Τοπική διαχείριση χρηστών και ομάδων - Δίκτυα ΜΜΕ

Γενικός δείκτης της σειράς: Δίκτυα υπολογιστών για ΜΜΕ: Εισαγωγή

Γεια σας φίλοι και φίλοι!

Αυτό το άρθρο είναι συνέχεια του Έλεγχος ταυτότητας Squid + PAM στο CentOS 7- SMB Networks.

Τα λειτουργικά συστήματα UNIX / Linux προσφέρουν ένα Πραγματικό περιβάλλον πολλαπλών χρηστών, στο οποίο πολλοί χρήστες μπορούν να εργάζονται ταυτόχρονα στο ίδιο σύστημα και να μοιράζονται πόρους όπως επεξεργαστές, σκληρούς δίσκους, μνήμη, διασυνδέσεις δικτύου, συσκευές που εισάγονται στο σύστημα και ούτω καθεξής.

Επομένως, οι Διαχειριστές συστήματος υποχρεούνται να διαχειρίζονται συνεχώς τους χρήστες και τις ομάδες του συστήματος και να διαμορφώνουν και να εφαρμόζουν μια καλή στρατηγική διαχείρισης.

Στη συνέχεια θα δούμε πολύ συνοπτικά τις γενικές πτυχές αυτής της σημαντικής δραστηριότητας στη Διαχείριση Συστημάτων Linux.

Μερικές φορές είναι καλύτερο να προσφέρετε το Utility και μετά το Need.

Αυτό είναι ένα τυπικό παράδειγμα αυτής της παραγγελίας. Πρώτα δείχνουμε πώς να εφαρμόσετε μια υπηρεσία μεσολάβησης Διαδικτύου με Squid και τοπικούς χρήστες. Τώρα πρέπει να αναρωτηθούμε:

• ¿Πώς μπορώ να εφαρμόσω υπηρεσίες δικτύωσης σε ένα UNIX / Linux LAN από τοπικούς χρήστες και με ένα αποδεκτή ασφάλεια?.

Δεν έχει σημασία ότι, επιπλέον, οι πελάτες των Windows είναι συνδεδεμένοι σε αυτό το δίκτυο. Έχει σημασία μόνο την ανάγκη για ποιες υπηρεσίες χρειάζεται το Δίκτυο ΜΜΕ και ποιος είναι ο απλούστερος και φθηνότερος τρόπος για την υλοποίησή τους.

• ¿Ίσως ο μηχανισμός ελέγχου ταυτότητας κατά τη γέννηση του ARPANET, Internet και άλλα δίκτυα Wide Area Nδικτύωση o Local Area Nδικτύωση Τα αρχικά βασίστηκαν στις LDAP, Υπηρεσία καταλόγου, ή στο Microsoft LSASS, ή στο Active Directory, ή από Kerberos?, για να αναφέρω μόνο μερικά.

Μια καλή ερώτηση που όλοι πρέπει να αναζητήσουν τις απαντήσεις τους. Σας προσκαλώ να αναζητήσετε τον όρο «πιστοποίηση»Στη Βικιπαίδεια στα Αγγλικά, η οποία είναι μακράν το πιο πλήρες και συνεκτικό όσον αφορά το πρωτότυπο περιεχόμενο - στα Αγγλικά -.

Σύμφωνα με την Ιστορία ήδη τραχύ τρόπο, το πρώτο ήταν το Έλεγχος ταυτότητας y Εξουσιοδότηση τοπικά, μετά ΝΑΚ Σύστημα πληροφοριών δικτύου αναπτύχθηκε από την Sun Microsystem και επίσης γνωστή ως Χρυσός Οδηγός o ypκαι στη συνέχεια LDAP Ελαφρύ πρωτόκολλο πρόσβασης καταλόγου.

Τι θα έλεγες "Αποδεκτή ασφάλεια»Εμφανίζεται γιατί πολλές φορές ανησυχούμε για την ασφάλεια του τοπικού μας δικτύου, ενώ έχουμε πρόσβαση στο Facebook, το Gmail, το Yahoo κ.λπ. -για να αναφέρουμε μόνο λίγα- και δίνουμε το απόρρητό μας σε αυτά. Και δείτε τον μεγάλο αριθμό άρθρων και ντοκιμαντέρ που αφορούν Δεν υπάρχει απόρρητο στο Διαδίκτυο υπάρχουν

Σημείωση για το CentOS και το Debian

Οι CentOS / Red Hat και Debian έχουν τη δική τους φιλοσοφία για το πώς να εφαρμόσουν την ασφάλεια, η οποία δεν είναι ουσιαστικά διαφορετική. Ωστόσο, επιβεβαιώνουμε ότι και τα δύο είναι πολύ σταθερά, ασφαλή και αξιόπιστα. Για παράδειγμα, στο CentOS το SELinux περιβάλλον είναι ενεργοποιημένο από προεπιλογή. Στο Debian πρέπει να εγκαταστήσουμε το πακέτο selinux-βασικά, το οποίο δείχνει ότι μπορούμε επίσης να χρησιμοποιήσουμε το SELinux.

