a col·lació pel fet que moltes vegades ens preocupem per la seguretat de la nostra xarxa local, mentre accedim a Facebook, Gmail, Yahoo, etcètera -per esmentar sols uns pocs- i vam lliurar a la Mare de Privacitat en ells. I mirin Vostès la gran quantitat d'articles i documentals que a l'respecte de la No Privacitat a Internet existeixen.

Nota sobre CentOS i Debian

CentOS / Red Hat i Debian tenen la seva pròpia filosofia pel que fa a com implementar la seguretat, que no difereix en aspectes fonamentals. No obstant això afirmem que les dues són molt estables, segures i fiables. Per exemple, en CentOS el context SELinux ve habilitat per defecte. A Debian hem d'instal·lar el paquet selinux-basics, El que indica que també podem utilitzar SELinux.

A CentOS, FreeBSD, I altres sistemes operatius, es crea el grup -del sistema- roda per permetre l'accés de root només als usuaris de sistema que pertanyin a aquest grup. Llegiu /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html i /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian no incorpora un grup roda.

Arxius i comandaments principals

Arxius

Els principals arxius relacionats amb la gestió dels usuaris locals en un sistema operatiu Linux són:

CentOS i Debian

  • / etc / passwd: Informació dels comptes d'usuari.
  • / Etc / shadow: Informació de seguretat dels comptes d'usuari.
  • / Etc / group: Informació dels comptes de grups.
  • / Etc / gshadow: Informació de seguretat dels comptes de grup.
  • / Etc / default / useradd: Valors per defecte per a la creació dels comptes.
  • / Etc / skel /: Directori que conté els fitxers per defecte que s'inclouran en el directori HOME de l'usuari nou.
  • /etc/login.defs: Suite de configuració de la seguretat de les contrasenyes.

Debian

  • /etc/adduser.conf: Valors per defecte per a la creació dels comptes.

Comandaments en CentOS i Debian

[Root @ linuxbox ~] # chpasswd -h # Actualitza contrasenyes en mode batch
Mode d'ús: chpasswd [opcions] Opcions: -c, --crypt-method METHOD the crypt method (one of NONE DES MD5 SHA256 SHA512) -i, --encrypted es xifren les contrasenyes proporcionades -h, --help mostra aquest missatge d'ajuda i acaba -m, --md5 xifra la contrasenya en clar utilitzant l'algoritme MD5 -R, --root chroot_dir directory to chroot into -s, --sha-rounds nombre de rondes SHA per als algoritmes de xifrat SHA * # lot: Executa ordres quan la càrrega de el sistema ho permet. En altres paraules # quan la càrrega mitjana cau per sota de 0.8 o el valor especificat a l'invocar # la comanda atd. més informació man batch.

[Root @ linuxbox ~] # gpasswd -h # Declara Administradors en / etc / group i / etc / gshadow
Mode d'ús: gpasswd [opcions] GRUP Opcions: -a, --add USUARI afegeix USUARI a l'GRUP -d, --delete USUARI elimina USUARI de l'GRUP -h, --help mostra aquest missatge d'ajuda i acaba -Q, - -root chroot_dir directory to chroot into -r, --delete-password remove the GROUP s password -R, --restrict restringeix l'accés a GRUP als seus membres -M, --members USUARI, ... estableix la llista de membres de GRUP -A, --administrators ADMIN, ... estableix la llista d'administradors de GRUP Excepte les opcions -A i -M, les opcions no es poden combinar.

[Root @ linuxbox ~] # agregar grup -h    # Crear un nunevo grup
Mode d'ús: groupadd [opcions] GRUP Opcions: -f, --force acaba si el grup ja existeix, i cancel·la -g si el GID ja està en ús -g, --gid GID utilitza GID per al nou grup - h, --help mostra aquest missatge d'ajuda i acaba -K, --key CLAU = VALOR sobreescriu els valors per defecte de «/etc/login.defs» -o, --non-unique permet crear grups amb GID (no únics ) duplicats -p, --password cONTRASENYA utilitza aquesta contrasenya xifrada per al nou grup -r, --system crea un compte d'sistema -R, --root chroot_dir directory to chroot into

