Tokiko erabiltzaileen eta taldeen kudeaketa - ETE sareak

Sailaren aurkibide orokorra: ETEentzako ordenagailu sareak: sarrera

Kaixo lagunak eta lagunak!

Artikulu honen jarraipena da Squid + PAM autentifikazioa CentOS 7- SMB sareetan.

UNIX / Linux sistema eragileek erabiltzaile anitzeko ingurune ERREALA eskaintzen dute, erabiltzaile askok aldi berean lan egin dezakete sistema berean eta baliabideak partekatu ditzakete, hala nola prozesadoreak, disko gogorrak, memoria, sareko interfazeak, sisteman txertatutako gailuak eta abar.

Hori dela eta, Sistemaren administratzaileak behartuta daude sistemaren erabiltzaileak eta taldeak etengabe kudeatzera eta administrazio estrategia ona formulatu eta ezartzera.

Ondoren, Linux Sistemen Administrazioan jarduera garrantzitsu honen alderdi orokorrak oso zehatz ikusiko ditugu.

Batzuetan hobe da Erabilgarritasuna eta gero Beharra eskaintzea.

Hau da ordena horren adibide tipikoa. Lehenik eta behin erakusten dugu nola ezarri Internet Proxy zerbitzua Squid eta bertako erabiltzaileekin. Orain geure buruari galdetu behar diogu:

  • ¿nola ezar ditzaket sareko zerbitzuak UNIX / Linux LAN batean bertako erabiltzaileetatik eta segurtasun onargarria?.

Ez du axola, gainera, Windows bezeroak sare honetara konektatuta egotea. ETE sareak zer zerbitzuren beharra eta horiek ezartzeko modurik errazena eta merkeena zein den soilik garrantzitsuak dira.

Galdera ona, bakoitzak bere erantzunak bilatu behar dituena. «Terminoa bilatzera gonbidatzen zaitutauthentication»Wikipedian ingelesez, jatorrizko edukiari dagokionez -ingelesez- oso osorik eta koherentea da.

Historiaren arabera dagoeneko gutxi gorabehera, lehenengoa izan zen autentifikazio y baimen local, ondoren NIS Sareko informazio sistema Sun Microsystem-ek garatua eta Yellow Pages o ypeta gero LDAP Direktorio sartzeko protokolo arina.

Zer deritzozu "Segurtasun onargarria»Irten da askotan gure sare lokalaren segurtasunaz kezkatzen garelako, Facebook, Gmail, Yahoo eta abarretan sartzen garen bitartean -batzu batzuk aipatzearren- eta horietan Gure Pribatutasuna ematen dugulako. Ikus artikulu eta dokumental kopuru handiari buruzko informazioa Ez dago pribatutasunik Interneten existitzen dira

Oharra CentOS eta Debian-en

CentOS / Red Hat-ek eta Debian-ek beren filosofia dute segurtasuna ezartzeko moduari buruz, eta hori ez da funtsean desberdina. Hala ere, biak oso egonkorrak, seguruak eta fidagarriak direla baieztatzen dugu. Adibidez, CentOS-en SELinux testuingurua gaituta dago lehenespenez. Debian-en paketea instalatu behar dugu selinux-oinarrizkoak, horrek SELinux ere erabil dezakegula adierazten du.

CentOS-en, FreeBSD, eta beste sistema eragile batzuekin, -sistema- taldea sortzen da gurpila sarbidea gisa baimentzeko root talde horretako sistema erabiltzaileei soilik. Irakurri /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Eta /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debianek ez du talderik sartzen gurpila.

Fitxategi eta komando nagusiak

Records

Linux sistema eragile batean bertako erabiltzaileak kudeatzearekin lotutako fitxategi nagusiak hauek dira:

CentOS eta Debian

  • / Etc / passwd: erabiltzaile kontuaren informazioa.
  • / etc / shadow- Erabiltzaile kontuetarako segurtasun informazioa.
  • / etc / group: taldeko kontuaren informazioa.
  • / etc / gshadow- Taldeko kontuen segurtasun informazioa.
  • / etc / default / useradd: kontua sortzeko balio lehenetsiak.
  • / etc / skel /: erabiltzaile berriaren HOME direktorioan sartuko diren fitxategi lehenetsiak dituen direktorioa.
  • /etc/login.defs- Pasahitzaren segurtasun konfigurazio multzoa.

