Paikallinen käyttäjien ja ryhmien hallinta - pk-yritykset

Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto

Hei ystävät ja ystävät!

Tämä artikkeli on jatkoa Kalmari + PAM-todennus CentOS 7- SMB -verkoissa.

UNIX / Linux-käyttöjärjestelmät tarjoavat TODELLISEN monen käyttäjän ympäristön, jossa monet käyttäjät voivat työskennellä samanaikaisesti samassa järjestelmässä ja jakaa resursseja, kuten prosessorit, kiintolevyt, muisti, verkkoliitännät, järjestelmään liitetyt laitteet ja niin edelleen.

Tästä syystä järjestelmänvalvojat ovat velvollisia hallinnoimaan jatkuvasti järjestelmän käyttäjiä ja ryhmiä sekä laatimaan ja toteuttamaan hyvän hallintostrategian.

Seuraavaksi näemme hyvin lyhyesti tämän tärkeän toiminnan yleiset näkökohdat Linux Systems Administrationissa.

Joskus on parempi tarjota apuohjelma ja sitten välttämättömyys.

Tämä on tyypillinen esimerkki tuosta järjestyksestä. Ensin näytämme miten Internet Proxy -palvelu otetaan käyttöön kalmareiden ja paikallisten käyttäjien kanssa. Nyt meidän on kysyttävä itseltämme:

• ¿Kuinka voin toteuttaa verkkopalveluja UNIX / Linux LAN: lla paikallisten käyttäjien ja hyväksyttävä turvallisuus?.

Ei ole väliä, että Windows-asiakkaat ovat myös yhteydessä tähän verkkoon. Ainoa merkitys on se, mitä palveluja pk-verkosto tarvitsee ja mikä on yksinkertaisin ja halvin tapa toteuttaa ne.

• ¿Ehkä todennusmekanismi syntymän yhteydessä ARPANET, Internet ja muut verkot Wide Area Network o Local Area Network nimikirjaimet perustuivat LDAP, Hakemistopalvelutai Microsoft LSASStai Active Directorytai Kerberos?, vain muutamia mainita.

Hyvä kysymys, johon kaikkien tulisi etsiä vastauksia. Kutsun sinut etsimään termiä «autentikointi»Englanninkielisessä Wikipediassa, joka on ylivoimaisesti kattavin ja yhtenäisin alkuperäisen sisällön osalta - englanniksi.

Historian mukaan jo karkeasti ottaen, ensin oli todennus y Valtuutus paikallinen, jälkeen NIS Verkkotietojärjestelmä kehittänyt Sun Microsystem ja tunnetaan myös nimellä Keltaiset Sivut o ypja sitten LDAP Lightweight Directory Access Protocol.

Entä "Hyväksyttävä suojaus»Tulee esiin, koska monta kertaa olemme huolissamme paikallisverkostomme turvallisuudesta, kun taas käytämme Facebookia, Gmailia, Yahooä jne. - mainitsemme vain muutaman - ja annamme yksityisyytemme niissä. Ja katso suuri määrä artikkeleita ja dokumentteja, jotka koskevat Ei yksityisyyttä Internetissä he ovat olemassa

Huomautus CentOSista ja Debianista

CentOSilla / Red Hatilla ja Debianilla on oma filosofia turvallisuuden toteuttamisesta, joka ei ole pohjimmiltaan erilainen. Vahvistamme kuitenkin, että molemmat ovat erittäin vakaita, turvallisia ja luotettavia. Esimerkiksi CentOS: ssa SELinux-konteksti on oletusarvoisesti käytössä. Debianissa meidän on asennettava paketti selinux-perusteet, mikä osoittaa, että voimme käyttää myös SELinuxia.

CentOSissa FreeBSDja muut käyttöjärjestelmät luodaan -system-ryhmä pyörä sallia pääsy nimellä juuri vain järjestelmän käyttäjille, jotka kuuluvat kyseiseen ryhmään. Lukea /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlJa /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian ei sisällä ryhmää pyörä.