[Root @ linuxbox ~] # grup del -h # Esborra un grup existent
Mode d'ús: groupdel [opcions] GRUP Opcions: -h, --help mostra aquest missatge d'ajuda i acaba -R, --root chroot_dir directory to chroot into

[Root @ linuxbox ~] # groupmems -h # Declara Administradors en el grup primari d 'un usuari
Mode d'ús: groupmems [opcions] [acció] Opcions: -g, --group GRUP canvia el nom de el grup en lloc de el grup de l'usuari (només ho pot fer l'administrador) -R, --root chroot_dir directory to chroot into accions: -a, --add USUARI afegeix USUARI als membres de el grup -d, --delete USUARI elimina USUARI de la llista de membres de el grup -h, --help mostra aquest missatge d'ajuda i acaba -p, - purga purga tots els membres de el grup -l, --list llista els membres de el grup

[Root @ linuxbox ~] # groupmod -h # Modifica la definició d'un grup
Mode d'ús: groupmod [opcions] GRUP Opcions: -g, --gid GID canvia l'identificador de el grup a GID -h, --help mostra aquest missatge d'ajuda i acaba -n, --new-name GRUPO_NUEVO canvia el nom a GRUPO_NUEVO -o, --non-unique permet utilitzar un GID duplicat (no únic) -p, --password cONTRASENYA canvia-la a cONTRASENYA (xifrada) -R, --root chroot_dir directory to chroot into

[Root @ linuxbox ~] # grpck -h # Comprova la integritat d'un arxiu de grups
Mode d'ús: grpck [opcions] [grup [gshadow]] Opcions: -h, --help mostra aquest missatge d'ajuda i acaba -r, --read-only display errors and warnings but do not change files -R, - -root chroot_dir directory to chroot into -s, --sort sort entries by UID

[Root @ linuxbox ~] # grpconv
# Ordres associats: pwconv, pwunconv, grpconv, grpunconv
# S'utilitza per convertir des de i cap a contrasenyes shadow i grups
# Els quatre ordres operen sobre els arxius / Etc / passwd, / etc / group, / etc / shadow, 
# i / etc / gshadow. Per a més informació man grpconv.

[Root @ linuxbox ~] # sg -h # Executa una ordre amb un diferent group ID o GID
Mode d'ús: sg grup [[-c] ordre]

[Root @ linuxbox ~] # nougrp -h # Canvia el GID actual durant un inici de sessió
Mode d'ús: newgrp [-] [grup]

[Root @ linuxbox ~] # nous usuaris -h # Actualitza i crea nous usuaris en mode batch
Mode d'ús: newusers [opcions] Opcions: -c, --crypt-method METHOD the crypt method (one of NONE DES MD5 SHA256 SHA512) -h, --help mostra aquest missatge d'ajuda i acaba -r, --system crea comptes de sistema -R, --root chroot_dir directory to chroot into -s, --sha-rounds nombre de rondes SHA per als algoritmes de xifrat SHA *

[Root @ linuxbox ~] # pwck -h # Comprova la integritat dels arxius de contrasenyes
Mode d'ús: pwck [opcions] [passwd [shadow]] Opcions: -h, --help mostra aquest missatge d'ajuda i acaba -q, --quiet report errors only -r, --read-only display errors and warnings but do not change files -R, --root chroot_dir directory to chroot into -s, --sort sort entries by UID

