Administrado de loka uzanto kaj grupo - retoj de SME

Ĝenerala indekso de la serio: Komputilaj Retoj por SMEoj: Enkonduko

Saluton amikoj kaj amikoj!

Ĉi tiu artikolo estas daŭrigo de Aŭtentikigo de Kalmaro + PAM en CentOS 7- SMB-Retoj.

Operaciumoj UNIX / Linukso ofertas REALAN pluruzantan medion, en kiu multaj uzantoj povas labori samtempe pri la sama sistemo kaj dividi rimedojn kiel procesoroj, malmolaj diskoj, memoro, retaj interfacoj, aparatoj enigitaj en la sistemo, ktp.

Tial Sistemaj Administrantoj devas administri senĉese la uzantojn kaj grupojn de la sistemo kaj formuli kaj efektivigi bonan administran strategion.

Poste ni vidos tre koncize la ĝeneralajn aspektojn de ĉi tiu grava agado en Linukso-Sistemadministrado.

Foje estas pli bone oferti Utilecon kaj poste Neceson.

Ĉi tio estas tipa ekzemplo de tiu ordo. Unue ni montras kiel efektivigi interretan servilon kun Squid kaj lokaj uzantoj. Nun ni devas demandi nin:

  • ¿kiel mi povas efektivigi retajn servojn sur UNIX / Linukso-LAN de lokaj uzantoj kaj kun akceptebla sekureco?.

Ne gravas, ke krome Vindozaj klientoj estas konektitaj al ĉi tiu reto. Gravas nur la bezono de kiaj servoj bezonas la reto de PYME kaj kia estas la plej simpla kaj malmultekosta maniero efektivigi ilin.

Bona demando, ke ĉiuj serĉu siajn respondojn. Mi invitas vin serĉi la esprimon «aŭtentokontrolo»En Vikipedio en la angla, kiu estas senkompare la plej kompleta kaj kohera koncerne originalan enhavon -en la angla-.

Laŭ Historio jam proksimume, unue estis la Aŭtentigo y Rajtigo Loka, post NIS Reta Informsistemo disvolvita de Sun Microsystem kaj ankaŭ konata kiel Flavaj Paĝoj o yp, kaj tiam LDAP Protokolo pri malpezaj adresoj.

Kio pri "Akceptebla Sekureco»Venas ĉar multajn fojojn ni zorgas pri la sekureco de nia loka reto, dum ni aliras Facebook, Gmail, Yahoo, ktp - por mencii nur kelkajn - kaj ni donas Nian Privatecon en ili. Kaj rigardu la grandan nombron da artikoloj kaj dokumentarioj pri la Sen Privateco en Interreto ili ekzistas

Noto pri CentOS kaj Debian

CentOS / Red Hat kaj Debian havas sian propran filozofion pri kiel efektivigi sekurecon, kio ne esence diferencas. Tamen ni asertas, ke ambaŭ estas tre stabilaj, sekuraj kaj fidindaj. Ekzemple, en CentOS la kunteksto SELinux estas defaŭlte ebligita. En Debian ni devas instali la pakaĵon selinux-bazoj, kiu indikas ke ni ankaŭ povas uzi SELinux.

Ĉe CentOS, FreeBSD, kaj aliaj operaciumoj, la grupo -sistemo- estas kreita rado permesi aliron kiel radikon nur al sistemuzantoj apartenantaj al tiu grupo. Legu /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, y /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian ne inkluzivas grupon rado.

Ĉefaj dosieroj kaj ordonoj

Arkivoj

La ĉefaj dosieroj rilataj al administrado de lokaj uzantoj en Linuksa operaciumo estas:

CentOS kaj Debian

  • / ktp / passwd: informoj pri uzanto-konto.
  • / ktp / ombro- Sekureca informo pri uzanto-konto.
  • / ktp / grupo: grupaj kontaj informoj.
  • / etc / gshadow- Sekurecaj informoj por grupaj kontoj.
  • / etc / default / useradd: aprioraj valoroj por kreo de konto.
  • / ktp / skel /: dosierujo kiu enhavas la defaŭltajn dosierojn, kiuj estos inkluzivitaj en la HEJMA dosierujo de la nova uzanto.
  • /etc/login.defs- Agordo de pasvorta sekureco.