Päätiedostot ja komennot

asiakirjat

Tärkeimmät paikallisten käyttäjien hallintaan liittyvät tiedostot Linux-käyttöjärjestelmässä ovat:

CentOS ja Debian

• / Etc / passwd: käyttäjätilin tiedot.
• / Etc / varjo- Käyttäjätilin suojaustiedot.
• / etc / group: ryhmätilitiedot.
• / etc / gshadow- Ryhmätilien suojaustiedot.
• / etc / default / useradd: tilin luomisen oletusarvot.
• / etc / skel /: hakemisto, joka sisältää oletustiedostot, jotka sisällytetään uuden käyttäjän HOME-hakemistoon.
• /etc/login.defs- Salasanasuojausmäärityspaketti.

Debian

• /etc/adduser.conf: tilin luomisen oletusarvot.

Komennot CentOS: lla ja Debianilla

[root @ linuxbox ~] # chpasswd -h # Päivitä salasanat erätilassa
Käyttötila: chpasswd [asetukset] Vaihtoehdot: -c, --crypt-method METHOD salausmenetelmä (yksi NONE DES MD5 SHA256 SHA512) -e, - salattu toimitetut salasanat salataan -h, --help näyttää tämän auttaa kyselemään ja lopettamaan -m, --md5 salaa salasanan selkeästi MD5-algoritmilla -R, --root CHROOT_DIR -hakemistolla chrootiksi -siksi, --sha-pyöristää SHA-kierrosten määrän SHA-salausalgoritmeille * # erä- Suorita komennot, kun järjestelmän lataus sallii. Toisin sanoen #, kun keskimääräinen kuorma laskee alle 0.8 tai arvo, joka on määritetty käytettäessä # atd -komentoa. Lisää tietoa mieserä.

[root @ linuxbox ~] # gpasswd -h # Ilmoita järjestelmänvalvojat / etc / group ja / etc / gshadow
Kuinka käyttää: gpasswd [vaihtoehdot] RYHMÄVaihtoehdot: -a, --add KÄYTTÄJÄ lisää KÄYTTÄJÄN RYHMÄÄN -d, --delete KÄYTTÄJÄ poistaa käyttäjän KÄYTTÄJÄRYHMÄSTÄ -h, --help näyttää tämän ohjeviestin ja päättyy -Q, - -root CHROOT_DIR -hakemisto, joka siirtyy -r: ksi, --delete-password poistaa RYHMÄN salasanan -R, --restrict rajoittaa ryhmän GROUP pääsyn jäsenilleen -M, --members USER, ... asettaa luettelon ryhmän RYHMÄ -A, --administrators ADMIN, ... asettaa RYHMÄN järjestelmänvalvojien luettelon Asetuksia -A ja -M lukuun ottamatta vaihtoehtoja ei voida yhdistää.

[root @ linuxbox ~] # ryhmä -h    # Luo uusi ryhmä
Kuinka käyttää: groupadd [options] GROUP-asetukset: -f, --force lopeta, jos ryhmä on jo olemassa, ja peruuta -g, jos GID on jo käytössä -g, --gid GID käyttää GID: tä uudelle ryhmälle - h, - ohje näyttää tämän ohjeviestin ja päättyy -K, --key KEY = VALUE korvaa "/etc/login.defs" -arvon oletusarvot -o, --non-ainutlaatuinen voit luoda ryhmiä GID-tunnisteilla (ei yksilöllisiä) kaksoiskappaleet -p, --password SALASANA käyttävät tätä salattua salasanaa uudelle ryhmälle -r, --system luo järjestelmätilin -R, --root CHROOT_DIR hakemistoon chrootiksi

[root @ linuxbox ~] # ryhmä del -h # Poista olemassa oleva ryhmä
Kuinka käyttää: groupdel [options] GROUP Options: -h, --help näytä tämä ohjeviesti ja lopeta -R, --root CHROOT_DIR -hakemisto chrootiksi