[Root @ linuxbox ~] # useradd -h # Crea un nou usuari o actualitza la informació per # defecte de l'usuari
Mode d'ús: useradd [opcions] USUARI useradd -D useradd -D [opcions] Opcions: -b, --base-dir DIR_BASE directori base per al directori personal del nou compte -c, --comment COMENTARI camp GECOSE de la nou compte -d, --home-dir DIR_PERSONAL directori personal del nou compte -D, --defaults imprimeix o canvia la configuració per defecte de useradd -i, --expiredate FECHA_CADUCIDAD data de caducitat del nou compte -f, - inactive INACTIU període d'inactivitat de la contrasenya del nou compte
delgroup
  -g, --gid GRUP nom o identificador de el grup primari del nou compte -G, --groups GRUPS llista de grups suplementaris del nou compte -h, --help mostra aquest missatge d'ajuda i acaba -k, - skel DIR_SKEL utilitza aquest directori «skeleton» alternatiu -K, --key CLAU = VALOR sobreescriu els valors per defecte de «/etc/login.defs» -l, --no-log-init no afegeix l'usuari a les bases de dades de lastlog i faillog -m, --create-home crea el directori personal de l'usuari -M, --no-create-home no crea el directori personal de l'usuari -N, --no-user-group no crea un grup amb el mateix nom que l'usuari -o, --non-unique permet crear usuaris amb identificadors (UID) duplicats (no únics) -p, --password cONTRASENYA contrasenya xifrada del nou compte -r, --system crea un compte d'el sistema -R, --root chroot_dir directory to chroot into -s, --shell cONSOLA consola d'accés del nou compte -u, --uid UID identificador de l'usuari del nou compte -U, --user-group creaun grup amb el mateix nom que l'usuari -Z, --selinux-user USUARIO_SE utilitza l'usuari indicat per a l'usuari de SELinux

[Root @ linuxbox ~] # userdel -h # Esborra el compte d'un usuari i arxius relacionats
Mode d'ús: userdel [opcions] USUARI Opcions: -f, --force force some actions that would fail otherwise ig removal of user still logged in or files, even if not owned by the user -h, --help mostra aquest missatge d'ajuda i acaba -r, --remove elimina el directori personal i la bústia de correu -R, --root chroot_dir directory to chroot into -Z, --selinux-user remove any SELinux user mapping for the user

[Root @ linuxbox ~] # userMod -h # Modifica un compte d'usuari
Mode d'ús: usermod [opcions] USUARI Opcions: -c, --comment COMENTARI nou valor de camp GECOSE -d, --home DIR_PERSONAL nou directori personal de l'usuari -i, --expiredate FECHA_EXPIR estableix la data de caducitat de la compte a FECHA_EXPIR -f, --inactive INACTIU estableix el temps d'inactivitat després que caduqui el compte a INACTIU -g, --gid GRUP força l'ús de GRUP per a la nova compte d'usuari -G, --groups GRUPS llista de grups suplementaris -a, --append append the user to the Supplemental gROUPS mentioned by the -G option without Removing him / her from other groups -h, --help mostra aquest missatge d'ajuda i acaba -l, --login NOM nou nom per a l'usuari -L, --lock bloqueja el compte d'usuari -m, --move-home mou els continguts de directori personal a directori nou (usar només juntament amb -d) -o, --non-unique permet usar UID duplicats (no únics) -p, --password cONTRASENYA fer servir la contrasenya xifrada per a la nova compte -R, --root CHR OOT_DIR directory to chroot into -s, --shell CONSOLA nova consola d'accés per compte de l'usuari -u, --uid UID força l'ús de l'UID per a la nova compte d'usuari -U, --unlock desbloqueja el compte d'usuari -Z, --selinux-user SEUSER new SELinux user mapping for the user account

Comandaments en Debian

Debian estableix la diferència entre useradd y adduser. Recomana que els administradors de Sistemes utilitzin adduser.

root @ sysadmin: / home / Xeon # adduser -h # Afegeix un usuari a sistema
root @ sysadmin: / home / Xeon # afegir grup -h # Afegeix un grup a sistema
adduser [--home DIRECTORI] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOSE] [--ingroup GRUP | --gid ID] [--disabled-password] [--disabled-login] USUARI Afegeix un usuari normal adduser --system [--home DIRECTORI] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOSE] [--group | --ingroup GRUP | --gid ID] [--disabled-password] [--disabled-login] USUARI Afegeix un usuari de sistema adduser --group [--gid ID] GRUP addgroup [--gid ID] GRUP Afegeix un grup d'usuaris addgroup --system [--gid ID] gRUP Afegeix un grup de sistema adduser uSUARI gRUP Afegeix un usuari existent a un grup existent opcions generals: --quiet | -q no a informació d 'el procés en la sortida estàndard --force-badname permetre noms d'usuaris que no coincideixin amb la variable de configuració NAME_REGEX --help | -h missatge d'ús --version | -v nombre de versió i copyright --conf | -c FITXER usa FITXER com a fitxer de configuració