Debian

  • /etc/adduser.conf: aprioraj valoroj por kreo de konto.

Komandoj pri CentOS kaj Debian

[root @ linuxbox ~] # chpasswd -h # Ĝisdatigu pasvortojn en ara reĝimo
Kiel uzi: chpasswd [opcioj] Opcioj: -c, --crypt-method METODO la kripta metodo (unu el NONE DES MD5 SHA256 SHA512) -e, --ĉifritaj la pasvortoj provizitaj estas ĉifritaj -h, --help montras ĉi tion helpu instigi kaj fini -m, --md5 ĉifras pasvorton klare per MD5-algoritmo -R, --root CHROOT_DIR-dosierujo por enkroĉigi en -s, --sha-rounds nombro de SHA-rondoj por SHA-ĉifraj algoritmoj * # loto- Ekzekutu komandojn kiam sistema ŝarĝo permesas. Alivorte # kiam la averaĝa ŝarĝo falas sub 0.8 aŭ la valoro specifita kiam vi alvokas # la komandon atd. Pliaj informoj homa aro.

[root @ linuxbox ~] # gpasswd -h # Deklaru Administrantojn en / etc / group kaj / etc / gshadow
Kiel uzi: gpasswd [opcioj] GROUP-Opcioj: -a, --add USER aldonas USER al GROUP -d, --delete USER forigas USER de GROUP -h, --help montras ĉi tiun helpan mesaĝon kaj finas -Q, - - root CHROOT_DIR-dosierujo por enkroĉiĝi en -r, --delete-password forigi la pasvorton de la GROUP -R, --restrict limigas aliron al GROUP al siaj membroj -M, --members USER, ... starigas la liston de membroj de GROUP - A, --administrators ADMIN, ... starigas la liston de GROUP-administrantoj Krom la ebloj -A kaj -M, la ebloj ne kombineblas.

[root @ linuxbox ~] # groupadd -h    # Kreu novan grupon
Kiel uzi: groupadd [opcioj] GROUP-Opcioj: -f, --force finiĝi se grupo jam ekzistas, kaj nuligi -g se GID jam estas uzata -g, --gid GID uzi GID por nova grupo - h, - helpo montras ĉi tiun helpmesaĝon kaj finiĝas -K, --key KEY = VALUE anstataŭigas la apriorajn valorojn de "/etc/login.defs" -o, --non-unika permesas krei grupojn kun GID-oj (ne unikaj) duplikatoj -p, --password PASSWORD uzas ĉi tiun ĉifritan pasvorton por la nova grupo -r, --sistemo krei sisteman konton -R, --root CHROOT_DIR-dosierujon por enkroĉigi en

[root @ linuxbox ~] # groupdel -h # Forigu ekzistantan grupon
Kiel uzi: groupdel [opcioj] GRUPAJ Elektoj: -h, --help montri ĉi tiun helpmesaĝon kaj fini -R, --root CHROOT_DIR-dosierujon por enkroĉigi en

[root @ linuxbox ~] # grupmemoj -h # Deklaru Administrantojn en la ĉefa grupo de uzanto
Kiel uzi: groupmems [ebloj] [ago] Opcioj: -g, --group GROUP ŝanĝas la nomon de la grupo anstataŭ la grupo de la uzanto (nur la administranto povas fari) -R, --root CHROOT_DIR-dosierujo al chroot en Agojn: -a, --add USER aldonas USER al grupanoj -d, --delete USER forigas USER el la listo de grupanoj -h, --help montras ĉi tiun helpmesaĝon kaj finiĝas -p, - purigi purigi ĉiujn grupanojn - l, --list listigi grupanojn

[root @ linuxbox ~] # grupmod -h # Modifi la difinon de grupo
Kiel uzi: groupmod [opcioj] GROUP-Opcioj: -g, --gid GID ŝanĝas la grupan identigilon al GID -h, --help montras ĉi tiun helpmesaĝon kaj finiĝas -n, --new-nomo NEW_Group ŝanĝas la nomon NEW_GROUP -o, --non-unique permesas uzi duplikatan GID (ne unikan) -p, --password PASSWORD ŝanĝas la pasvorton al PASSWORD (ĉifrita) -R, --root CHROOT_DIR-dosierujo por enkroĉigi en