[root @ linuxbox ~] # ryhmävälineet -h # Ilmoita järjestelmänvalvojat käyttäjän ensisijaisessa ryhmässä
Kuinka käyttää: groupmems [options] [action] Vaihtoehdot: -g, --group GROUP muuttaa ryhmän nimen käyttäjän ryhmän sijasta (voi tehdä vain järjestelmänvalvoja) -R, --root CHROOT_DIR -hakemisto chrootiksi Toimintoihin: -a, --ad KÄYTTÄJÄ lisää KÄYTTÄJÄN ryhmän jäseniin -d, --poista KÄYTTÄJÄ poistaa käyttäjän KÄYTTÄJÄN ryhmän jäsenluettelosta -h, --help näyttää tämän ohjeviestin ja päättyy -p, - puhdistus puhdista kaikki ryhmän jäsenet - l, - listaa ryhmän jäsenet

[root @ linuxbox ~] # ryhmämod -h # Muokkaa ryhmän määritelmää
Kuinka käyttää: groupmod [options] GROUP Options: -g, --gid GID vaihtaa ryhmän tunnisteen GID -h: ksi, --help näyttää tämän ohjeviestin ja päättyy -n, --new-name NEW_Group muuttaa nimeä a NEW_GROUP -o, --non-ainutlaatuinen sallii käyttää kaksoiskappaletta GID (ei yksilöllinen) -p, - salasana SALASANA vaihtaa salasanan SALASANA (salattu) -R, --root CHROOT_DIR hakemistoon chrootiksi

[root @ linuxbox ~] # grpck -h # Tarkista ryhmätiedoston eheys
Kuinka käyttää: grpck [vaihtoehdot] [ryhmä [gshadow]] Vaihtoehdot: -h, --help näyttää tämä ohjeviesti ja poistu -r, - vain luettavat näyttövirheet ja varoitukset, mutta eivät muuta tiedostoja -R, - -root CHROOT_DIR -hakemisto chroot-osaksi -s, - lajittele merkinnät UID: n mukaan

[root @ linuxbox ~] # grpconv
# Liitetyt komennot: pwconv, pwunconv, grpconv, grpunconv
# Käytetään muuntaa varjosalasanoiksi ja ryhmiksi
# Neljä komentoa toimivat tiedostoilla / etc / passwd, / etc / group, / etc / shadow, 
# ja / etc / gshadow. Lisätietoja mies grpconv.

[root @ linuxbox ~] # sg -h # Suorita komento eri ryhmätunnuksella tai GID: llä
Kuinka käyttää: sg-ryhmä [[-c] -järjestys]

[root @ linuxbox ~] # newgrp -h # Vaihda nykyinen GID kirjautumisen aikana
Kuinka käyttää: newgrp [-] [ryhmä]

[root @ linuxbox ~] # uudet käyttäjät -h # Päivitä ja luo uusia käyttäjiä erätilassa
Käyttötila: uudenkäyttäjät [asetukset] Vaihtoehdot: -c, --crypt-method MENETELMÄ salaustapa (yksi NONE DES MD5 SHA256 SHA512) -h, --help näyttää tämä ohjeviesti ja poistu -r, --system luo järjestelmätilit -R, --root CHROOT_DIR -hakemisto, joka jakautuu -s, --sha-pyöristää SHA-kierrosten lukumäärän SHA-salausalgoritmeille *

[root @ linuxbox ~] # pwck -h # Tarkista salasanatiedostojen eheys
Kuinka käyttää: pwck [vaihtoehdot] [passwd [varjo]] Asetukset: -h, --help näytä tämä ohjeviesti ja poistu -q, - hiljaiset raporttivirheet vain -r, - vain luettavat näyttövirheet ja varoitukset mutta älä muuta tiedostoja -R, --root CHROOT_DIR hakemistosta chroot osaksi -s, - lajittele merkinnät UID: n mukaan