root @ sysadmin: / home / Xeon # deluser -h # Elimina un usuari normal de sistema
root @ sysadmin: / home / Xeon # delgroup -h # Elimina un grup normal de sistema
deluser USUARI elimina un usuari normal de sistema exemple: deluser miguel --remove-home elimina el directori personal de l'usuari i la cua de correu. --remove-all-files elimina tots els fitxers que pertanyen a l'usuari. --backup fa una còpia de seguretat dels fitxers abans d'esborrar. --backup-to directori destí per a les còpies de seguretat. S'utilitza el directori actual per omissió. --system només eliminar si és un usuari de el sistema. delgroup GRUP deluser --group GRUP elimina un grup de sistema exemple: deluser --group estudiants --system només eliminar si és un grup de el sistema. --only-if-empty només eliminar si no tenen més membres. deluser USUARI GRUP elimina a l'usuari de el grup exemple: deluser miguel estudiants opcions generals: --quiet | -q no donar informació de procés en la sortida estàndard --help | -h missatge d'ús --version | -v nombre de versió i copyright --conf | -c FITXER usa FITXER com a fitxer de configuració

polítiques

Hi ha dos tipus de polítiques que hem de considerar a l'crear comptes d'usuaris:

  • Polítiques de Comptes d'Usuaris
  • Polítiques d'envelliment de les contrasenyes

Polítiques de Comptes d'Usuaris

A la pràctica, els components fonamentals que identifiquen un compte d'usuari són:

  • Nom del compte de l'usuari - user INICI DE SESSIÓ, Que no el nom i els cognoms.
  • Aneu de l'usuari - UID.
  • Grup principal a el qual pertany - GID.
  • clau - contrasenya.
  • permisos d'accés - permisos d'accés.

Els principals factors a considerar durant la creació d'un compte d'usuaris són:

  • La magnitud de temps durant el qual l'usuari tindrà accés a el sistema d'arxius i recursos.
  • La magnitud de temps en què l'usuari ha de canviar la contrasenya -de forma periòdicament per raons de seguretat.
  • La magnitud de temps que l'inici de sessió -login- romandrà actiu.

A més, a l'assignar a un usuari el seu UID y contrasenya, Hem de tenir en compte que:

  • El valor sencer UID ha de ser únic i no negatiu.
  • El contrasenya ha de tenir una adequada longitud i complexitat, de manera que sigui difícil desxifrar-la.

Polítiques d'envelliment de contrasenyes

En un sistema Linux, el contrasenya d'un usuari no té assignat un temps de termini per defecte. Si utilitzem les polítiques d'envelliment de les contrasenyes, podem canviar el comportament per defecte i a l'crear usuaris s'han de tenir en compte les polítiques definides.

A la pràctica, són dos els factors a considerar quan establim l'edat d'una contrasenya:

  • Seguretat.
  • Conveniència de l'usuari.

Una contrasenya és mes segura mentre mes curt sigui el seu període d'expiració. Es corre menys risc que es filtri a altres usuaris.

Per establir les polítiques d'envelliment de les contrasenyes, podem utilitzar la comanda Chagas:

[Root @ linuxbox ~] # Chagas
Mode d'ús: Chagas [opcions] USUARI Opcions: -d, --lastday ÚLTIMO_DÍA estableix el dia de l'últim canvi de la contrasenya a ÚLTIMO_DÍA -E, --expiredate FECHA_CAD estableix la data de caducitat a FECHA_CAD -h, --help mostra aquest missatge d'ajuda i acaba -I, --inactive INACTIVA desactiva el compte després de INACTIVA dies de la data de caducitat -l, --list mostra la informació de l'edat del compte -m, --mindays DÍAS_MIN estableix el nombre mínim de dies abans de canviar la contrasenya a DÍAS_MIN -M, --maxdays DÍAS_MAX estableix el nombre màxim de dies abans de canviar la contrasenya a DÍAS_MAX -R, --root chroot_dir directory to chroot into -W, --warndays DÍAS_AVISO estableix els dies d'avís d'expiració a DÍAS_AVISO

