Místní správa uživatelů a skupin - sítě SME

Obecný index série: Počítačové sítě pro malé a střední podniky: Úvod

Ahoj přátelé a přátelé!

Tento článek je pokračováním Ověření Squid + PAM v sítích CentOS 7- SMB.

Operační systémy UNIX / Linux nabízejí SKUTEČNÉ víceuživatelské prostředí, ve kterém mnoho uživatelů může pracovat současně na stejném systému a sdílet prostředky, jako jsou procesory, pevné disky, paměť, síťová rozhraní, zařízení vložená do systému atd.

Z tohoto důvodu jsou správci systému povinni průběžně spravovat uživatele a skupiny systému a formulovat a implementovat dobrou strategii správy.

Dále velmi stručně uvidíme obecné aspekty této důležité činnosti v Linux Systems Administration.

Někdy je lepší nabídnout Utility a poté Need.

Toto je typický příklad tohoto řádu. Nejprve ukážeme jak implementovat službu Internet Proxy se Squidem a místními uživateli. Nyní si musíme položit otázku:

• ¿jak mohu implementovat síťové služby na LAN / UNIX / Linux od místních uživatelů a pomocí přijatelné zabezpečení?.

Nezáleží na tom, že k této síti jsou připojeni také klienti Windows. Záleží pouze na tom, jaké služby síť malých a středních podniků potřebuje, a jaký je nejjednodušší a nejlevnější způsob jejich implementace.

• ¿Možná mechanismus autentizace při zrodu ARPANET, Internet a další sítě Wide Aoblast NEtwork o Loční Aoblast NEtwork iniciály byly založeny na LDAP, Adresářová službanebo v Microsoft LSASSnebo v Active Directorynebo Kerberos?, zmíním jen několik.

Dobrá otázka, na kterou by měl každý hledat své odpovědi. Zvu vás k hledání výrazu «ověření pravosti»Na Wikipedii v angličtině, která je zdaleka nejúplnější a nejkoherentnější, pokud jde o původní obsah - v angličtině -.

Podle historie již zhruba, první byl Ověřování y Oprávnění místní, po NIS Síťový informační systém vyvinutý společností Sun Microsystem a také známý jako Zlaté stránky o ypa pak LDAP Protokol pro přístup k adresáři s lehkým obsahem.

Co takhle "Přijatelné zabezpečení»Přijde, protože se mnohokrát obáváme o bezpečnost naší místní sítě, zatímco přistupujeme k Facebooku, Gmailu, Yahoo atd. - abychom zmínili jen několik - a v nich poskytujeme naše soukromí. A podívejte se na velké množství článků a dokumentů, které se týkají Žádné soukromí na internetu existují

Poznámka k CentOS a Debian

CentOS / Red Hat a Debian mají vlastní filozofii, jak implementovat zabezpečení, která se zásadně neliší. Potvrzujeme však, že oba jsou velmi stabilní, bezpečné a spolehlivé. Například v CentOS je kontext SELinux ve výchozím nastavení povolen. V Debianu musíme balíček nainstalovat selinux-základy, což naznačuje, že můžeme použít i SELinux.

V CentOS, FreeBSDa dalších operačních systémech je vytvořena skupina -systém kolo umožnit přístup jako kořen pouze uživatelům systému patřícím do této skupiny. Číst /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlA /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian nezahrnuje skupinu kolo.

Hlavní soubory a příkazy

záznamy

Hlavní soubory související se správou místních uživatelů v operačním systému Linux jsou:

CentOS a Debian

• / etc / passwd: informace o uživatelském účtu.
• / etc / shadow- Informace o zabezpečení uživatelského účtu.
• / etc / group: informace o skupinovém účtu.
• / etc / gshadow- Bezpečnostní informace pro skupinové účty.
• / etc / default / useradd: výchozí hodnoty pro vytvoření účtu.
• / etc / skel /: adresář, který obsahuje výchozí soubory, které budou zahrnuty do adresáře HOME nového uživatele.
• /etc/login.defs- Konfigurační sada pro zabezpečení heslem.