Debian

  • /etc/adduser.conf: kontua sortzeko balio lehenetsiak.

CentOS eta Debian-eko komandoak

[root @ linuxbox ~] # chpasswd -h # Eguneratu pasahitzak batch moduan
Erabilera modua: chpasswd [aukerak] Aukerak: -c, --crypt-method METODOA kriptaren metodoa (NONE DES MD5 SHA256 SHA512) -e, - enkriptatutako emandako pasahitzak enkriptatuta daude -h, --help laguntza hau erakusten du prompt and end -m, --md5 pasahitza enkriptatzen du MD5 algoritmoa erabiliz argi eta garbi -R, --root CHROOT_DIR direktorioa -s bihurtzeko, --sha-rounds SHA erronda kopurua SHA enkriptatze algoritmoetarako * # sorta- Exekutatu komandoak sistemaren karga ahalbidetzen duenean. Beste era batera esanda # batez besteko karga 0.8 azpitik jaisten denean edo # atd komandoa deitzean zehaztutako balioa. Informazio gehiago gizon sorta.

[root @ linuxbox ~] # gpasswd -h # Adierazi administratzaileak / etc / group eta / etc / gshadow zerbitzuetan
Nola erabili: gpasswd [aukerak] GROUP Aukerak: -a, --add ERABILTZAILEA USER gehitzen du GROUP -d, --ezabatu USER erabiltzailea kentzen du GROUPER -h, --help-ek laguntza mezu hau erakusten du eta amaitzen du -Q, - - root CHROOT_DIR direktorioa -r-ra sartu, - ezabatu-pasahitza TALDEAREN pasahitza kendu -R, - murrizketak GROUPera sartzeko aukera murrizten die bere kideei -M, --members USER, ... GROUPeko kideen zerrenda ezartzen du - A, --administrators ADMIN, ... -ek GROUP administratzaileen zerrenda ezartzen du -A eta -M aukerak izan ezik, aukerak ezin dira konbinatu.

[root @ linuxbox ~] # groupadd -h    # Sortu talde berria
Nola erabili: groupadd [aukerak] GROUP Aukerak: -f, --force amaitu taldea dagoeneko badago, eta bertan behera utzi -g GID dagoeneko erabiltzen bada -g, --gid GID erabili GID talde berrirako - h, - laguntzak laguntza-mezu hau bistaratzen du eta -K, --key KEY = VALUE-k "/etc/login.defs" -o -ren balio lehenetsiak gainidazten ditu, --non-unique GIDak dituzten taldeak sortzeko aukera ematen du (ez bakarrak) bikoiztuak -p, --password PASSWORD pasahitz enkriptatu hau erabili talde berrirako -r, --sistemak sistemako kontua sortu -R, --root CHROOT_DIR direktorioa sartu

[root @ linuxbox ~] # taldedel -h # Ezabatu lehendik dagoen talde bat
Nola erabili: groupdel [aukerak] GROUP Aukerak: -h, --help erakutsi laguntza mezu hau eta amaitu -R, --root CHROOT_DIR direktorioa chrootean sartzeko

[root @ linuxbox ~] # taldekideak -h # Adierazi erabiltzaile baten lehen mailako taldeko administratzaileak
Nola erabili: groupmems [aukerak] [ekintza] Aukerak: -g, --group GROUP taldearen izena aldatu erabiltzailearen taldearen ordez (administratzaileak bakarrik egin dezake) -R, --root CHROOT_DIR direktorioa chroot-era Ekintzetan: -a, --add USER gehitzen du USER taldeko kideei -d, --ezabatu USER erabiltzaileari kentzen dio taldeko kideen zerrendatik -h, --help laguntza mezu hau bistaratzen du eta amaitzen da -p, - purge taldeko kide guztiak garbitu - l, --list zerrendako taldeko kideak

[root @ linuxbox ~] # talde mod -h # Aldatu talde baten definizioa
Nola erabili: groupmod [aukerak] GROUP Aukerak: -g, --gid GIDek taldearen identifikatzailea GID bihurtzen du -h, --help-ek laguntza mezu hau erakusten du eta amaitzen du -n, --new-name BERRIA_Taldeak izena BERRIA_GROUP bat aldatzen du -o, --non-unique-k GID bikoiztua (ez bakarra) erabiltzeko aukera ematen du -p, --password PASSWORD pasahitza PASSWORD (enkriptatuta) aldatzen du -R, --root CHROOT_DIR direktorioa chrootera