En l'article anterior vam crear diversos usuaris com a exemple. Si volem saber els valors de l'edat del compte de l'usuari amb INICI DE SESSIÓ Galadriel:

[Root @ linuxbox ~] # Chagas --list Galadriel
Últim canvi de contrasenya: abr 21, 2017 La contrasenya caduca: mai Contrasenya inactiva: mai El compte caduca: mai Nombre de dies mínim entre canvi de contrasenya: 0 Nombre de dies màxim entre canvi de contrasenya: 99999 Nombre de dies d'avís abans de que caduqui la contrasenya: 7

Aquests van ser els valors per defecte que el sistema tenia quan vam crear el compte d'usuari mitjançant la utilitat gràfica d'administració de «Usuaris i grups»:

Per canviar els valors per defecte de l'envelliment de les contrasenyes, es recomana editar l'arxiu /etc/login.defs y modificar la quantitat mínima de valors que necessitem. En aquest arxiu només canviarem els valors següents:

# Password aging controls: # # PASS_MAX_DAYS Maximum number of days a password may be used. # PASS_MIN_DAYS Minimum number of days allowed between password changes. # PASS_MIN_LEN Minimum acceptable password length. # PASS_WARN_AGE Number of days revisió de resultats given before a password expires. # PASS_MAX_DAYS 99999 #! Mes de 273 anys! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE juliol

pels valors que vam escollir d'acord al nostre criteri i necessitats:

PASS_MAX_DAYS 42 # 42 dies continus que es pot fer servir el contrasenya
PASS_MIN_DAYS 0 # la contrasenya es pot canviar en qualsevol moment PASS_MIN_LEN 8 # longitud mínima de la contrasenya PASS_WARN_AGE 7 # Quantitat de dies en què el sistema et adverteix que # has de canviar la contrasenya abans que expiri.

La resta de l'arxiu ho deixem tal com estava i recomanem no canviar altres paràmetres fins que no sapiguem bé que estem fent.

Els nous valors es prendran en compte quan creiem nous usuaris. Si canviem la contrasenya d'un usuari ja creat, s'ha de respectar el valor de la longitud mínima de la contrasenya. Si utilitzem la comanda passwd en comptes de la utilitat gràfica i escrivim que la contrasenya serà «legoles17«, El sistema es queixa a l'igual que l'eina gràfica« Usuaris i grups »i ens respon que«D'alguna manera, a la contrasenya es llegeix el nom de l'usuari»Tot i que a la fi accepti aquesta feble contrasenya.

[Root @ linuxbox ~] # passwd legolas
Canviant la contrasenya de l'usuari legolas. Nova contrasenya: arquer               # Té menys de 7 caràcters
CONTRASENYA INCORRECTA: La contrasenya té menys de 8 caràcters Torneu a escriure la nova contrasenya: legoles17
Les contrasenyes no coincideixen.               # Lògic no?
Nova contrasenya: legoles17
CONTRASENYA INCORRECTA: D'alguna manera, a la contrasenya es llegeix el nom de l'usuari Torneu a escriure la nova contrasenya: legoles17
passwd: tots els símbols d'autenticació es van actualitzar amb èxit.

Incorrem en «la debilitat» de declarar una contrasenya que inclou el INICI DE SESSIÓ de l'usuari. Aquesta és una pràctica no recomanada. El correcte seria:

[Root @ linuxbox ~] # passwd legolas
Canviant la contrasenya de l'usuari legolas. Nova contrasenya: AltsMontes01
Torneu a escriure la nova contrasenya: AltsMontes01
passwd: tots els símbols d'autenticació es van actualitzar amb èxit.