Debian

• /etc/adduser.conf: výchozí hodnoty pro vytvoření účtu.

Příkazy pro CentOS a Debian

[root @ linuxbox ~] # chpasswd -h # Aktualizujte hesla v dávkovém režimu
Jak používat: chpasswd [možnosti] Možnosti: -c, --crypt-method METODA kryptovací metoda (jedna z ŽÁDNÝCH DES MD5 SHA256 SHA512) -e, --šifrovaná zadaná hesla jsou šifrovaná -h, --help ukazuje toto pomozte vyzvat a ukončit -m, --md5 zašifruje heslo jasně pomocí algoritmu MD5 -R, --root CHROOT_DIR adresář na chroot do -s, --sha-rounds počet SHA kol pro šifrovací algoritmy SHA * # várka- Provádět příkazy, pokud to zatížení systému umožňuje. Jinými slovy # když průměrná zátěž klesne pod 0.8 nebo hodnota zadaná vyvoláním # příkazu atd. Více informací muž šarže.

[root @ linuxbox ~] # gpasswd -h # Deklarovat administrátory v / etc / group a / etc / gshadow
Jak používat: gpasswd [možnosti] Možnosti SKUPINY: -a, --add UŽIVATEL přidá UŽIVATELE do SKUPINY -d, --delete UŽIVATEL odebere UŽIVATELE ze SKUPINY -h, --help zobrazí tuto nápovědu a skončí -Q, - - kořenový adresář CHROOT_DIR do kořenového adresáře do -r, --delete-heslo odebrat heslo SKUPINY -R, --restrict omezuje přístup ke SKUPINĚ svým členům -M, --muži USER, ... nastaví seznam členů SKUPINY - A, --administrators ADMIN, ... nastavuje seznam správců SKUPINY Kromě možností -A a -M nelze tyto možnosti kombinovat.

[root @ linuxbox ~] # groupadd -h    # Vytvořte novou skupinu
Jak používat: groupadd [možnosti] Možnosti SKUPINY: -f, --force ukončit, pokud skupina již existuje, a zrušit -g, pokud je již použit GID -g, --gid GID použít GID pro novou skupinu - h, - help zobrazí tuto nápovědu a končí -K, --key KEY = VALUE přepíše výchozí hodnoty "/etc/login.defs" -o, --non-unique umožňuje vytvářet skupiny s GID (ne jedinečné) duplikáty -p, --password HESLO použijte toto šifrované heslo pro novou skupinu -r, --systém vytvoří systémový účet -R, --root CHROOT_DIR adresář, do kterého se má

[root @ linuxbox ~] # skupina del -h # Odstranit existující skupinu
Jak používat: groupdel [volby] Možnosti SKUPINY: -h, --help zobrazí tuto nápovědu a ukončí -R, --root CHROOT_DIR adresář, do kterého se má spustit

[root @ linuxbox ~] # skupinové memy -h # Deklarovat administrátory v primární skupině uživatele
Jak používat: groupmems [options] [action] Options: -g, --group GROUP změnit název skupiny namísto skupiny uživatele (může provést pouze administrátor) -R, --root CHROOT_DIR adresář na chroot do Akce: -a, --add USER přidá uživatele USER ke členům skupiny -d, --delete USER odebere uživatele USER ze seznamu členů skupiny -h, --help zobrazí tuto nápovědu a ukončí -p, - vymazat vymazat všechny členy skupiny l, --list vypíše členy skupiny

[root @ linuxbox ~] # skupinový -h # Upravit definici skupiny
Jak používat: groupmod [možnosti] Možnosti SKUPINY: -g, --gid GID změní identifikátor skupiny na GID -h, --help zobrazí tuto nápovědu a skončí -n, --new-name NEW_Group změní název a NEW_GROUP -o, --non-unique umožňuje použít duplicitní GID (ne jedinečný) -p, --password PASSWORD změní heslo na PASSWORD (šifrované) -R, --root CHROOT_DIR adresář do chroot do