Στο CentOS, FreeBSD, και άλλα λειτουργικά συστήματα, δημιουργείται η ομάδα -system- τροχός για να επιτρέψετε την πρόσβαση ως ρίζα μόνο σε χρήστες συστήματος που ανήκουν σε αυτήν την ομάδα. Ανάγνωση /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Και /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Το Debian δεν περιλαμβάνει ομάδα τροχός.

Κύρια αρχεία και εντολές

αρχεία

Τα κύρια αρχεία που σχετίζονται με τη διαχείριση τοπικών χρηστών σε ένα λειτουργικό σύστημα Linux είναι:

CentOS και Debian

• / etc / passwd: πληροφορίες λογαριασμού χρήστη.
• / κλπ / σκιά- Πληροφορίες ασφαλείας λογαριασμού χρήστη.
• / κλπ / ομάδα: πληροφορίες λογαριασμού ομάδας.
• / etc / gshadow- Πληροφορίες ασφαλείας για λογαριασμούς ομάδας.
• / etc / default / useradd: προεπιλεγμένες τιμές για τη δημιουργία λογαριασμών.
• / κλπ / skel /: κατάλογος που περιέχει τα προεπιλεγμένα αρχεία που θα συμπεριληφθούν στον κατάλογο HOME του νέου χρήστη.
• /etc/login.defs- Σουίτα διαμόρφωσης ασφαλείας κωδικού πρόσβασης.

Debian

• /etc/adduser.conf: προεπιλεγμένες τιμές για τη δημιουργία λογαριασμών.

Εντολές για το CentOS και το Debian

[root @ linuxbox ~] # chpasswd -h # Ενημέρωση κωδικών πρόσβασης σε παρτίδα
Τρόπος χρήσης: chpasswd [options] Επιλογές: -c, -crypt-method METHOD η μέθοδος κρυπτογράφησης (ένας από τους NONE DES MD5 SHA256 SHA512) -e, - οι κρυπτογραφημένοι κωδικοί πρόσβασης που παρέχονται είναι κρυπτογραφημένοι -h, - η βοήθεια δείχνει αυτό βοήθεια προτροπή και τερματισμός -m, --md5 κρυπτογραφεί τον κωδικό πρόσβασης σε καθαρή χρήση MD5 αλγόριθμος -R, --root CHROOT_DIR κατάλογο για chroot σε -s, - sha-γύρους αριθμό γύρων SHA για αλγόριθμους κρυπτογράφησης SHA * # σύνολο παραγωγής- Εκτελέστε εντολές όταν το επιτρέπει το φορτίο συστήματος. Με άλλα λόγια # όταν το μέσο φορτίο πέφτει κάτω από 0.8 ή η τιμή που καθορίζεται κατά την επίκληση # της εντολής atd. Περισσότερες πληροφορίες άντρας παρτίδα.

[root @ linuxbox ~] # gpasswd -ω # Δήλωση διαχειριστών στο / etc / group και / etc / gshadow
Τρόπος χρήσης: gpasswd [options] GROUP Επιλογές: -a, - add USER προσθέτει USER στην GROUP -d, --delete USER αφαιρεί το USER από την GROUP -h, --Η βοήθεια εμφανίζει αυτό το μήνυμα βοήθειας και τελειώνει -Q, - -root CHROOT_DIR κατάλογος για chroot σε -r, --delete-password αφαιρέστε τον κωδικό πρόσβασης του GROUP -R, - περιορισμός πρόσβασης στην GROUP στα μέλη του -M, --members USER, ... ορίζει τη λίστα των μελών του GROUP -A, --administrators ADMIN, ... ορίζει τη λίστα των διαχειριστών GROUP Εκτός από τις επιλογές -A και -M, οι επιλογές δεν μπορούν να συνδυαστούν.

[root @ linuxbox ~] # ομάδα -h    # Δημιουργήστε μια νέα ομάδα
Τρόπος χρήσης: groupadd [options] GROUP Επιλογές: -f, --force τερματισμός εάν υπάρχει ήδη ομάδα και ακύρωση -g εάν το GID χρησιμοποιείται ήδη -g, --gid GID χρησιμοποιήστε GID για νέα ομάδα - h, --help εμφανίζει αυτό το μήνυμα βοήθειας και τελειώνει -K, --key KEY = VALUE αντικαθιστά τις προεπιλεγμένες τιμές του "/etc/login.defs" -o, --non-unique σας επιτρέπει να δημιουργήσετε ομάδες με GID (όχι μοναδικά ) duplicates -p, --password PASSWORD χρησιμοποιήστε αυτόν τον κρυπτογραφημένο κωδικό πρόσβασης για τη νέα ομάδα -r, --system δημιουργήστε έναν λογαριασμό συστήματος -R, --root CHROOT_DIR κατάλογο για να κάνετε chroot σε

[root @ linuxbox ~] # ομάδα del -h # Διαγραφή υπάρχουσας ομάδας
Τρόπος χρήσης: groupdel [options] GROUP Options: -h, --help εμφάνιση αυτού του μηνύματος βοήθειας και τερματισμός του καταλόγου -R, --root CHROOT_DIR για chroot