Per canviar els valors d'expiració de l' contrasenya de Galadriel, Fem ús de la comanda Chagas, i només hem de canviar el valor de PASS_MAX_DAYS de 99999-42:

[Root @ linuxbox ~] # Chagas -M 42 Galadriel
[Root @ linuxbox ~] # Chagas -l Galadriel
Últim canvi de contrasenya: abr 21, 2017 La contrasenya caduca: 02 juny 2017 Clau inactiva: mai El compte caduca: mai Nombre de dies mínim entre canvi de contrasenya: 0 Nombre de dies màxim entre canvi de contrasenya: 42
Nombre de dies d'avís abans que caduqui la contrasenya: 7

I així successivament, podem canviar les contrasenyes dels usuaris ja creats i els seus valors d'expiració de forma manual, mitjançant l'eina gràfica «Usuaris i grups», o mitjançant un guió - script que automatitzi part de la feina que no sigui interactiu.

  • D'aquesta manera, si creem els usuaris locals de el sistema de manera no recomanada per les pràctiques més comunes pel que fa a la seguretat, podem canviar aquest comportament abans de continuar implementant més serveis basats en PAM.

Si creem l'usuari Anduin amb INICI DE SESSIÓ «Anduin»I contrasenya«ElPassword»Obtindrem el següent resultat:

[Root @ linuxbox ~] # useradd Anduin
[Root @ linuxbox ~] # passwd Anduin
Canviant la contrasenya de l'usuari Anduin. Nova contrasenya: ElPassword
CONTRASENYA INCORRECTA: La contrasenya no supera la verificació de diccionari - Està basada en una paraula de diccionari. Torneu a escriure la nova contrasenya: ElPassword
passwd: tots els símbols d'autenticació es van actualitzar amb èxit.

O sigui, que el sistema és prou creatiu per indicar-nos les debilitats d'un password.

[Root @ linuxbox ~] # passwd Anduin
Canviant la contrasenya de l'usuari Anduin. Nova contrasenya: AltsMontes02
Torneu a escriure la nova contrasenya: AltsMontes02
passwd: tots els símbols d'autenticació es van actualitzar amb èxit.

Resum sobre les Polítiques

  • És evident que la política de complexitat de les contrasenyes, així com la d'una longitud mínima de 5 caràcters, està habilitada per defecte en CentOS. A Debian, la comprovació de la complexitat funciona per la majoria de gent quan aquests tracten de canviar la contrasenya invocant la comanda passwd. Per a l'usuari root, No hi ha limitacions per defecte.
  • És important conèixer les diferents opcions que podem declarar a l'arxiu /etc/login.defs mitjançant la comanda home login.defs.
  • També, revisar el contingut dels arxius / Etc / default / useradd, Ia més en Debian /etc/adduser.conf.

Usuaris i Grups de el Sistema

En el procés d'instal·lació de sistema operatiu es creen tot un seguit d'usuaris i grups que, una literatura denomina Usuaris Estàndards i una altra Usuaris de el Sistema. Nosaltres preferim anomenar Usuaris i Grups de el Sistema.

Com a regla, els usuaris de sistema tenen un UID <1000 i els seus comptes s'utilitzen per diferents aplicacions de sistema operatiu. Per exemple, el compte d'usuari «calamar»És utilitzada pel programa Squid, mentre que el compte« lp »s'utilitza per al procés d'impressió des editors de paraules o de text.

Si volem llistar a aquests usuaris i grups, ho podem fer mitjançant les ordres:

[Root @ linuxbox ~] # cat / etc / passwd
[Root @ linuxbox ~] # cat / etc / group

Per res és recomanable modificar als usuaris i grups d'sistema. 😉

Per la seva importància, repetim que en CentOS, FreeBSD, I altres sistemes operatius, es crea el grup -del sistema- roda per permetre l'accés de root només als usuaris de sistema que pertanyin a aquest grup. Llegiu /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html i /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian no incorpora un grup roda.

Gestionant els comptes d'usuaris i grups

La millor manera d'aprendre a gestionar els comptes d'usuaris i de grups és:

  • Practicant l'ús dels comandaments llistats anteriorment, preferentment en una màquina virtual i abans d'utilitzar eines gràfiques.
  • Consultant els manuals o pàgines d'home de cada comanda abans de cercar qualsevol altra informació a Internet.