[root @ linuxbox ~] # grpck -h # Kontrolu la integrecon de grupdosiero
Kiel uzi: grpck [ebloj] [grupo [gshadow]] Ebloj: -h, --help montri ĉi tiun helpmesaĝon kaj eliri -r, - nurlegaĵojn montri erarojn kaj avertojn sed ne ŝanĝi dosierojn -R, - -radiko CHROOT_DIR-dosierujo por enkroĉigi en -s, --sort ordigi enirojn per UID

[root @ linuxbox ~] # grpconv
# Asociitaj komandoj: pwconv, pwunconv, grpconv, grpunconv
# Uzita por konverti al kaj el ombraj pasvortoj kaj grupoj
# La kvar komandoj funkcias en dosieroj / etc / passwd, / etc / group, / etc / shadow, 
# kaj / etc / gshadow. Por pliaj informoj viro grpconv.

[root @ linuxbox ~] # sg -h # Ekzekutu komandon kun alia grupa ID aŭ GID
Kiel uzi: sg-grupo [[-c] ordo]

[root @ linuxbox ~] # novgrp -h # Ŝanĝu la nunan GID dum ensaluto
Kiel uzi: newgrp [-] [grupo]

[root @ linuxbox ~] # novuzantoj -h # Ĝisdatigu kaj kreu novajn uzantojn en ara reĝimo
Uzmaniero: novuzantoj [opcioj] Opcioj: -c, --crypt-method METODO la kripta metodo (unu el NONE DES MD5 SHA256 SHA512) -h, --help montri ĉi tiun helpmesaĝon kaj eliri -r, --sistemo krei sistemon kontoj -R, --root CHROOT_DIR-dosierujo por enkroĉiĝi en -s, --sha-rounds nombro de SHA-ĉirkaŭvojoj por SHA-ĉifraj algoritmoj *

[root @ linuxbox ~] # pwck -h # Kontrolu la integrecon de pasvortaj dosieroj
Kiel uzi: pwck [opcioj] [passwd [ombro]] Ebloj: -h, --help montri ĉi tiun helpmesaĝon kaj eliri -q, --quiet raporti erarojn nur -r, - nurlegi montrajn erarojn kaj avertojn ne ŝanĝu dosierojn -R, --root CHROOT_DIR-dosierujon al chroot en -s, --sort ordigi enirojn per UID

[root @ linuxbox ~] # uzantoadd -h # Kreu novan uzanton aŭ ĝisdatigu la defaŭltajn # informojn de la nova uzanto
Kiel uzi: useradd [ebloj] USER useradd -D useradd -D [ebloj] Ebloj: -b, --base-dir BAS_DIR baza dosierujo por la hejma dosierujo de la nova konto -c, --comment KOMENTO GECOS-kampo de la nova konto -d, --home-dir PERSONAL_DIR hejma dosierujo de nova konto -D, --defaults presas aŭ ŝanĝas la defaŭltan agordon de useradd -e, --expiredate EXPIRY_DATE eksvalidiĝa dato de nova konto -f, - neaktiva Neaktiva periodo de neaktiveco de la pasvorto de la nova konto
delgrupo
  -g, --gid GRUPA nomo aŭ identigilo de la ĉefa grupo de la nova konto -G, --groups GRUPO listo de suplementaj grupoj de la nova konto -h, --help montras ĉi tiun helpan mesaĝon kaj finiĝas -k, - skel DIR_SKEL uzas ĉi tiun alternativan "skeletan" dosierujon -K, --key KEY = VALUE anstataŭigas la defaŭltajn valorojn de "/etc/login.defs" -l, --no-log-init ne aldonas la uzanton al la datumbazoj de lastlog kaj faillog -m, --create-home kreas la hejman dosierujon de uzanto -M, --no-create-home ne kreas la hejman dosierujon de uzanto -N, --no-user-group ne kreas grupon kun la sama nomo kiel la uzanto -o, --non-unika permesas krei uzantojn kun duobligitaj (ne-unikaj) identigiloj (UIDoj) -p, --password PASSWORD ĉifrita pasvorto de la nova konto -r, --sistemo kreas konton de la sistemo -R, --root CHROOT_DIR-dosierujo por enkroĉiĝi en -s, --shell CONSOLE alira konzolo de la nova konto -u, --uid UID-uzanto-identigilo de la nova konto -U, --user-group kreigrupo kun la sama nomo kiel uzanto -Z, --selinux-uzanto USER_SE uzas la specifan uzanton por la uzanto SELinux