[root @ linuxbox ~] # ομαδικά αντικείμενα -h # Δήλωση διαχειριστών στην κύρια ομάδα ενός χρήστη
Τρόπος χρήσης: groupmems [options] [action] Options: -g, --group GROUP αλλάξτε το όνομα της ομάδας αντί της ομάδας του χρήστη (μπορεί να γίνει μόνο από τον διαχειριστή) -R, --root CHROOT_DIR κατάλογος για να μπείτε σε Ενέργειες: -α, - προσθέστε Ο ΧΡΗΣΤΗΣ προσθέτει τον ΧΡΗΣΤΗ στα μέλη της ομάδας -d, - διαγράψτε τον ΧΡΗΣΤΗ αφαιρεί τον ΧΡΗΣΤΗ από τη λίστα μελών της ομάδας -h, - Η βοήθεια εμφανίζει αυτό το μήνυμα βοήθειας και τερματίζει -p, - purge purge όλα τα μέλη της ομάδας -l, --list λίστα μελών της ομάδας

[root @ linuxbox ~] # ομάδα mod -h # Τροποποιήστε τον ορισμό μιας ομάδας
Τρόπος χρήσης: groupmod [options] GROUP Επιλογές: -g, --gid Το GID αλλάζει το αναγνωριστικό ομάδας σε GID -h, - η βοήθεια εμφανίζει αυτό το μήνυμα βοήθειας και τελειώνει -n, --new-name NEW_GROUP αλλάζει το όνομα Ένας NEW_GROUP -o, --non-unique επιτρέπει τη χρήση ενός διπλού GID (όχι μοναδικού) -p, - Password PASSWORD αλλάζει τον κωδικό πρόσβασης σε PASSWORD (κρυπτογραφημένο) -R, --root CHROOT_DIR κατάλογο για να μπλοκάρετε

[root @ linuxbox ~] # grpck -h # Ελέγξτε την ακεραιότητα ενός αρχείου ομάδας
Τρόπος χρήσης: grpck [options] [group [gshadow]] Options: -h, --help show this help message and exit -r, - read-only Εμφανίζονται σφάλματα και προειδοποιήσεις αλλά δεν αλλάζετε αρχεία -R, - -root CHROOT_DIR κατάλογος για chroot σε -s, - ταξινόμηση ταξινομήσεων κατά UID

[root @ linuxbox ~] # grpconv
# Συσχετισμένες εντολές: pwconv, pwunconv, grpconv, grpunconv
# Χρησιμοποιείται για τη μετατροπή από και προς σκιά κωδικούς πρόσβασης και ομάδες
# Οι τέσσερις εντολές λειτουργούν σε αρχεία / etc / passwd, / etc / group, / etc / shadow, 
# και / etc / gshadow. Για περισσότερες πληροφορίες άντρας grpconv.

[root @ linuxbox ~] # sg -h # Εκτελέστε μια εντολή με διαφορετικό αναγνωριστικό ομάδας ή GID
Τρόπος χρήσης: ομάδα sg [[-c] παραγγελία]

[root @ linuxbox ~] # newgrp -h # Αλλάξτε το τρέχον GID κατά τη σύνδεση
Τρόπος χρήσης: newgrp [-] [group]

[root @ linuxbox ~] # νέοι χρήστες -h # Ενημέρωση και δημιουργία νέων χρηστών σε κατάσταση δέσμης
Λειτουργία χρήσης: newusers [επιλογές] Επιλογές: -c, -crypt-method METHOD η μέθοδος κρυπτογράφησης (μία από τις NONE DES MD5 SHA256 SHA512) -h, - Βοήθεια για εμφάνιση αυτού του μηνύματος βοήθειας και έξοδος -r, --system δημιουργία λογαριασμών συστήματος -R, --roro CHROOT_DIR κατάλογος για να κάνετε chroot σε -s, --sha-rounds αριθμό SHA γύρων για αλγόριθμους κρυπτογράφησης SHA

[root @ linuxbox ~] # αηδ -h # Ελέγξτε την ακεραιότητα των αρχείων κωδικού πρόσβασης
Τρόπος χρήσης: pwck [options] [passwd [shadow]] Options: -h, --help show this help message and exit -q, --quiet report error only -r, - read-only Εμφανίζονται σφάλματα και προειδοποιήσεις αλλά μην αλλάξετε αρχεία -R, --roro CHROOT_DIR κατάλογο σε chroot σε -s, - ταξινόμηση ταξινομήσεων κατά UID