[root @ linuxbox ~] # grpck -h # Zkontrolujte integritu skupinového souboru
Jak používat: grpck [možnosti] [skupina [gshadow]] Možnosti: -h, --help zobrazit tuto nápovědu a ukončit -r, - pouze číst chyby a varování, ale neměnit soubory -R, - - kořenový adresář CHROOT_DIR do kořenového adresáře do -s, --třídit položky řazení podle UID

[root @ linuxbox ~] # grpconv
# Přidružené příkazy: pwconv, pwunconv, grpconv, grpunconv
# Slouží k převodu do az stínových hesel a skupin
# Čtyři příkazy pracují se soubory / etc / passwd, / etc / group, / etc / shadow, 
# a / etc / gshadow. Pro více informací muž grpconv.

[root @ linuxbox ~] # sg -h # Provede příkaz s jiným ID skupiny nebo GID
Jak používat: sg group [[-c] objednávka]

[root @ linuxbox ~] # newgrp -h # Změní aktuální GID během přihlášení
Jak používat: newgrp [-] [skupina]

[root @ linuxbox ~] # noví uživatelé -h # Aktualizace a vytvoření nových uživatelů v dávkovém režimu
Režim použití: noví uživatelé [možnosti] Možnosti: -c, - kryptovací metoda METODA kryptová metoda (jedna z ŽÁDNÝCH DES MD5 SHA256 SHA512) -h, --help zobrazí tuto nápovědu a ukončí -r, --systém vytvoří systém accounts -R, --root CHROOT_DIR adresář na chroot do -s, --sha-rounds počet kol SHA pro šifrovací algoritmy SHA *

[root @ linuxbox ~] # pwck -h # Zkontrolujte integritu souborů hesel
Jak používat: pwck [možnosti] [passwd [stín]] Možnosti: -h, --help zobrazit tuto nápovědu a ukončit -q, --quiet report errors only -r, --read-only zobrazit chyby a varování, ale neměňte soubory -R, --root CHROOT_DIR adresář na chroot do -s, --třídit položky řazení podle UID

[root @ linuxbox ~] # useradd -h # Vytvořit nového uživatele nebo aktualizovat výchozí # informace o novém uživateli
Jak používat: useradd [možnosti] USER useradd -D useradd -D [možnosti] Možnosti: -b, --base-dir BAS_DIR základní adresář pro domovský adresář nového účtu -c, --comment KOMENTÁŘ pole GECOS nový účet -d, --home-dir PERSONAL_DIR domovský adresář nového účtu -D, --defaults vytiskne nebo změní výchozí nastavení useradd -e, --expiredate EXPIRY_DATE datum vypršení platnosti nového účtu -f, - neaktivní Neaktivní období nečinnosti hesla nového účtu
skupina
  -g, --gid Název skupiny nebo identifikátor primární skupiny nového účtu -G, --skupiny SKUPINY seznam doplňkových skupin nového účtu -h, --help zobrazí tuto nápovědu a končí -k, - skel DIR_SKEL používá tento alternativní adresář "skelet" -K, --key KEY = VALUE přepíše výchozí hodnoty "/etc/login.defs" -l, --no-log-init nepřidá uživatele do databází z lastlog a faillog -m, --create-home vytvoří domovský adresář uživatele -M, --no-create-home nevytvoří domovský adresář uživatele -N, --no-user-group nevytvoří skupina se stejným jménem jako uživatel -o, --non-unique umožňuje vytvářet uživatele s duplicitními (nejedinečnými) identifikátory (UID) -p, --password HESLO zašifrované heslo nového účtu -r, --systém vytváří účet systému -R, --root adresář CHROOT_DIR do kořenového adresáře do -s, --shell CONSOLE přístup konzoly nového účtu -u, --uid UID identifikátor uživatele nového účtu -U, --user-group vytvořitskupina se stejným názvem jako uživatel -Z, --selinux-uživatel USER_SE použije zadaného uživatele pro uživatele SELinux