[root @ linuxbox ~] # grpck -h # Egiaztatu taldeko fitxategi baten osotasuna
Nola erabili: grpck [aukerak] [taldea [gshadow]] Aukerak: -h, --help erakutsi laguntza mezu hau eta irten -r, - irakurtzeko soilik bistaratu akatsak eta abisuak baina ez aldatu fitxategiak -R, - - root CHROOT_DIR direktorioa -s, - ordenatu sarrerak UID arabera ordenatzeko

[root @ linuxbox ~] # grpconv
# Lotutako komandoak: pwconv, pwunconv, grpconv, grpunconv
# Itzaleko pasahitzak eta taldeak bihurtzeko eta itzultzeko erabiltzen da
# Lau komandoek fitxategietan funtzionatzen dute / etc / passwd, / etc / group, / etc / shadow, 
# eta / etc / gshadow. Informazio gehiagorako gizon grpconv.

[root @ linuxbox ~] # sg -h # Exekutatu komando bat beste talde ID edo GID batekin
Nola erabili: sg taldearen [[-c] ordena]

[root @ linuxbox ~] # berriagrp -h # Aldatu uneko GID saioa hastean
Nola erabili: newgrp [-] [group]

[root @ linuxbox ~] # erabiltzaile berriak -h # Eguneratu eta sortu erabiltzaile berriak batch moduan
Erabilera modua: erabiltzaile berriak [aukerak] Aukerak: -c, --crypt-method METODOA kriptaren metodoa (NONE DES MD5 SHA256 SHA512 bat) -h, --help laguntza-mezu hau erakutsi eta -r, --sistema sortu sistema kontuak -R, --root CHROOT_DIR direktorioa -s bihurtzeko, --sha-rounds SHA erronda kopurua SHA enkriptatze algoritmoetarako *

[root @ linuxbox ~] # pwck -h # Egiaztatu pasahitz fitxategien osotasuna
Nola erabili: pwck [aukerak] [pasahitza [itzala]] Aukerak: -h, --help erakutsi laguntza-mezu hau eta atera -q, - txostenen erroreen berri lasaiak bakarrik -r, - irakurtzeko soilik bistaratzeko erroreak eta abisuak baina ez aldatu fitxategiak -R, --root CHROOT_DIR direktorioa -s bihurtzeko, --ordenatu ordenatzeko sarrerak UIDaren arabera

[root @ linuxbox ~] # useradd -h # Sortu erabiltzaile berria edo eguneratu erabiltzaile berriaren lehenetsitako # informazioa
Nola erabili: useradd [aukerak] USER useradd -D useradd -D [aukerak] Aukerak: -b, --base-dir BAS_DIR oinarrizko direktorioaren kontu berriaren etxeko direktorioaren oinarrizko base -c, --comment COMMENT GECOS eremuko new account -d, --home-dir PERSONAL_DIR new account's home directory -D, --defaults inprimatu edo aldatu useradd -e ezarpen lehenetsia aldatu, --expiredate EXPIRY_DATE kontu berriaren iraungitze data -f, - inactive INACTIVE inactivity period of kontu berriaren pasahitza
taldekatu
  -g, --gid TALDEaren izena edo kontu berriaren talde nagusiaren identifikatzailea -G, --groups TALDEAK kontu berriaren talde osagarrien zerrenda -h, --help laguntza mezu hau erakusten du eta amaitzen da -k, - skel DIR_SKELek ordezko "hezurdura" direktorio hau erabiltzen du -K, --key KEY = VALUE "/etc/login.defs" -l-ren balio lehenetsiak gainidazten ditu, --no-log-init-ek ez du erabiltzailea datu baseetan gehitzen from lastlog eta faillog -m, --create-home erabiltzailearen direktorio nagusia sortzen du -M, --no-create-home-k ez du erabiltzaile-direktorio nagusia sortzen -N, --no-user-group-ek ez du sortzen erabiltzailearen izen bera duen taldea -o, --non-unique erabiltzaileak identifikatzaile bikoiztuak (ez-bakarrak) (UIDak) dituzten erabiltzaileak sortzeko aukera ematen du -p, --password pasahitza kontu berriaren pasahitz enkriptatua -r, --sistemak sortzen du sistemaren kontu bat -R, --root CHROOT_DIR direktorioarekin -s sartu, --shell CONSOLE kontu berriaren sarbide kontsola -u, --uid kontu berriaren UID erabiltzaile identifikatzailea -U, --user-taldea sortuerabiltzailearen izen bera duen talde batek -Z, --selinux-user USER_SE zehaztutako erabiltzailea erabiltzen du SELinux erabiltzailearentzat