[root @ linuxbox ~] # Προσθήκη χρήστη -h # Δημιουργήστε έναν νέο χρήστη ή ενημερώστε τις προεπιλεγμένες # πληροφορίες του νέου χρήστη
Τρόπος χρήσης: useradd [options] USER useradd -D useradd -D [options] Options: -b, --base-dir BAS_DIR βασικός κατάλογος για τον αρχικό κατάλογο του νέου λογαριασμού -c, - σχόλιο COMEC GECOS πεδίο του νέος λογαριασμός -d, - home-dir PERSONAL_DIR αρχικός κατάλογος νέου λογαριασμού -D, - προεπιλεγμένες εκτυπώσεις ή αλλαγή προεπιλεγμένης ρύθμισης του useradd -e, - λήξη EXPIRY_DATE ημερομηνία λήξης νέου λογαριασμού -f, - ανενεργή περίοδος αδράνειας του κωδικού πρόσβασης του νέου λογαριασμού
ομάδα
  -g, --gid GROUP όνομα ή αναγνωριστικό της κύριας ομάδας του νέου λογαριασμού -G, --groups GROUPS λίστα συμπληρωματικών ομάδων του νέου λογαριασμού -h, --help εμφανίζει αυτό το μήνυμα βοήθειας και τελειώνει -k, - Το skel DIR_SKEL χρησιμοποιεί αυτόν τον εναλλακτικό κατάλογο "skeleton" -K, --key KEY = VALUE αντικαθιστά τις προεπιλεγμένες τιμές του "/etc/login.defs" -l, --no-log-init δεν προσθέτει το χρήστη στις βάσεις δεδομένων από το Lastlog και το faillog -m, --create-home δημιουργεί τον αρχικό κατάλογο του χρήστη -M, --no-create-home δεν δημιουργεί τον αρχικό κατάλογο του χρήστη -N, --no-user-group δεν δημιουργεί ομάδα με το ίδιο όνομα με το χρήστη -o, --non-unique επιτρέπει τη δημιουργία χρηστών με διπλά (μη μοναδικά) αναγνωριστικά (UIDs) -p, - κωδικός πρόσβασης κωδικός πρόσβασης PASSWORD του νέου λογαριασμού -r, - το σύστημα δημιουργεί έναν λογαριασμό του Κατάλογος συστήματος -R, --root CHROOT_DIR για chroot σε -s, --συνδέστε την κονσόλα πρόσβαση του νέου λογαριασμού -u, - αναγνωριστικό χρήστη UID UID του νέου λογαριασμού -U, - δημιουργία ομάδας χρηστώνμια ομάδα με το ίδιο όνομα με τον χρήστη -Z, --selinux-user USER_SE χρησιμοποιεί τον καθορισμένο χρήστη για τον χρήστη SELinux

[root @ linuxbox ~] # userdel -h # Διαγραφή λογαριασμού χρήστη και σχετικών αρχείων
Λειτουργία χρήσης: userdel [options] USER Options: -f, --force ορισμένες ενέργειες που θα αποτύχουν διαφορετικά, π.χ. κατάργηση του χρήστη που είναι ακόμη συνδεδεμένος ή αρχεία, ακόμη και αν δεν ανήκει στον χρήστη -h, --help εμφανίζει αυτό το μήνυμα Βοήθεια και ολοκλήρωση -r, --αφαίρεση καταργήστε τον αρχικό κατάλογο και το γραμματοκιβώτιο -R, --roro CHROOT_DIR κατάλογο για να κάνετε chroot σε -Z, --selinux-user αφαιρέστε οποιαδήποτε αντιστοίχιση χρήστη SELinux για τον χρήστη

[root @ linuxbox ~] # usermod -h # Τροποποίηση λογαριασμού χρήστη
Τρόπος χρήσης: usermod [options] USER Options: -c, --comment new value of the GECOS field -d, --home PERSONAL_DIR new home directory του νέου χρήστη -e, - expiredate EXPIRED_DATE ορίζει την ημερομηνία λήξης του λογαριασμός έως EXPIRED_DATE -f, --inactive INACTIVE ορίζει χρόνο αδράνειας μετά τη λήξη του λογαριασμού σε INACTIVE -g, --gid GROUP αναγκάζει τη χρήση GROUP για νέο λογαριασμό χρήστη -G, --groups GROUPS list of συμπληρωματικές ομάδες -α, - προσαρτήστε τον χρήστη στις συμπληρωματικές ΟΜΑΔΕΣ που αναφέρονται από την επιλογή -G χωρίς να τον αφαιρέσετε από άλλες ομάδες -h, - βοηθήστε να εμφανίσετε αυτό το μήνυμα βοήθειας και να τερματίσετε -l, - login NAME ξανά όνομα για χρήστη -L, --lock locks λογαριασμός χρήστη -m, --move-home μετακίνηση περιεχομένων του αρχικού καταλόγου σε νέο κατάλογο (χρήση μόνο σε συνδυασμό με -d) -o, --non-unique επιτρέπει τη χρήση Τα διπλά (μη μοναδικά) UIDs -p, - Password PASSWORD χρησιμοποιούν κρυπτογραφημένο κωδικό πρόσβασης για νέο λογαριασμό -R, --root CHR Κατάλογος OOT_DIR για chroot σε -s, --συνδέστε τη νέα κονσόλα πρόσβασης για λογαριασμό χρήστη -u, - το UID UID επιβάλλει τη χρήση του UID για νέο λογαριασμό χρήστη -U, - ξεκλείδωμα ξεκλειδώματος λογαριασμού χρήστη -Z, --selinux-user SEUSER νέα χαρτογράφηση SELinux χρήστη για το λογαριασμό χρήστη

Εντολές στο Debian

Το Debian κάνει διάκριση μεταξύ Προσθήκη χρήστη y πρόσθεσε χρήστη. Συνιστά να χρησιμοποιούν οι διαχειριστές συστήματος πρόσθεσε χρήστη.