[root @ linuxbox ~] # userdel -h # Forigi konton de uzanto kaj rilatajn dosierojn
Uzada reĝimo: userdel [opcioj] UZILAJ Ebloj: -f, --force devigi iujn agojn, kiuj malsukcesus alimaniere ekz. Forigo de uzanto ankoraŭ ensalutinta aŭ dosieroj, eĉ se ne posedata de la uzanto -h, --help montras ĉi tiun mesaĝon Helpo kaj fini -r, --remove forigi hejman dosierujon kaj leterkeston -R, --root CHROOT_DIR-dosierujon por enkroĉigi en -Z, --selinux-user forigi iun ajn uzanton de SELinux por la uzanto

[root @ linuxbox ~] # usermod -h # Modifi uzantan konton
Kiel uzi: usermod [ebloj] UZILAJ Ebloj: -c, --comment KOMENTU novan valoron de la kampo GECOS -d, --home PERSONAL_DIR nova persona dosierujo de la nova uzanto -e, --expiredate EXPIRED_DATE difinas la eksvalidiĝan daton de la konto al EXPIRED_DATE -f, --inactive INACTIVE staras senaktivan tempon post kiam konto eksvalidiĝas al INACTIVE -g, --gid GROUP devigas uzon de GROUP por nova uzantokonto -G, --groups GRUPO listo de suplementaj grupoj -a, --append aldonu la uzanton al la suplementaj GRUPOJ menciitaj per la opcio -G sen forigi lin de aliaj grupoj -h, --help montri ĉi tiun helpmesaĝon kaj fini -l, --login NOM denove nomo por uzanto -L, --lock ŝlosas konton de uzanto -m, - movu-hejmen movu enhavon de hejma dosierujo al nova adresaro (uzu nur kune kun -d) -o, - ne-unika permesas uzi Duplikataj (ne unikaj) UID -p, --password PASSWORD uzu ĉifritan pasvorton por nova konto -R, --root CHR OOT_DIR-dosierujo por enkroĉiĝi en -s, --shell CONSOLE nova alira konzolo por uzantokonto -u, --uid UID devigas uzon de UID por nova uzantokonto -U, --unlock malŝlosas uzantokonton -Z, --selinux-user SEUSER nova SELinux-uzanta mapado por la uzanta konto

Komandoj en Debian

Debian diferencigas uzantoadd y adduser. Rekomendas, ke Sistemaj Administrantoj uzu adduser.

root @ sysadmin: / home / xeon # adduser -h # Aldonu uzanton al la sistemo
root @ sysadmin: / home / xeon # aldona grupo -h # Aldonu grupon al la sistemo
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup GRUPO | --gid-ID] [--disabled-pasvorto] [--disabled-login] UZANTO Aldoni normalan uzanton aldonan uzanton --sistemo [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--group | --grupo GRUPO | --gid ID] [--disabled-password] [--disabled-login] UZANTO Aldoni uzanton de la sistemo adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP Aldoni grupon de uzantoj addgroup --system [--gid ID] GRUPO Aldoni sisteman grupon adduser GRUPA UZANTO Aldoni ekzistantan uzanton al ekzistanta grupo ĝeneralaj opcioj: --quiet | -q ne montras procezajn informojn pri norma eligo --force-badname permesas uzantajn nomojn, kiuj ne kongruas kun la agorda variablo NAME_REGEX --help | -h uzada mesaĝo --versio | -v versio-numero kaj kopirajto --conf | -c DOSIERO uzu DOSIERON kiel agordodosieron