La pràctica és el millor criteri de la veritat.

Resum

Per molt, un sol article dedicat a l'Administració d'usuaris i grups locals no és suficient. Dependrà de l'interès personal en aprendre i aprofundir sobre aquest i altres temes relacionats, el grau de coneixement que adquireixi cada administrador. Passa igual que amb tots els aspectes que hem desenvolupat en la sèrie d'articles xarxes PIMES. De la mateixa manera pots gaudir d'aquesta versió en pdf aquí

propera entrega

Continuarem implementat serveis amb autenticació davant d'usuaris locals. Instal·larem, llavors, un servei de missatgeria instantània basat en el programa Prosòdia.

Fins aviat!


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   HO2GI va dir
    fa 7 anys

    Hola fic gran article et pregunto on treball es comparteix molt les impressores, el problema està en cups de vegades es penja i no poden imprimir com puc donar-los permís per reiniciar-(perquè la majoria de el temps estem treballant en altres àrees) sense donar-li la clau de root ja que l'única manera que vaig trobar és canviar-la perquè un usuari específic pugui reiniciar-lo.
    Des de ja moltes gràcies.

    Respondre a HO2GI
    1.    federico va dir
      fa 7 anys

      Salutacions HO2GI !. Per exemple, diguem que a l'usuari legoles li vols donar permís perquè només reiniciï el servei CUPS, emprant per descomptat la comanda suo, El qual ha d'estar instal·lat:
      [Root @ linuxbox ~] # visudo

      CMND àlies specification

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups restart

      Especificació de privilegis d'usuari

      root ALL = (ALL: ALL) ALL
      legolas ALL = RESTARTCUPS

      Guarda els canvis fets a l'arxiu suoers. Inicia sessió com l'usuari legoles:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid reload
      [Sudo] password for legolas:
      Sorry, user legoles no està executat '/etc/init.d/postfix reload' al root on linuxbox.desdelinux.fan.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups restart
      [Sudo] password for legolas:
      [Ok] Restarting Common Unix Printing System: cupsd.

      Em perdones si difereix l'indicador en un CentOS, perquè m'he guiat pel que acabo de fer en un Debian Wheezy. ;-). On estic ara mateix, no tinc cap CentOS a mà.

      D'altra banda, si vols afegir a altres Usuaris de el Sistema com a Administradors complets de l'CUPS -el poden malament configurar- els feixos membres de el grup lpadmin, El qual es crea a l'instal·lar CUPS.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      Respondre a federico
      1.    HO2GI va dir
        fa 7 anys

        Genial mil gràcies Fico ho prova ara mateix.

        Respondre a HO2GI
  2.   federico va dir
    fa 7 anys

    HO2GI, en CentOS / Xarxa -Hat seria:

    [Root @ linuxbox ~] # visudo

    Serveis

    Cmnd_Alias ​​RESTARTCUPS = / usr / bin / systemctl restart cups, / usr / bin / systemctl estatus cups

    Allow root to run any commands anywhere

    root ALL = (ALL) ALL
    legoles ALL = RESTARTCUPS

    Guardar els canvis

    [Root @ linuxbox ~] # exit

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    legolas @ linuxbox 's password:

    [Legolas @ linuxbox ~] $ sudo systemctl restart cups

    Confiem que hagi rebut la conferència habitual del Sistema local
    Administrator. It usually Boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [Sudo] password for legolas:
    [Legolas @ linuxbox ~] $ sudo systemctl estatus cups
    ● cups.service - CUPS Printing Service
    Loaded: loaded (/usr/lib/systemd/system/cups.service; habilitat; vendor preset: enabled)
    Active: activi (running) since mar 2017 04:25:22 EDT; 23s ago
    Main PID: 1594 (cupsd)
    CGroup: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [Legolas @ linuxbox ~] $ sudo systemctl restart squid.service
    Sorry, user legolas is not allowed to execute '/ bin / systemctl restart squid.service' es root on linuxbox.
    [Legolas @ linuxbox ~] $ exit

    Respondre a federico