root @ sysadmin: / σπίτι / xeon # πρόσθεσε χρήστη -h # Προσθέστε έναν χρήστη στο σύστημα
root @ sysadmin: / σπίτι / xeon # προσθήκη ομάδας -h # Προσθέστε μια ομάδα στο σύστημα
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [- ομάδα ΟΜΑΔΑ | --gid ID] [--disabled-password] [--disabled-login] USER Προσθέστε ένα κανονικό πρόσθετο χρήστη --σύστημα [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ - ID αναγνωριστικού] [--gecos GECOS] [- ομάδα | - ομάδα Ομίλου | --gid ID] [--disabled-password] [--disabled-login] USER Προσθήκη χρήστη από το σύστημα adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP Προσθήκη ομάδας χρηστών addgroup --system [--gid ID] GROUP Προσθήκη συστήματος ομάδας adduser GROUP USER Προσθήκη υπάρχοντος χρήστη σε υπάρχουσα ομάδα γενικών επιλογών: --quiet | -q δεν εμφανίζουν πληροφορίες διεργασίας για τυπική έξοδο --force-badname επιτρέπουν ονόματα χρηστών που δεν ταιριάζουν με τη μεταβλητή διαμόρφωσης NAME_REGEX - Βοήθεια | -Η χρήση μηνύματος - μετατροπή | -v αριθμός έκδοσης και πνευματικά δικαιώματα --conf | -c FILE χρησιμοποιήστε το FILE ως αρχείο διαμόρφωσης

root @ sysadmin: / σπίτι / xeon # deluser -h # Αφαιρέστε έναν κανονικό χρήστη από το σύστημα
root @ sysadmin: / σπίτι / xeon # ομάδα -h # Αφαιρέστε μια κανονική ομάδα από το σύστημα
Το deluser USER αφαιρεί έναν κανονικό χρήστη από το παράδειγμα συστήματος: το deluser miguel --remove-home καταργεί τον αρχικό κατάλογο του χρήστη και την ουρά αλληλογραφίας. - Remove-all-files αφαιρεί όλα τα αρχεία που ανήκουν στον χρήστη. - η δημιουργία αντιγράφων ασφαλείας δημιουργεί αντίγραφα ασφαλείας αρχείων πριν από τη διαγραφή. - δημιουργία αντιγράφων ασφαλείας κατάλογος προορισμού για αντίγραφα ασφαλείας. Ο τρέχων κατάλογος χρησιμοποιείται από προεπιλογή. - το σύστημα καταργείται μόνο εάν είστε χρήστης του συστήματος. delgroup GROUP deluser --group GROUP καταργεί μια ομάδα από το παράδειγμα του συστήματος: deluser --group students - το σύστημα καταργεί μόνο εάν είναι ομάδα από το σύστημα. - μόνο-εάν-κενό αφαιρέστε μόνο εάν δεν έχουν περισσότερα μέλη. deluser USER GROUP καταργεί το χρήστη από το παράδειγμα της ομάδας: μαθητές deluser miguel γενικές επιλογές: --quiet | -q μην δίνετε πληροφορίες διεργασίας στο stdout - Βοήθεια | -Η χρήση μηνύματος - μετατροπή | - αριθμός έκδοσης και πνευματικά δικαιώματα --conf | -c FILE χρησιμοποιήστε το FILE ως αρχείο διαμόρφωσης

Πολιτικές

Υπάρχουν δύο τύποι πολιτικών που πρέπει να λάβουμε υπόψη κατά τη δημιουργία λογαριασμών χρηστών:

• Πολιτικές λογαριασμού χρήστη
• Πολιτικές γήρανσης κωδικού πρόσβασης

Πολιτικές λογαριασμού χρήστη

Στην πράξη, τα βασικά στοιχεία που προσδιορίζουν έναν λογαριασμό χρήστη είναι:

• Όνομα λογαριασμού χρήστη - χρήστης ΕΙΣΟΔΟΣ, όχι το όνομα και τα επώνυμα.
• Ταυτότητα χρήστη - UID.
• Κύρια ομάδα στην οποία ανήκει - GID.
• Κωδικός πρόσβασης - κωδικό πρόσβασης.
• Άδειες πρόσβασης - δικαιώματα πρόσβασης.

Οι κύριοι παράγοντες που πρέπει να λάβετε υπόψη κατά τη δημιουργία λογαριασμού χρήστη είναι:

• Το χρονικό διάστημα που ο χρήστης θα έχει πρόσβαση στο σύστημα αρχείων και τους πόρους.
• Το χρονικό διάστημα κατά το οποίο ο χρήστης πρέπει να αλλάξει τον κωδικό πρόσβασής του - περιοδικά - για λόγους ασφαλείας.
• Ο χρόνος που θα παραμείνει ενεργός ο σύνδεσμος-login-.

Επίσης, κατά την εκχώρηση ενός χρήστη του UID y κωδικό πρόσβασης, πρέπει να λάβουμε υπόψη ότι:

• Η ακέραια τιμή UID πρέπει να είναι μοναδικό και όχι αρνητικό.
• El κωδικό πρόσβασης Πρέπει να έχει επαρκές μήκος και πολυπλοκότητα, ώστε να είναι δύσκολο να αποκρυπτογραφηθεί.

Πολιτικές γήρανσης κωδικού πρόσβασης

Σε ένα σύστημα Linux, το κωδικό πρόσβασης ενός χρήστη δεν έχει εκχωρηθεί ένας προεπιλεγμένος χρόνος λήξης. Εάν χρησιμοποιούμε πολιτικές παλαίωσης κωδικού πρόσβασης, μπορούμε να αλλάξουμε την προεπιλεγμένη συμπεριφορά και κατά τη δημιουργία χρηστών, οι καθορισμένες πολιτικές θα ληφθούν υπόψη.