[root @ linuxbox ~] # uživatel del -h # Odstraní uživatelský účet a související soubory
Režim použití: userdel [možnosti] UŽIVATEL Možnosti: -f, - vynutit některé akce, které by jinak selhaly, např. Odebrání stále přihlášeného uživatele nebo souborů, i když nejsou ve vlastnictví uživatele -h, --help zobrazí tuto zprávu Nápověda a dokončit -r, --odstranit odebrání domovského adresáře a poštovní schránky -R, --root adresář CHROOT_DIR do chrootu do -Z, --selinux-user odebrat libovolné mapování uživatelů SELinux pro uživatele

[root @ linuxbox ~] # usermod -h # Upravit uživatelský účet
Jak používat: usermod [možnosti] UŽIVATEL Možnosti: -c, --comment KOMENTÁŘ nová hodnota pole GECOS -d, --home PERSONAL_DIR nový osobní adresář nového uživatele -e, --expiredate EXPIRED_DATE nastavuje datum vypršení platnosti účet do EXPIRED_DATE -f, --naktivní Neaktivní nastaví dobu nečinnosti po vypršení platnosti účtu na Neaktivní -g, --gid GROUP vynutí použití GROUP pro nový uživatelský účet -G, --grupy SKUPINOVÝ seznam doplňkové skupiny -a, --append připojí uživatele k doplňkovým SKUPINÁM zmíněným volbou -G, aniž by jej odstranil z jiných skupin -h, --help zobrazí tuto nápovědu a ukončí -l, - znovu se přihlásit JMÉNO jméno uživatele -L, --lock uzamkne uživatelský účet -m, --move-home přesune obsah domovského adresáře do nového adresáře (použít pouze ve spojení s -d) -o, --non-unique umožňuje použít Duplicitní (nejedinečné) UID -p, --heslo HESLO použít šifrované heslo pro nový účet -R, --root CHR Adresář OOT_DIR do chrootu do -s, --shell CONSOLE nová přístupová konzole pro uživatelský účet -u, --uid UID vynutí použití UID pro nový uživatelský účet -U, --unlock odemkne uživatelský účet -Z, --selinux-user SEUSER nové mapování uživatelů SELinux pro uživatelský účet

Příkazy v Debianu

Debian rozlišuje mezi useradd y přidat uživatele. Doporučuje používat správci systému přidat uživatele.

root @ sysadmin: / home / xeon # přidat uživatele -h # Přidat uživatele do systému
root @ sysadmin: / home / xeon # přidat skupinu -h # Přidat skupinu do systému
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup SKUPINA | --gid ID] [--zakázané-heslo] [--zakázané-přihlášení] UŽIVATEL Přidat běžného uživatele adduser --systém [--home ADRESÁŘ] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--skupina | --skupinová skupina | --gid ID] [--disabled-password] [--disabled-login] USER Přidat uživatele ze systému adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP přidat skupinu uživatelů addgroup --system [--gid ID] SKUPINA Přidat skupinu ze systému adduser SKUPINA UŽIVATELE Přidat existujícího uživatele do existující skupiny obecné možnosti: --quiet | -q nezobrazovat informace o procesu na standardním výstupu --force-badname povolit uživatelská jména, která neodpovídají konfigurační proměnné NAME_REGEX --help | -h zpráva o použití --verze | -v číslo verze a autorská práva --conf | -c SOUBOR použije SOUBOR jako konfigurační soubor