[root @ linuxbox ~] # userdel -h # Ezabatu erabiltzaile baten kontua eta erlazionatutako fitxategiak
Erabilera modua: userdel [aukerak] ERABILTZAILEA Aukerak: -f, --forzatu behar dira bestela huts egingo luketen ekintza batzuk, adibidez, oraindik saioa hasita edo fitxategiak kentzea, erabiltzailearenak ez badira ere -h, --help-ek mezu hau bistaratzen du Laguntza eta amaitu -r, --remove kendu etxeko direktorioa eta postontzia kendu -R, --root CHROOT_DIR direktorioa -Zrako chroot egiteko, --selinux-user kendu erabiltzailearentzako SELinux erabiltzaile mapaketa.

[root @ linuxbox ~] # usermod -h # Aldatu erabiltzaile kontua
Nola erabili: usermod [aukerak] ERABILTZAILEA Aukerak: -c, --comment IRUZKINA GECOS eremuaren balio berria -d, --home PERSONAL_DIR erabiltzaile berriaren hasierako direktorio berria -e, --expiredate EXPIRED_DATE data honen iraungitze data ezartzen du kontuak EXPIRED_DATE -f, --inactive INACTIVE-k denbora inaktiboa ezartzen du kontua INACTIVE-ra iraungi ondoren -gid TALDEAK GROUP erabiltzea behartzen du erabiltzaile kontu berrirako -G, --groups TALDEAK talde osagarrien zerrenda erantsi erantsi erabiltzailea -G aukerak aipatzen dituen TALDE osagarriei beste talde batzuetatik kendu gabe -h, --help laguntza-mezu hau bistaratu eta amaitu -l, - sartu berriro IZENA erabiltzailearen izena -L, - blokeo erabiltzailearen kontua blokeatzen du -m, --move-home etxeko direktorioaren edukia direktorio berrira eraman (-d-rekin batera bakarrik erabili) -o, --non-unique UID bikoiztuak (ez-bakarrak) erabiltzeko aukera ematen du -p, --password PASSWORD pasahitz enkriptatua erabili kontu berrirako -R, --root CHR OOT_DIR direktorioa -s sartu ahal izateko, --shell CONSOLE erabiltzaile konturako sarbide kontsola berria -u, --uid UID erabiltzaileak UID erabiltzera behartzen du erabiltzaile kontu berria -U, --unlock desblokeatzen du erabiltzaile kontua -Z, --selinux-user SEUSER erabiltzailearen konturako SELinux erabiltzaileen mapaketa berria

Komandoak Debianen

Debian-ek bereizten ditu useradd y adduser. Sistema administratzaileek erabiltzea gomendatzen du adduser.

root @ sysadmin: / home / xeon # adduser -h # Gehitu erabiltzaile bat sistemara
root @ sysadmin: / home / xeon # gehitu taldea -h # Gehitu talde bat sistemari
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup TALDEA | --gid ID] [--disabled-password] [--disabled-login] ERABILTZAILEA Gehitu erabiltzaile gehigarri arrunta --sistema [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--group | --taldea TALDEA | --gid ID] [--disabled-pasahitza] [--disabled-login] ERABILTZAILEA Gehitu erabiltzaile bat sistemako gehigailutik --group [--gid ID] GROUP addgroup [--gid ID] GROUP Gehitu erabiltzaile talde bat addgroup --system [--gid ID] GROUP Gehitu talde bat sistematik adduser ERABILTZAILE TALDEA Gehitu lehendik dagoen erabiltzailea lehendik dagoen talde bati aukera orokorrak: --quiet | -q ez du prozesuaren informazioa bistaratzen irteera estandarrean --force-badname baimendu konfigurazio aldagaiarekin bat ez datozen erabiltzaile izenak NAME_REGEX --help | -h erabilera mezua --version | -v bertsio zenbakia eta copyright --conf | -c FILE fitxategia erabili konfigurazio fitxategi gisa