Στην πράξη, υπάρχουν δύο παράγοντες που πρέπει να λάβετε υπόψη κατά τον καθορισμό της ηλικίας ενός κωδικού πρόσβασης:

• Ασφάλεια.
• Ευκολία χρήστη.

Ένας κωδικός πρόσβασης είναι πιο ασφαλής όσο συντομότερη είναι η περίοδος λήξης του. Υπάρχει λιγότερος κίνδυνος διαρροής σε άλλους χρήστες.

Για να καθορίσουμε πολιτικές γήρανσης κωδικών πρόσβασης, μπορούμε να χρησιμοποιήσουμε την εντολή κυνηγός:

[root @ linuxbox ~] # chage
Τρόπος χρήσης: chage [options] Επιλογές ΧΡΗΣΤΗ: -d, --lastday LAST_DAY ορίζει την ημέρα της τελευταίας αλλαγής κωδικού πρόσβασης σε LAST_DAY -E, - expiredate CAD_DATE ορίζει την ημερομηνία λήξης σε CAD_DATE -h, - εμφανίσεις βοήθειας αυτό το μήνυμα βοήθειας και λήγει -I, - η ενεργοποιημένη INACTIVE απενεργοποιεί τον λογαριασμό μετά από INACTIVE ημέρες από την ημερομηνία λήξης -l, - η λίστα εμφανίζει τις πληροφορίες ηλικίας του λογαριασμού -m, --mindays MIN_DAYS ορίζει τον αριθμό ελάχιστες ημέρες πριν από την αλλαγή του κωδικού πρόσβασης σε MIN_DAYS -M, --maxdays MAX_DAYS ορίζει τον μέγιστο αριθμό ημερών πριν αλλάξετε τον κωδικό πρόσβασης σε MAX_DAYS -R, --root CHROOT_DIR κατάλογο σε chroot σε -W, --warndays WARNING_DAYS ορίζει το ημέρες ειδοποίησης λήξης για DAYS_NOTICE

Στο προηγούμενο άρθρο δημιουργήσαμε αρκετούς χρήστες ως παράδειγμα. Αν θέλουμε να μάθουμε τις ηλικιακές τιμές του λογαριασμού του χρήστη με ΕΙΣΟΔΟΣ γαλαδριήλ:

[root @ linuxbox ~] # chage - λίστα galadriel
Τελευταία αλλαγή κωδικού πρόσβασης: 21 Απριλίου 2017 Λήξη κωδικού πρόσβασης: ποτέ Ανενεργός κωδικός πρόσβασης: ποτέ Λήξη λογαριασμού: ποτέ Ελάχιστος αριθμός ημερών μεταξύ αλλαγής κωδικού πρόσβασης: 0 Μέγιστος αριθμός ημερών μεταξύ αλλαγής κωδικού πρόσβασης: 99999 Αριθμός ημερών ειδοποίησης πριν λήγει ο κωδικός πρόσβασης: 7

Αυτές ήταν οι προεπιλεγμένες τιμές που είχε το σύστημα κατά τη δημιουργία του λογαριασμού χρήστη χρησιμοποιώντας το γραφικό βοηθητικό πρόγραμμα "Χρήστες και ομάδες":

Για να αλλάξετε τις προεπιλογές παλαίωσης κωδικού πρόσβασης, συνιστάται η επεξεργασία του αρχείου /etc/login.defs y τροποποιήστε το ελάχιστο ποσό τιμών που χρειαζόμαστε. Σε αυτό το αρχείο θα αλλάξουμε μόνο τις ακόλουθες τιμές:

# Στοιχεία ελέγχου γήρανσης κωδικού πρόσβασης: # # PASS_MAX_DAYS Μέγιστος αριθμός ημερών που μπορεί να χρησιμοποιηθεί ένας κωδικός πρόσβασης. # PASS_MIN_DAYS Επιτρέπεται ελάχιστος αριθμός ημερών μεταξύ αλλαγών κωδικού πρόσβασης. # PASS_MIN_LEN Ελάχιστο αποδεκτό μήκος κωδικού πρόσβασης. # PASS_WARN_AGE Αριθμός ημερών προειδοποίησης που δόθηκε πριν από τη λήξη ενός κωδικού πρόσβασης. # PASS_MAX_DAYS 99999 #! Περισσότερα από 273 χρόνια! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

για τις τιμές που επιλέξαμε σύμφωνα με τα κριτήρια και τις ανάγκες μας:

PASS_MAX_DAYS 42 # 42 συνεχείς ημέρες μπορείτε να χρησιμοποιήσετε το κωδικό πρόσβασης
PASS_MIN_DAYS 0 # κωδικός πρόσβασης μπορεί να αλλάξει ανά πάσα στιγμή PASS_MIN_LEN 8 # ελάχιστο μήκος κωδικού πρόσβασης PASS_WARN_AGE 7 # Αριθμός ημερών που το σύστημα σας προειδοποιεί να αλλάξετε τον κωδικό πρόσβασης πριν # λήξει.