root @ sysadmin: / home / xeon # deluser -h # Forigi normalan uzanton de la sistemo
root @ sysadmin: / home / xeon # delgrupo -h # Forigu normalan grupon de la sistemo
deluser USER forigas normalan uzanton de la sistemo ekzemplo: deluser miguel --remove-home forigas la hejman dosierujon de la uzanto kaj la retpoŝtan vicon. --remove-all-files forigas ĉiujn dosierojn posedatajn de la uzanto. - sekurkopio sekurkopias dosierojn antaŭ ol forigi. - sekurkopio celloka adresaro por sekurkopioj. La aktuala dosierujo estas uzata defaŭlte. --sistemo nur forigu se vi estas sistemuzanto. delgroup GROUP deluser --group GROUP forigas grupon de la sistemo ekzemplo: deluser --group students --sistemo nur forigas se ĝi estas grupo de la sistemo. --nur-se-malplene forigu nur se ili ne havas pli da membroj. deluser USER-GRUPO forigas la uzanton el la grupa ekzemplo: deluser miguel students ĝeneralaj opcioj: --quiet | -q ne donas procezajn informojn pri stdout --help | -h uzada mesaĝo --versio | -v versio-numero kaj kopirajto --conf | -c DOSIERO uzu DOSIERON kiel agordodosieron

Politikoj

Estas du specoj de politikoj, kiujn ni devas konsideri dum kreado de kontoj de uzanto:

  • Politikoj pri Uzanto-Konto
  • Politikoj pri pasvorto

Politikoj pri Uzanto-Konto

En la praktiko, la fundamentaj eroj, kiuj identigas konton de uzanto, estas:

  • Uzantokonta nomo - uzanto ENSALUTI, ne la nomo kaj familiaj nomoj.
  • Uzanta identigilo - UID.
  • Ĉefa grupo al kiu ĝi apartenas - GID.
  • Pasvorto - pasvorto.
  • Alirpermesoj - alirpermesoj.

La ĉefaj faktoroj konsiderindaj kiam vi kreas uzantan konton estas:

  • La tempo, kiun la uzanto havos aliron al la dosiersistemo kaj rimedoj.
  • La tempo, en kiu la uzanto devas ŝanĝi sian pasvorton - periode - pro sekurecaj kialoj.
  • La tempo, kiam la ensaluto - ensaluto - restos aktiva.

Krome, kiam vi atribuas uzanton sian UID y pasvorto, ni devas memori, ke:

  • La entjera valoro UID ĝi devas esti unika kaj ne negativa.
  • El pasvorto ĝi devas havi taŭgan longecon kaj kompleksecon, tiel ke estas malfacile deĉifri.

Politikoj pri pasvorto

En Linuksa sistemo, la pasvorto de uzanto ne estas atribuita defaŭlta eksvalidiĝa tempo. Se ni uzas la pasvortajn politikojn pri maljuniĝo, ni povas ŝanĝi la defaŭltan konduton kaj kreinte uzantojn oni konsideros la difinitajn politikojn.

Praktike estas du faktoroj konsiderindaj kiam oni difinas la aĝon de pasvorto:

  • Sekureco
  • Komforta uzanto.

Pasvorto estas pli sekura ju pli mallonga estas ĝia eksvalida periodo. Estas malpli risko, ke ĝi estu likita al aliaj uzantoj.

Por agordi la pasvortajn politikojn pri maljuniĝo, ni povas uzi la komandon chage:

[root @ linuxbox ~] # chage
Uzmaniero: chage [opcioj] UZILAJ Ebloj: -d, --lastday LAST_DAY agordas la tagon de la lasta pasvortŝanĝo al LAST_DAY -E, --expiredate CAD_DATE agordas la limdaton al CAD_DATE -h, --help montras ĉi tiu helpmesaĝo kaj finiĝas -I, --inactive INACTIVE malŝaltas la konton post Neaktivaj tagoj de la limdato -l, --list montras la aĝajn informojn de la konto -m, --mindays MINDAYS starigas la numeron minimumaj tagoj antaŭ ol ŝanĝi pasvorton al MIN_DAYS -M, --maxdays MAX_DAYS agordas la maksimuman nombron da tagoj antaŭ ol ŝanĝi pasvorton al MAX_DAYS -R, --root CHROOT_DIR-dosierujo por enkroĉiĝi en -W, --warndays WARNING_DAYS agordas la tagoj de eksvalida avizo al DAYS_NOTICE

En la antaŭa artikolo ni kreis plurajn uzantojn kiel ekzemplon. Se ni volas scii la aĝajn valorojn de la konto de la uzanto kun ENSALUTI galadriel:

[root @ linuxbox ~] # chage --list galadriel
Lasta pasvorta ŝanĝo: Apr 21, 2017 Pasvorto eksvalidiĝas: neniam Neaktiva pasvorto: neniam Konto eksvalidiĝas: neniam Minimuma nombro da tagoj inter pasvorta ŝanĝo: 0 Maksimuma nombro de tagoj inter pasvortoŝanĝo: 99999 Nombro de antaŭaj tagoj pasvorto eksvalidiĝas: 7