root @ sysadmin: / home / xeon # deluser -h # Kendu erabiltzaile normal bat sistematik
root @ sysadmin: / home / xeon # taldekatu -h # Kendu talde normal bat sistematik
deluser ERABILTZAILEAK erabiltzaile arrunta kentzen du sistemaren adibidetik: deluser miguel --remove-home erabiltzailearen etxeko direktorioa eta posta ilara kentzen ditu. --remove-all-files erabiltzailearen jabetzako fitxategi guztiak kentzen ditu. - Backup-ek fitxategien babeskopiak ezabatu aurretik. - backup-to segurtasun kopiak egiteko helmuga direktorioa. Uneko direktorioa lehenespenez erabiltzen da. --sistema ezabatu sistemaren erabiltzailea bazara. delgroup GROUP deluser --group GROUP-ek talde bat kentzen du sistemaren adibidetik: deluser --group students --sistema sistematik talde bat bada bakarrik ezabatzen du. --hutsik bada bakarrik kendu kide gehiago ez badute. deluser USER GROUP erabiltzailea taldeko adibidetik kentzen du: deluser miguel students aukera orokorrak: --quiet | -q ez eman prozesuaren informazioa stdout -en --help | -h erabilera mezua --version | -v bertsio zenbakia eta copyright --conf | -c FITXATEGIA fitxategia erabili konfigurazio fitxategi gisa

Politikak

Erabiltzaile kontuak sortzerakoan kontuan hartu behar ditugun bi politika mota daude:

  • Erabiltzaile kontuaren gidalerroak
  • Pasahitz zahartze politikak

Erabiltzaile kontuaren gidalerroak

Praktikan, erabiltzaile kontua identifikatzen duten oinarrizko osagaiak hauek dira:

  • Erabiltzailearen kontuaren izena - erabiltzailea Konektatu, ez izena eta abizenak.
  • Erabiltzailearen IDa - UID.
  • Kide den talde nagusia - GID.
  • Pasahitza - pasahitza.
  • Sarbide baimenak - sartzeko baimenak.

Erabiltzaile kontua sortzerakoan kontuan hartu beharreko faktore nagusiak hauek dira:

  • Erabiltzaileak fitxategi-sistemara eta baliabideetara sarbidea izango duen denbora.
  • Erabiltzaileak pasahitza aldatu behar duen denbora - aldian behin - segurtasun arrazoiengatik.
  • Saioa hasteko -login- aktibo egongo den denbora.

Era berean, erabiltzaile bati berea esleitzerakoan UID y pasahitza, kontuan izan behar dugu:

  • Zenbaki osoaren balioa UID bakarra izan behar du eta ez negatiboa.
  • El pasahitza luzera eta konplexutasun egokia izan behar du, beraz, deszifratzea zaila da.

Pasahitz zahartze politikak

Linux sistema batean, pasahitza Erabiltzaile bati ez zaio iraungitze-denbora lehenetsirik esleitzen. Pasahitz zahartze gidalerroak erabiltzen baditugu, portaera lehenetsia alda dezakegu eta erabiltzaileak sortzerakoan, definitutako gidalerroak hartuko dira kontuan.

Praktikan, pasahitz baten adina ezartzerakoan kontuan hartu beharreko bi faktore daude:

  • Segurtasuna.
  • Erabiltzailearen erosotasuna.

Pasahitza seguruagoa da iraungitze epea zenbat eta txikiagoa izan. Arrisku gutxiago dago beste erabiltzaile batzuei filtratzeko.

Pasahitz zahartze politikak ezartzeko, komandoa erabil dezakegu aldaketa:

[root @ linuxbox ~] # chage
Erabilera modua: chage [aukerak] ERABILTZAILEA Aukerak: -d, --astast LAST_DAY azken pasahitzaren aldaketaren eguna LAST_DAY ezartzen du. eta amaitzen du -I, --inactive INACTIVE kontua desgaitzen du iraungitze datatik egun INACTIVE igarota -l, - zerrendak kontuaren adinari buruzko informazioa erakusten du -m, --mindays MINDAYS-ek MIN_DAYS -M pasahitza aldatu aurretik gutxieneko egun kopurua ezartzen du, --maxdays MAX_DAYS-ek gehienez egun kopurua ezarri du pasahitza MAX_DAYS -R-ra aldatu aurretik, --root CHROOT_DIR direktorioa -W-ra chroot egiteko, --warndays WARNING_DAYS-ek iraungitze oharraren egunak DAYS_NOTICE gisa ezartzen ditu.