Αφήνουμε το υπόλοιπο αρχείο όπως ήταν και σας συνιστούμε να μην αλλάξετε άλλες παραμέτρους μέχρι να γνωρίζουμε καλά τι κάνουμε.

Οι νέες τιμές θα ληφθούν υπόψη όταν δημιουργούμε νέους χρήστες. Εάν αλλάξουμε τον κωδικό πρόσβασης ενός ήδη δημιουργημένου χρήστη, θα τηρηθεί η τιμή του ελάχιστου μήκους κωδικού πρόσβασης. Εάν χρησιμοποιήσουμε την εντολή passwd αντί για το βοηθητικό πρόγραμμα γραφικών και γράφουμε ότι ο κωδικός πρόσβασης θα είναι «legolas17«, Το σύστημα παραπονιέται όπως το γραφικό εργαλείο« Χρήστες και ομάδες »και απαντά ότι«Κατά κάποιο τρόπο ο κωδικός πρόσβασης διαβάζει το όνομα χρήστη»Αν και στο τέλος αποδέχομαι αυτόν τον αδύναμο κωδικό πρόσβασης.

[root @ linuxbox ~] # passwd legolas
Αλλαγή του κωδικού πρόσβασης του χρήστη legolas. Νέος κωδικός πρόσβασης: τερματοφύλακας               Το # έχει λιγότερους από 7 χαρακτήρες
ΛΑΘΟΣ Κωδικός πρόσβασης: Ο κωδικός πρόσβασης είναι μικρότερος από 8 χαρακτήρες Πληκτρολογήστε ξανά νέο κωδικό πρόσβασης: legolas17
Οι κωδικοί πρόσβασης δεν ταιριάζουν.               # Λογικό, σωστά;
Νέος κωδικός πρόσβασης: legolas17
ΛΑΘΟΣ ΚΩΔΙΚΟΣ ΚΩΔΙΚΟΣ: Κατά κάποιο τρόπο ο κωδικός πρόσβασης διαβάζει το όνομα χρήστη Πληκτρολογήστε ξανά τον νέο κωδικό πρόσβασης: legolas17
passwd: όλα τα διακριτικά ελέγχου ταυτότητας ενημερώθηκαν με επιτυχία.

Υποβάλουμε "την αδυναμία" δήλωσης κωδικού πρόσβασης που περιλαμβάνει το ΕΙΣΟΔΟΣ του χρήστη. Αυτή είναι μια μη συνιστώμενη πρακτική. Ο σωστός τρόπος θα ήταν:

[root @ linuxbox ~] # passwd legolas
Αλλαγή του κωδικού πρόσβασης του χρήστη legolas. Νέος κωδικός πρόσβασης: ψηλά βουνά01
Ξαναγραψε τον νεο κωδικο: ψηλά βουνά01
passwd: όλα τα διακριτικά ελέγχου ταυτότητας ενημερώθηκαν με επιτυχία.

Για να αλλάξετε τις τιμές λήξης του κωδικό πρόσβασης de γαλαδριήλ, χρησιμοποιούμε την εντολή chage και πρέπει να αλλάξουμε μόνο την τιμή του PASS_MAX_DAYS από 99999 έως 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Τελευταία αλλαγή κωδικού πρόσβασης: 21 Απριλίου 2017 Λήξη κωδικού πρόσβασης: 02 Ιουνίου 2017 Ανενεργός κωδικός πρόσβασης: ποτέ Λήξη λογαριασμού: ποτέ Ελάχιστος αριθμός ημερών μεταξύ αλλαγής κωδικού πρόσβασης: 0 Μέγιστος αριθμός ημερών μεταξύ αλλαγής κωδικού πρόσβασης: 42
Αριθμός ημερών ειδοποίησης πριν από τη λήξη του κωδικού πρόσβασης: 7

Και ούτω καθεξής, μπορούμε να αλλάξουμε τους κωδικούς πρόσβασης των χρηστών που έχουν ήδη δημιουργηθεί και τις τιμές λήξης τους χειροκίνητα, χρησιμοποιώντας το γραφικό εργαλείο «Χρήστες και ομάδες» ή χρησιμοποιώντας ένα σενάριο - γραφή που αυτοματοποιεί μέρος της μη διαδραστικής εργασίας.

• Με αυτόν τον τρόπο, εάν δημιουργήσουμε τους τοπικούς χρήστες του συστήματος με τρόπο που δεν συνιστάται από τις πιο κοινές πρακτικές σχετικά με την ασφάλεια, μπορούμε να αλλάξουμε αυτήν τη συμπεριφορά πριν συνεχίσουμε να εφαρμόζουμε περισσότερες υπηρεσίες που βασίζονται σε PAM..

Εάν δημιουργήσουμε τον χρήστη και με ΕΙΣΟΔΟΣ «και»Και κωδικός πρόσβασης«Κωδικός πρόσβασης»Θα λάβουμε το ακόλουθο αποτέλεσμα:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Αλλαγή του κωδικού πρόσβασης του χρήστη και. Νέος κωδικός πρόσβασης: Κωδικός πρόσβασης
ΛΑΘΟΣ Κωδικός πρόσβασης: Ο κωδικός πρόσβασης δεν περνά την επαλήθευση λεξικού - Βασίζεται σε μια λέξη στο λεξικό. Ξαναγραψε τον νεο κωδικο: Κωδικός πρόσβασης
passwd - Όλα τα διακριτικά ελέγχου ταυτότητας ενημερώθηκαν με επιτυχία.