Ĉi tiuj estis la aprioraj valoroj, kiujn havis la sistemo, kiam ni kreis la konton de uzanto per la grafika administra utilo "Uzantoj kaj grupoj":

 

Por ŝanĝi defaŭltajn pasvortojn, oni rekomendas redakti la dosieron /etc/login.defs y modifi la minimuman valoron, kiun ni bezonas. En tiu dosiero ni nur ŝanĝos la jenajn valorojn:

# Kontroloj pri pasvorto: # # PASS_MAX_DAYS Maksimuma nombro da tagoj, kiam pasvorto povas esti uzata. # PASS_MIN_DAYS Minimuma nombro de tagoj permesitaj inter pasvortaj ŝanĝoj. # PASS_MIN_LEN Minimuma akceptebla pasvorta longo. # PASS_WARN_AGE Nombro da avertoj donitaj antaŭ ol pasvorto eksvalidiĝas. # PASS_MAX_DAYS 99999 #! Pli ol 273 jaroj! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

por la valoroj, kiujn ni elektis laŭ niaj kriterioj kaj bezonoj:

PASS_MAX_DAYS 42 # 42 kontinuaj tagoj vi povas uzi la pasvorto
PASS_MIN_DAYS 0 # pasvorto povas esti ŝanĝita iam ajn PASS_MIN_LEN 8 # minimuma pasvorta longo PASS_WARN_AGE 7 # Nombro da tagoj, kiam la sistemo avertas vin # ŝanĝi la pasvorton antaŭ ol ĝi eksvalidiĝos.

Ni lasas la reston de la dosiero tia kia ĝi estis kaj ni rekomendas ne ŝanĝi aliajn parametrojn ĝis ni scios, kion ni faras.

La novaj valoroj estos konsiderataj kiam ni kreos novajn uzantojn. Se ni ŝanĝos la pasvorton de jam kreita uzanto, la valoro de la minimuma pasvorta longo estos respektata. Se ni uzas la komandon pasvorto anstataŭ la grafika utileco kaj ni skribas, ke la pasvorto estos «legolas17«, La sistemo plendas kiel la grafika ilo« Uzantoj kaj grupoj »kaj ĝi respondas ke«Iel la pasvorto legas la salutnomon»Kvankam finfine mi akceptas tiun malfortan pasvorton.

[root @ linuxbox ~] # passwd legolas
Ŝanĝi la pasvorton de la legolas-uzanto. Nova pasvorto: pordisto               # estas malpli ol 7 signoj
NEDEKTA PASVORTO: Pasvorto estas malpli ol 8 signoj Retajpu novan pasvorton: legolas17
Pasvortoj ne egalas.               # Logika ĉu ne?
Nova pasvorto: legolas17
NEDEKTA PASVORTO: Iel la pasvorto legas la nomon de la uzanto Retajpu la novan pasvorton: legolas17
passwd: ĉiuj aŭtentikaj tokensoj estis sukcese ĝisdatigitaj.

Ni suferas "la malforton" deklari pasvorton, kiu inkluzivas la ENSALUTI de la uzanto. Tio estas malrekomendinda praktiko. La ĝusta maniero estus:

[root @ linuxbox ~] # passwd legolas
Ŝanĝi la pasvorton de la legolas-uzanto. Nova pasvorto: altmontoj01
Retajpu la novan pasvorton: altmontoj01
passwd: ĉiuj aŭtentikaj tokensoj estis sukcese ĝisdatigitaj.

Por ŝanĝi la eksvalidajn valorojn de la pasvorto de galadriel, ni uzas la komandon chage, kaj ni nur devas ŝanĝi la valoron de PASS_MAX_DAYS de 99999 ĝis 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Lasta pasvorta ŝanĝo: Apr 21, 2017 Pasvorto eksvalidiĝas: Jun 02, 2017 Neaktiva pasvorto: neniam Konto eksvalidiĝas: neniam Minimuma nombro da tagoj inter pasvorta ŝanĝo: 0 Maksimuma nombro de tagoj inter pasvorta ŝanĝo: 42
Nombro de tagoj de avizo antaŭ ol pasvorto eksvalidiĝos: 7

Kaj tiel plu, ni povas ŝanĝi la pasvortojn de la jam kreitaj uzantoj kaj iliajn eksvalidajn valorojn permane, uzante la grafikan ilon «Uzantoj kaj grupoj», aŭ uzante skripton - skripto tio aŭtomatigas iujn el la ne-interaga laboro.