Aurreko artikuluan hainbat erabiltzaile sortu genituen adibide gisa. Erabiltzailearen kontuaren adinaren balioak ezagutu nahi baditugu Konektatu galadriel:

[root @ linuxbox ~] # chage --list galadriel
Pasahitzaren azken aldaketa: 21/2017/0 Pasahitza iraungitzen da: inoiz Pasahitz ez aktiboa: inoiz Kontua iraungitzen da: inoiz Pasahitz aldaketaren arteko gutxieneko egun kopurua: 99999 Pasahitza aldatu arteko gehieneko egun kopurua: 7 Pasahitza iraungi baino lehen abisatutako egun kopurua: XNUMX

Horiek ziren sistemak lehenetsitako balioak erabiltzaile-kontua sortu genuenean "Erabiltzaileak eta taldeak" administrazio-utilitate grafikoa erabiliz:

 

Zahartze pasahitz balio lehenetsiak aldatzeko, fitxategia editatzea gomendatzen da /etc/login.defs y aldatu behar dugun gutxieneko balio kopurua. Fitxategi horretan balio hauek soilik aldatuko ditugu:

# Pasahitzaren zahartze kontrolak: # # PASS_MAX_DAYS Pasahitza gehienez egun erabili daiteke. # PASS_MIN_DAYS Pasahitz aldaketen artean onartutako gutxieneko egun kopurua. # PASS_MIN_LEN Gutxieneko pasahitz onargarriaren luzera. # PASS_WARN_AGE Pasahitza iraungi baino lehen emandako egun kopurua. # PASS_MAX_DAYS 99999 #! 273 urte baino gehiago! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

gure irizpide eta beharren arabera aukeratu ditugun balioetarako:

PASS_MAX_DAYS 42 # 42 egun jarraian erabil dezakezu pasahitza
PASS_MIN_DAYS 0 # pasahitza edozein unetan alda daiteke PASS_MIN_LEN 8 # gutxieneko pasahitzaren luzera PASS_WARN_AGE 7 # Sistemak # pasahitza aldatu aurretik ohartarazten dizun egun kopurua.

Gainerako fitxategia bere horretan uzten dugu eta zertan ari garen ondo jakin arte beste parametro batzuk ez aldatzea gomendatzen dugu.

Balio berriak kontuan hartuko dira erabiltzaile berriak sortzen ditugunean. Lehendik sortutako erabiltzaile baten pasahitza aldatzen badugu, gutxieneko luzeraren balioa errespetatuko da. Komandoa erabiltzen badugu passwd erabilgarritasun grafikoaren ordez eta pasahitza «hau izango dela idatziko dugulegolas17«, Sistema kexu da« Erabiltzaileak eta taldeak »tresna grafikoa bezalakoa, eta erantzuten du«Nolabait pasahitzak erabiltzaile izena irakurtzen du»Azkenean pasahitz ahul hori onartzen dudan arren.

[root @ linuxbox ~] # passwd legolas
Legolas erabiltzailearen pasahitza aldatzea. Pasahitz berria: atezaina               # 7 karaktere baino gutxiago da
PASA HIZKIDETASUNA: Pasahitza 8 karaktere baino gutxiago ditu Idatzi berriro pasahitz berria: legolas17
Pasahitzak ez datoz bat.               # Logikoa ezta?
Pasahitz berria: legolas17
PASA HIZKIDEA: Nolabait, pasahitzak erabiltzailearen izena irakurtzen du Idatzi berriro pasahitz berria: legolas17
passwd: autentifikazio token guztiak ondo eguneratu dira.

"Pasahitza" adierazteko "ahultasuna" dugu Konektatu erabiltzailearen. Hori gomendatzen ez den praktika da. Modu zuzena hau litzateke:

[root @ linuxbox ~] # passwd legolas
Legolas erabiltzailearen pasahitza aldatzea. Pasahitz berria: goi-mendi01
Idatzi berriro pasahitz berria: goi-mendi01
passwd: autentifikazio token guztiak ondo eguneratu dira.

-Ren iraungitze-balioak aldatzeko pasahitza de galadriel, chage komandoa erabiltzen dugu, eta balioa aldatzea besterik ez dugu PASS_MAX_DAYS 99999tik 42ra:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Pasahitzaren azken aldaketa: 21 api. 2017 Pasahitza iraungitzen da: 02 ekainak 2017 Pasahitz inaktiboa: inoiz ez da kontua iraungitzen: inoiz pasahitza aldatu arteko gutxieneko egun kopurua: 0 Pasahitz aldaketaren arteko gehieneko egun kopurua: 42
Pasahitza iraungi baino lehen abisatu den egun kopurua: 7

Eta horrela, lehendik sortutako erabiltzaileen pasahitzak eta iraungitze-balioak eskuz alda ditzakegu, «Erabiltzaileak eta taldeak» tresna grafikoa erabiliz edo script bat erabiliz - script interaktiboak ez diren lan batzuk automatizatzen dituena.