root @ sysadmin: / home / xeon # deluser -h # Odeberte běžného uživatele ze systému
root @ sysadmin: / home / xeon # skupina -h # Odebere normální skupinu ze systému
deluser USER odebere běžného uživatele z příkladu systému: deluser miguel --remove-home odstraní domovský adresář uživatele a poštovní frontu. --remove-all-files odstraní všechny soubory vlastněné uživatelem. --backup zálohuje soubory před odstraněním. --zálohování cílový adresář pro zálohy. Ve výchozím nastavení se používá aktuální adresář. --systém odstraňte, pouze pokud jste uživatelem systému. delgroup GROUP deluser --group GROUP odstraní skupinu ze systému příklad: deluser --group students - systém odebrat pouze v případě, že se jedná o skupinu ze systému. --on-if-empty pouze odstranit, pokud nemají více členů. deluser USER GROUP odebere uživatele z příkladu skupiny: deluser miguel students obecné možnosti: --quiet | -q neposkytuje informace o procesu na stdout --help | -h zpráva o použití --verze | -v číslo verze a autorská práva --conf | -c SOUBOR použije SOUBOR jako konfigurační soubor

Politiky

Při vytváření uživatelských účtů musíme vzít v úvahu dva typy zásad:

• Zásady uživatelských účtů
• Zásady stárnutí hesel

Zásady uživatelských účtů

V praxi jsou to základní komponenty, které identifikují uživatelský účet:

• Název uživatelského účtu - uživatel PŘIHLÁŠENÍ, nikoli jméno a příjmení.
• Uživatelské ID - UID.
• Hlavní skupina, do které patří - GID.
• Heslo - heslo.
• Přístupová povolení - přístupová oprávnění.

Při vytváření uživatelského účtu je třeba vzít v úvahu tyto hlavní faktory:

• Doba, po kterou bude mít uživatel přístup k systému souborů a prostředkům.
• Doba, po kterou musí uživatel z bezpečnostních důvodů pravidelně měnit své heslo.
• Doba, po kterou přihlášení - přihlášení - zůstane aktivní.

Dále při přiřazování uživatele jeho UID y heslo, musíme vzít v úvahu, že:

• Celočíselná hodnota UID musí to být jedinečné a ne negativní.
• El heslo musí být přiměřené délky a složitosti, aby bylo obtížné je dešifrovat.

Zásady stárnutí hesel

V systému Linux heslo uživateli není přiřazena výchozí doba vypršení platnosti. Pokud používáme zásady stárnutí hesel, můžeme změnit výchozí chování a při vytváření uživatelů budou zohledněny definované zásady.

V praxi je třeba při nastavování stáří hesla vzít v úvahu dva faktory:

• Zabezpečení
• Pohodlí uživatele.

Čím kratší je doba platnosti hesla, tím je bezpečnější. Existuje menší riziko jeho úniku ostatním uživatelům.

K nastavení zásad stárnutí hesla můžeme použít příkaz Chage:

[root @ linuxbox ~] # chage
Režim použití: chage [možnosti] Možnosti UŽIVATELE: -d, --poslední LAST_DAY nastaví den poslední změny hesla na LAST_DAY -E, --expiredate CAD_DATE nastaví datum vypršení platnosti na CAD_DATE -h, --help zobrazí tuto nápovědu a končí -I, - neaktivní Neaktivní deaktivuje účet po Neaktivních dnech od data vypršení platnosti -l, --list zobrazuje informace o věku účtu -m, --mindays MINDAYS nastavuje počet minimálních dnů před změnou hesla na MIN_DAYS -M, --maxdays MAX_DAYS nastavuje maximální počet dní před změnou hesla na MAX_DAYS -R, --root CHROOT_DIR adresář na chroot na -W, --warndays WARNING_DAYS nastavuje dny vypršení platnosti na DAYS_NOTICE

V předchozím článku jsme jako příklad vytvořili několik uživatelů. Pokud chceme znát věkové hodnoty účtu uživatele s PŘIHLÁŠENÍ Galadriel:

[root @ linuxbox ~] # chage --list galadriel
Poslední změna hesla: 21. dubna 2017 Platnost hesla vyprší: nikdy Neaktivní heslo: nikdy Platnost účtu vyprší: nikdy Minimální počet dní mezi změnou hesla: 0 Maximální počet dní mezi změnou hesla: 99999 Počet dnů upozornění před vypršením platnosti hesla: 7

Jednalo se o výchozí hodnoty, které měl systém, když jsme vytvořili uživatelský účet pomocí grafického obslužného programu „Uživatelé a skupiny“:

Chcete-li změnit výchozí nastavení stárnutí hesla, doporučujeme soubor upravit /etc/login.defs y upravit minimální množství hodnot, které potřebujeme. V tomto souboru změníme pouze následující hodnoty:

# Ovládací prvky stárnutí hesla: # # PASS_MAX_DAYS Maximální počet dní, po které může být heslo použito. # PASS_MIN_DAYS Minimální povolený počet dní mezi změnami hesla. # PASS_MIN_LEN Minimální přijatelná délka hesla. # PASS_WARN_AGE Počet dní varování před vypršením platnosti hesla. # PASS_MAX_DAYS 99999 #! Více než 273 let! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

pro hodnoty, které jsme vybrali podle našich kritérií a potřeb:

PASS_MAX_DAYS 42 # 42 nepřetržitých dnů, kdy můžete používat heslo
PASS_MIN_DAYS 0 # heslo lze kdykoli změnit PASS_MIN_LEN 8 # minimální délka hesla PASS_WARN_AGE 7 # Počet dní, kdy vás systém upozorní, # změnit heslo před vypršením platnosti.

Zbytek souboru necháme tak, jak byl, a doporučujeme neměnit další parametry, dokud nebudeme dobře vědět, co děláme.

Nové hodnoty budou brány v úvahu při vytváření nových uživatelů. Změníme-li heslo již vytvořeného uživatele, bude respektována hodnota minimální délky hesla. Pokud použijeme příkaz passwd místo grafického nástroje napíšeme, že heslo bude «legolas17«, Systém si stěžuje jako grafický nástroj« Uživatelé a skupiny »a odpovídá, že«Nějak heslo přečte uživatelské jméno»Ačkoli nakonec slabé heslo přijímám.

[root @ linuxbox ~] # passwd legolas
Změna hesla uživatele legolas. Nové heslo: lukostřelec               # má méně než 7 znaků
NESPRÁVNÉ HESLO: Heslo má méně než 8 znaků. Znovu zadejte nové heslo: legolas17
Hesla se neshodují.               # Logické, že?
Nové heslo: legolas17
NESPRÁVNÉ HESLO: Nějakým způsobem heslo přečte jméno uživatele. Zadejte nové heslo znovu: legolas17
heslo: všechny ověřovací tokeny byly úspěšně aktualizovány.

Vzniká nám „slabost“ deklarace hesla, které obsahuje PŘIHLÁŠENÍ uživatel. To je nedoporučený postup. Správný způsob by byl:

[root @ linuxbox ~] # passwd legolas
Změna hesla uživatele legolas. Nové heslo: vysoké hory 01
Zadejte nové heslo znovu: vysoké hory 01
heslo: všechny ověřovací tokeny byly úspěšně aktualizovány.

Chcete-li změnit hodnoty vypršení platnosti heslo de Galadriel, použijeme příkaz chage a musíme pouze změnit hodnotu PASS_MAX_DAYS od 99999 do 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Poslední změna hesla: 21. dubna 2017 Platnost hesla vyprší: 02. června 2017 Neaktivní heslo: nikdy Platnost účtu vyprší: nikdy Minimální počet dní mezi změnou hesla: 0 Maximální počet dní mezi změnou hesla: 42
Počet dní před vypršením platnosti hesla: 7

A tak dále můžeme měnit hesla již vytvořených uživatelů a jejich hodnoty vypršení platnosti ručně, pomocí grafického nástroje «Uživatelé a skupiny» nebo pomocí skriptu - skript který automatizuje některé neinteraktivní práce.