  • Tiel, se ni kreas la lokajn uzantojn de la sistemo en maniero ne rekomendita de la plej oftaj praktikoj pri sekureco, ni povas ŝanĝi tiun konduton antaŭ ol daŭre efektivigi pli da PAM-bazitaj servoj..

Se ni kreos la uzanton anduin con ENSALUTI «anduin»Kaj pasvorto«ElPasvorto»Ni akiros la sekvan rezulton:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Ŝanĝi la pasvorton de la uzanto anduin. Nova pasvorto: ElPasvorto
NEDEKTA PASVORTO: Pasvorto ne preterpasas vortaran konfirmon - Ĝi baziĝas sur vorto en la vortaro. Retajpu la novan pasvorton: ElPasvorto
passwd - Ĉiuj aŭtentikigaj tokensoj estis sukcese ĝisdatigitaj.

Alivorte, la sistemo estas sufiĉe kreema por indiki la malfortojn de pasvorto.

[root @ linuxbox ~] # passwd anduin
Ŝanĝi la pasvorton de la uzanto anduin. Nova pasvorto: altmontoj02
Retajpu la novan pasvorton: altmontoj02
passwd - Ĉiuj aŭtentikigaj tokensoj estis sukcese ĝisdatigitaj.

Politika Resumo

  • Klare, la pasvorta komplikeca politiko, same kiel la minimuma longo de 5 signoj, estas ebligita defaŭlte en CentOS. Ĉe Debian, la komplika kontrolo funkcias por normalaj uzantoj, kiam ili provas ŝanĝi sian pasvorton alvokante la komandon pasvorto. Por la uzanto radikon, ne ekzistas defaŭltaj limigoj.
  • Gravas scii la malsamajn eblojn, kiujn ni povas deklari en la dosiero /etc/login.defs uzante la komandon viro ensalutu.defs.
  • Ankaŭ kontrolu la enhavon de la dosieroj / etc / default / useradd, kaj ankaŭ en Debian /etc/adduser.conf.

Sistemuzantoj kaj Grupoj

En la procezo de instalado de la operaciumo, estas kreita tuta serio de uzantoj kaj grupoj, kiujn, unu literaturo nomas Normaj Uzantoj kaj alia Sistemo-Uzantoj. Ni preferas nomi ilin Sistemuzantoj kaj Grupoj.

Kutime sistemaj uzantoj havas UID <1000 kaj viaj kontoj estas uzataj de malsamaj aplikoj de la operaciumo. Ekzemple, la konto de uzanto «kalmaroj»Estas uzata de la programo Squid, dum la konto« lp »estas uzata por la presa procezo de redaktantoj de vortoj aŭ tekstoj.

Se ni volas listigi tiujn uzantojn kaj grupojn, ni povas fari ĝin per la komandoj:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # cat / etc / group

Tute ne rekomendas modifi la uzantojn kaj grupojn de la sistemo. 😉

Pro ĝia graveco, ni ripetas tion en CentOS, FreeBSD, kaj aliaj operaciumoj, la grupo -sistemo- estas kreita rado permesi aliron kiel radikon nur al sistemuzantoj apartenantaj al tiu grupo. Legu /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, y /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian ne inkluzivas grupon rado.

Administrado de uzantaj kaj grupaj kontoj

La plej bona maniero lerni kiel administri kontojn de uzanto kaj grupo estas:

  • Praktiki la uzon de la supre listigitaj komandoj, prefere en virtuala maŝino kaj antaŭe uzi grafikajn ilojn.
  • Konsultante la manlibrojn aŭ man paĝoj de ĉiu komando antaŭ ol serĉi iujn aliajn informojn en la interreto.

Praktiko estas la plej bona kriterio de vero.