  • Modu honetan, sistemaren bertako erabiltzaileak segurtasunari buruzko ohiko praktikek gomendatzen ez duten moduan sortzen baditugu, portaera hori alda dezakegu PAM oinarritutako zerbitzu gehiago ezartzen jarraitu aurretik..

Erabiltzailea sortzen badugu anduin duten Konektatu «anduin»Eta pasahitza«ElPasahitza»Emaitza hau lortuko dugu:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Erabiltzailearen pasahitza aldatzea anduin. Pasahitz berria: ElPasahitza
PASA HIZKIDEA: Pasahitzak ez du hiztegiaren egiaztapena gainditzen - Hiztegiko hitz batean oinarrituta dago. Idatzi berriro pasahitz berria: ElPasahitza
passwd - autentifikazio token guztiak ondo eguneratu dira.

Beste modu batera esanda, sistema nahikoa sortzailea da pasahitzaren ahultasunak adierazteko.

[root @ linuxbox ~] # passwd anduin
Erabiltzailearen pasahitza aldatzea anduin. Pasahitz berria: goi-mendi02
Idatzi berriro pasahitz berria: goi-mendi02
passwd - autentifikazio token guztiak ondo eguneratu dira.

Politiken laburpena

  • Argi dago pasahitzaren konplexutasun politika eta gutxienez 5 karaktereko luzera gaituta daudela lehenespenez CentOS-en. Debian, konplexutasun kontrolak erabiltzaile normalentzat funtzionatzen du komandoa deituz pasahitza aldatzen saiatzen direnean passwd. Erabiltzailearentzat root, ez dago muga lehenetsirik.
  • Garrantzitsua da fitxategian adieraz ditzakegun aukera desberdinak ezagutzea /etc/login.defs komandoa erabiliz man login.defs.
  • Gainera, egiaztatu fitxategien edukia / etc / default / useradd, eta Debianen ere bai /etc/adduser.conf.

Sistemaren erabiltzaileak eta taldeak

Sistema eragilea instalatzeko prozesuan, erabiltzaile eta talde sorta oso bat sortzen da, literatura batek Erabiltzaile Estandarrak deitzen ditu eta beste bat Sistema Erabiltzaileak. Nahiago dugu Sistemaren Erabiltzaile eta Taldeak deitu.

Oro har, sistemaren erabiltzaileek badute UID <1000 eta zure kontuak sistema eragilearen aplikazio ezberdinek erabiltzen dituzte. Adibidez, erabiltzaile kontua «txipiroi»Squid programak erabiltzen du, eta, berriz,« lp »kontua erabiltzen da hitz edo testu editoreak inprimatzeko prozesurako.

Erabiltzaile eta talde horiek zerrendatu nahi baditugu, komandoen bidez egin dezakegu:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # cat / etc / group

Ez da batere gomendagarria sistemaren erabiltzaileak eta taldeak aldatzea. 😉

Bere garrantzia dela eta, CentOS-en errepikatzen dugu FreeBSD, eta beste sistema eragile batzuekin, -sistema- taldea sortzen da gurpila sarbidea gisa baimentzeko root talde horretako sistema erabiltzaileei soilik. Irakurri /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Eta /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debianek ez du talderik sartzen gurpila.

Erabiltzaile eta taldeko kontuak kudeatzea

Erabiltzaile eta taldeko kontuak kudeatzen ikasteko modurik onena hau da:

  • Goian zerrendatutako komandoen erabilera lantzea, ahal dela makina birtualean eta aurretik tresna grafikoak erabiltzeko.
  • Eskuliburuak kontsultatzea edo man orriak komando bakoitzaren Interneten beste edozein informazio bilatu aurretik.

Praktika da egiaren irizpiderik onena.