Με άλλα λόγια, το σύστημα είναι αρκετά δημιουργικό για να δείξει τις αδυναμίες ενός κωδικού πρόσβασης.

[root @ linuxbox ~] # passwd anduin
Αλλαγή του κωδικού πρόσβασης του χρήστη και. Νέος κωδικός πρόσβασης: ψηλά βουνά02
Ξαναγραψε τον νεο κωδικο: ψηλά βουνά02
passwd - Όλα τα διακριτικά ελέγχου ταυτότητας ενημερώθηκαν με επιτυχία.

Σύνοψη πολιτικής

• Είναι σαφές ότι η πολιτική πολυπλοκότητας κωδικού πρόσβασης, καθώς και το ελάχιστο μήκος 5 χαρακτήρων, είναι ενεργοποιημένη από προεπιλογή στο CentOS. Στο Debian, ο έλεγχος πολυπλοκότητας λειτουργεί για κανονικούς χρήστες όταν προσπαθούν να αλλάξουν τον κωδικό πρόσβασής τους, επικαλούμενος την εντολή passwd. Για τον χρήστη ρίζα, δεν υπάρχουν προεπιλεγμένοι περιορισμοί.
• Είναι σημαντικό να γνωρίζουμε τις διαφορετικές επιλογές που μπορούμε να δηλώσουμε στο αρχείο /etc/login.defs χρησιμοποιώντας την εντολή άνθρωπος login.defs.
• Επίσης, ελέγξτε το περιεχόμενο των αρχείων / etc / default / useradd, και επίσης στο Debian /etc/adduser.conf.

Χρήστες και ομάδες συστήματος

Κατά τη διαδικασία εγκατάστασης του λειτουργικού συστήματος, δημιουργείται μια ολόκληρη σειρά χρηστών και ομάδων που, μια βιβλιογραφία καλεί τους τυπικούς χρήστες και έναν άλλο χρήστη του συστήματος. Προτιμούμε να τους αποκαλούμε Χρήστες Συστήματος και Ομάδες.

Κατά κανόνα, οι χρήστες του συστήματος έχουν ένα UID <1000 και οι λογαριασμοί σας χρησιμοποιούνται από διαφορετικές εφαρμογές του λειτουργικού συστήματος. Για παράδειγμα, ο λογαριασμός χρήστη «καλαμάρι»Χρησιμοποιείται από το πρόγραμμα Squid, ενώ ο λογαριασμός« lp »χρησιμοποιείται για τη διαδικασία εκτύπωσης από επεξεργαστές κειμένου ή κειμένου.

Εάν θέλουμε να παραθέσουμε αυτούς τους χρήστες και ομάδες, μπορούμε να το κάνουμε χρησιμοποιώντας τις εντολές:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # cat / etc / group

Δεν συνιστάται καθόλου η τροποποίηση των χρηστών και των ομάδων του συστήματος. 😉

Λόγω της σημασίας του, το επαναλαμβάνουμε στο CentOS, FreeBSD, και άλλα λειτουργικά συστήματα, δημιουργείται η ομάδα -system- τροχός για να επιτρέψετε την πρόσβαση ως ρίζα μόνο σε χρήστες συστήματος που ανήκουν σε αυτήν την ομάδα. Ανάγνωση /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Και /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Το Debian δεν περιλαμβάνει ομάδα τροχός.

Διαχείριση λογαριασμών χρηστών και ομάδων

Ο καλύτερος τρόπος για να μάθετε πώς να διαχειρίζεστε λογαριασμούς χρηστών και ομάδων είναι:

• Εξάσκηση της χρήσης των εντολών που αναφέρονται παραπάνω, κατά προτίμηση σε μια εικονική μηχανή και προτού της χρήσης γραφικών εργαλείων.
• Συμβουλευτείτε τα εγχειρίδια ή man pages κάθε εντολής πριν από αναζήτηση άλλων πληροφοριών στο Διαδίκτυο.

Η πρακτική είναι το καλύτερο κριτήριο της αλήθειας.

περίληψη

Μέχρι στιγμής, ένα μόνο άρθρο αφιερωμένο στη Διαχείριση τοπικών χρηστών και ομάδων δεν είναι αρκετό. Ο βαθμός γνώσης που αποκτά κάθε Διαχειριστής εξαρτάται από το προσωπικό ενδιαφέρον για μάθηση και εμβάθυνση για αυτό και άλλα σχετικά θέματα. Είναι το ίδιο με όλες τις πτυχές που έχουμε αναπτύξει στη σειρά των άρθρων Δίκτυα ΜΜΕ. Με τον ίδιο τρόπο μπορείτε να απολαύσετε αυτήν την έκδοση σε pdf εδώ

Επόμενη παράδοση

Θα συνεχίσουμε να εφαρμόζουμε υπηρεσίες με έλεγχο ταυτότητας κατά τοπικών χρηστών. Στη συνέχεια, θα εγκαταστήσουμε μια υπηρεσία ανταλλαγής άμεσων μηνυμάτων βάσει του προγράμματος Προσωδία.

Θα σας δω σύντομα!