Resumo

Senkompare ununura artikolo dediĉita al loka uzanto kaj grupa administrado ne sufiĉas. La grado de scio, kiun ĉiu Administranto akiras, dependos de la persona intereso lerni kaj profundigi pri ĉi tiu kaj aliaj rilataj temoj. Estas same kiel kun ĉiuj aspektoj, kiujn ni disvolvis en la serio de artikoloj Retoj pri SME. Sammaniere vi povas ĝui ĉi tiun version en pdf ĉi tie

Sekva transdono

Ni daŭre efektivigos servojn kun aŭtentikigo kontraŭ lokaj uzantoj. Ni tiam instalos tujmesaĝilan servon bazitan sur la programo Prosodio.

Ĝis baldaŭ!


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

4 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   HO2GI diris

    Saluton, bonega artikolo, mi demandas vin, kie mi laboras, la presiloj estas multe dividitaj, la problemo estas en tasoj, foje ĝi pendas kaj ili ne povas presi, ĉar mi povas doni al ili permeson rekomenci ĝin (ĉar plej ofte ni laboras en aliaj areoj) sen doni la pasvortan radikon, ĉar la sola maniero, kiun mi trovis, estas ŝanĝi ĝin por ke specifa uzanto povu rekomenci ĝin.
    De jam tre dankon.

    1.    federika diris

      Salutojn HO2GI!. Ekzemple, ni diru, ke la uzanto Legolas vi volas doni al ĝi permeson nur rekomenci la servon CUPS, uzante kompreneble la komandon sudo, kiu devas esti instalita:
      [root @ linuxbox ~] # visudo

      Cmnd-kaŝnomo-specifo

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups rekomencu

      Specifo pri privilegio de uzanto

      radiko ĈIU = (ĈIU: ĈIU) ĈIU
      legolas ĈIUJ = RESTARTCUPS

      Konservu la ŝanĝojn faritajn al la dosiero ŝvitas. Ensalutu kiel uzanto Legolas:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid reload
      [sudo] pasvorto por legolas:
      Pardonu, uzanto legolas ne rajtas ekzekuti '/etc/init.d/postfix reload' kiel radikon ĉe linuxbox.fromlinux.fan.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups restart
      [sudo] pasvorto por legolas:
      [bone] Rekomenci Komuna Uniksa Presa Sistemo: cupsd.

      Pardonu min se la avizo diferencas ĉe CentOS, ĉar mi gvidis min per tio, kion mi ĵus faris ĉe Debian Wheezy. ;-). Kie mi estas nun, mi havas neniun CentOS ĉe la mano.

      Aliflanke, se vi volas aldoni aliajn Sistemuzantojn kiel plenajn CUPS-Administrantojn - ili povas agordi ĝin malĝuste - vi igas ilin membroj de la grupo lpadmin, kiu kreiĝas kiam vi instalas CUPS.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI diris

        Bonege dankon mil Fico mi provos ĝin nun.

  2.   federika diris

    HO2GI, en CentOS / Ruĝa-Ĉapelo estus:

    [root @ linuxbox ~] # visudo

    servoj

    Cmnd_Alias ​​RESTARTTCUPS = / usr / bin / systemctl restart cups, / usr / bin / systemctl status cups

    Permesu al root ekzekuti iujn ajn komandojn ie ajn

    radiko ĈIU = (ĈIU) ĈIU
    legolas ĈIUJ = RESTARTCUPS

    Konservu ŝanĝojn

    [root @ linuxbox ~] # eliro

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    pasvorto de legolas @ linuxbox:

    [legolas @ linuxbox ~] $ sudo systemctl rekomencu tasojn

    Ni fidas, ke vi ricevis la kutiman prelegon de la loka Sistemo
    Administranto. Ĝi kutime resumas ĉi tiujn tri aferojn:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] pasvorto por legolas:
    [legolas @ linuxbox ~] $ sudo systemctl status cups
    ● cups.service - Presa Servo CUPS
    Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/cups.service; ebligita; antaŭdifinita vendisto: ebligita)
    Aktiva: aktiva (kuranta) ekde Mar 2017-04-25 22:23:10 EDT; Antaŭ 6s
    Ĉefa PID: 1594 (taso)
    CGroup: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [legolas @ linuxbox ~] $ sudo systemctl rekomencu squid.service
    Pardonu, uzanto legolas ne rajtas ekzekuti '/ bin / systemctl restart squid.service' kiel radikon ĉe linuxbox.
    [legolas @ linuxbox ~] $ eliro