• Tímto způsobem, pokud vytvoříme lokální uživatele systému způsobem, který nedoporučují nejběžnější postupy týkající se zabezpečení, můžeme toto chování změnit, než budeme pokračovat v implementaci více služeb založených na PAM..

Pokud vytvoříme uživatele anduin s PŘIHLÁŠENÍ «anduin»A heslo«Heslo»Získáme následující výsledek:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Změna hesla uživatele anduin. Nové heslo: Heslo
NESPRÁVNÉ HESLO: Heslo neprochází ověřením slovníku - je založeno na slově ve slovníku. Zadejte nové heslo znovu: Heslo
passwd - všechny ověřovací tokeny byly úspěšně aktualizovány.

Jinými slovy, systém je dostatečně kreativní, aby naznačil slabiny hesla.

[root @ linuxbox ~] # passwd anduin
Změna hesla uživatele anduin. Nové heslo: vysoké hory 02
Zadejte nové heslo znovu: vysoké hory 02
passwd - všechny ověřovací tokeny byly úspěšně aktualizovány.

Shrnutí zásad

• Je jasné, že zásady složitosti hesel a minimální délka 5 znaků jsou ve výchozím nastavení v CentOS povoleny. V Debianu funguje kontrola složitosti u normálních uživatelů, když se pokusí změnit své heslo vyvoláním příkazu passwd. Pro uživatele kořen, neexistují žádná výchozí omezení.
• Je důležité znát různé možnosti, které můžeme v souboru deklarovat /etc/login.defs pomocí příkazu muž přihlášení.defs.
• Zkontrolujte také obsah souborů / etc / default / useradda také v Debianu /etc/adduser.conf.

Uživatelé a skupiny systému

V procesu instalace operačního systému je vytvořena celá řada uživatelů a skupin, které jedna literatura nazývá Standard Users a další System Users. Raději jim říkáme Systémoví uživatelé a skupiny.

Uživatelé systému mají zpravidla a UID <1000 a vaše účty jsou používány různými aplikacemi operačního systému. Například uživatelský účet «kalmar»Používá jej program Squid, zatímco účet« lp »se používá pro proces tisku z textových nebo textových editorů.

Pokud chceme tyto uživatele a skupiny vypsat, můžeme to udělat pomocí příkazů:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # cat / etc / group

Vůbec se nedoporučuje měnit uživatele a skupiny systému. 😉

Vzhledem ke své důležitosti opakujeme, že v CentOS FreeBSDa dalších operačních systémech je vytvořena skupina -systém kolo umožnit přístup jako kořen pouze uživatelům systému patřícím do této skupiny. Číst /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlA /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian nezahrnuje skupinu kolo.

Správa uživatelských a skupinových účtů

Nejlepší způsob, jak se naučit spravovat uživatelské a skupinové účty, je:

• Procvičování používání výše uvedených příkazů, nejlépe ve virtuálním stroji a před používání grafických nástrojů.
• Nahlédněte do příruček nebo man pages každého příkazu před hledáním dalších informací na internetu.

Praxe je nejlepším kritériem pravdy.

Shrnutí

Zdaleka nestačí jediný článek věnovaný správě místních uživatelů a skupin. Stupeň znalostí, které každý administrátor získá, bude záviset na osobním zájmu dozvědět se a prohloubit si toto a další související témata. Je to stejné jako u všech aspektů, které jsme vyvinuli v sérii článků Sítě pro malé a střední podniky. Stejným způsobem si můžete tuto verzi užít v pdf zde

Další dodávka

Budeme pokračovat v implementaci služeb s ověřováním proti místním uživatelům. Poté nainstalujeme službu okamžitých zpráv založenou na programu Prozódie.

Brzy se uvidíme!