Laburpena

Oraingoz, Tokiko Erabiltzaile eta Taldearen Kudeaketari eskainitako artikulu bakarra ez da nahikoa. Administratzaile bakoitzak bereganatzen duen ezagutza maila hau eta beste gai batzuei buruz ikasi eta sakontzeko duen interes pertsonalaren araberakoa izango da. Artikulu sortan garatu ditugun alderdi guztiekin gertatzen den bezalaxe gertatzen da ETE Sareak. Modu berean bertsio hau pdf formatuan goza dezakezu hemen

Hurrengo entrega

Tokiko erabiltzaileen aurkako autentifikazioarekin zerbitzuak ezartzen jarraituko dugu. Programan oinarritutako berehalako mezularitza zerbitzua instalatuko dugu Prosodia.

Laster arte!


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

4 iruzkin, utzi zurea

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko.

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

  1.   HO2GI esan zuen

    Kaixo, artikulu bikaina, non lan egiten dudan galdetzen dizut, inprimagailuak asko partekatzen dira, arazoa edalontzietan dago, batzuetan zintzilik dago eta ezin dute inprimatu berrabiarazteko baimena eman dezakedala (gehienetan lanean ari garelako beste arlo batzuk) pasahitz erroa eman gabe, aurkitu dudan modu bakarra aldatzea da, erabiltzaile jakin batek berrabiarazi dezan.
    Dagoeneko From thank you very much.

    1.    federico esan zuen

      Agurrak HO2GI!. Adibidez, demagun erabiltzailea legolak CUPS zerbitzua soilik berrabiarazteko baimena eman nahi diozu, noski komandoa erabiliz sudo, instalatu behar dena:
      [root @ linuxbox ~] # visudo

      Cmnd ezizenen zehaztapena

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups berrabiarazi

      Erabiltzaile pribilegioaren zehaztapena

      erro ALL = (ALL: ALL) ALL
      legolas ALL = RESTARTCUPS

      Gorde fitxategian egindako aldaketak sudoers. Saioa hasi erabiltzaile gisa legolak:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid reload
      [sudo] legolasen pasahitza:
      Barkatu, legolas erabiltzaileak ez du onartzen linuxbox.fromlinux.fan-eko root gisa '/etc/init.d/postfix reload' exekutatzea.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups restart
      [sudo] legolasen pasahitza:
      [ok] Common Unix inprimatze sistema berrabiarazten: cupsd.

      Barka iezadazu CentOS-en gonbita desberdina bada, Debian Wheezy-n egin berri dudana gidatu baitut. ;-). Oraintxe nagoen lekuan, ez daukat CentOS esku artean.

      Bestalde, beste sistema erabiltzaileak CUPS administratzaile oso gisa gehitu nahi badituzu - gaizki konfigura dezakete - taldeko kide bihurtuko dituzu lpadmin, CUPS instalatzean sortzen dena.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI esan zuen

        Mila esker mila Fico oraintxe probatuko dut.

  2.   federico esan zuen

    HO2GI, CentOS / Red -Hat-en hau litzateke:

    [root @ linuxbox ~] # visudo

    Zerbitzuak

    Cmnd_Alias ​​RESTARTCUPS = / usr / bin / systemctl berrabiarazi edalontziak, / usr / bin / systemctl egoera edalontziak

    Baimendu root-i edozein komando exekutatzea

    erro ALL = (ALL) ALL
    legolas GUZTIAK = BERRIABIZI KOPAKOAK

    Aldaketak gorde

    [root @ linuxbox ~] # irten

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    legolas @ linuxbox-en pasahitza:

    [legolas @ linuxbox ~] $ sudo systemctl berrabiarazi edalontziak

    Tokiko Sistemaren ohiko hitzaldia jaso duzula uste dugu
    Administratzailea. Normalean hiru gauza hauek murrizten dira:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] legolasen pasahitza:
    [legolas @ linuxbox ~] $ sudo systemctl egoera kopak
    ● cups.service - CUPS inprimatze zerbitzua
    Kargatuta: kargatuta (/usr/lib/systemd/system/cups.service; gaituta; saltzailearen aurrezarpena: gaituta)
    Aktiboa: aktiboa (martxan) mar 2017-04-25 22:23:10 EDTtik; Duela 6s
    PID nagusia: 1594 (cupsd)
    CGroup: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [legolas @ linuxbox ~] $ sudo systemctl berrabiarazi squid.service
    Barkatu, legolas erabiltzaileak ezin du '/ bin / systemctl restart squid.service' linuxbox-eko root gisa exekutatu.
    [legolas @ linuxbox ~] $ irten