[root @ linuxbox ~] # useradd -h # Luo uusi käyttäjä tai päivitä uuden käyttäjän # # oletustiedot
Kuinka käyttää: useradd [options] USER useradd -D useradd -D [options] Options: -b, --base-dir BAS_DIR base directory for new account home directory -c, --comment COMMENT GECOS field uusi tili -d, --home-dir PERSONAL_DIR uuden tilin kotihakemisto -D, --defaults tulostaa tai muuttaa käyttäjänadd -e oletusasetusta, --expiredate uuden tilin viimeinen käyttöpäivämäärä -f, - passiivinen EI-aktiivinen uuden tilin salasanan käyttämättömyys
ryhmittyä
  -g, --gid Uuden tilin ensisijaisen ryhmän ryhmän nimi tai tunniste -G, --groups GROUPS luettelo uuden tilin täydentävistä ryhmistä -h, --help näyttää tämän ohjeviestin ja päättyy -k, - skel DIR_SKEL käyttää tätä vaihtoehtoista "luuranko" -hakemistoa -K, --key KEY = VALUE korvaa "/etc/login.defs" -l: n oletusarvot, --nono-log-init ei lisää käyttäjää tietokantoihin lastlogista ja faillogista -m, --create-home luo käyttäjän kotihakemiston -M, --no-create-home ei luo käyttäjän -N kotihakemistoa, --no-user-group ei luo ryhmää sama nimi kuin käyttäjä -o, --non-ainutlaatuinen antaa mahdollisuuden luoda käyttäjille päällekkäiset (ei-yksilölliset) tunnisteet (UID) -p, --password PASSWORD -salattu uuden tilin salasana -r, --system luo tilin system -R, --root CHROOT_DIR -hakemisto, joka siirtyy -s, --shell CONSOLE -tilikonsoli uudelle tilille -u, --uid UID-käyttäjätunnus uudelle tilille -U, --user-group createryhmä, jolla on sama nimi kuin käyttäjällä -Z, --selinux-user USER_SE käyttää määritettyä käyttäjää SELinux-käyttäjälle

[root @ linuxbox ~] # userdel -h # Poista käyttäjän tili ja siihen liittyvät tiedostot
Käyttötila: userdel [vaihtoehdot] KÄYTTÄJÄVALIKKO: -f, - Force pakottaa joitain toimintoja, jotka muuten epäonnistuvat, esim. Edelleen kirjautuneen käyttäjän tai tiedostojen poistaminen, vaikka se ei olisikaan käyttäjän omistuksessa -h, --help näyttää tämän viestin Ohje ja lopeta -r, --remove poista kotihakemisto ja postilaatikko -R, --root CHROOT_DIR -hakemisto chrootiksi -Z: ksi, --selinux-user poista kaikki käyttäjän SELinux-käyttäjän kartoitukset

[root @ linuxbox ~] # käyttäjä mod -h # Muokkaa käyttäjätiliä
Kuinka käyttää: usermod [options] KÄYTTÄJÄVALIKKO: -c, --kommentoi KOMMENTTI GECOS-kentän uusi arvo -d, --home PERSONAL_DIR uuden käyttäjän uusi kotihakemisto -e, --expiredate EXPIRED_DATE asettaa viimeisen käyttöpäivämäärän tilin EXPIRED_DATE -f, --aktiivinen EI-aktiivinen asettaa tyhjäkäyntiajan tilin vanhentumisen jälkeen -T, -gid GROUP pakottaa ryhmän käytön uudelle käyttäjätilille -G, --groups GROUPUPS lisäryhmät -a, --append liittävät käyttäjän lisäryhmiin, jotka -G-vaihtoehto mainitsee poistamatta häntä muista ryhmistä -h, --help näytä tämä ohjeviesti ja lopeta -l, --login NAME uudelleen käyttäjän nimi -L, --lock lukitsee käyttäjätilin -m, --move-home siirrä kotihakemiston sisältö uuteen hakemistoon (käytä vain yhdessä -d: n kanssa) -o, --non-ainutlaatuinen sallii käytön Päällekkäiset UID-tunnukset (ei yksilölliset) -p, - salasanan SALASANA käyttävät salattua salasanaa uudelle tilille -R, --root CHR OOT_DIR-hakemisto, joka siirtyy -s -sarjaan, --shell CONSOLE uusi käyttäjätilikonsoli käyttäjätilille -u, --uid UID pakottaa UID: n käytön uudelle käyttäjätilille -U, --unlock avaa käyttäjätilin -Z, --selinux-user SEUSER uusi SELinux-käyttäjän kartoitus käyttäjätilille

Komennot Debianissa

Debian erottaa toisistaan useradd y lisää käyttäjä. Suosittelee järjestelmänvalvojille lisää käyttäjä.

root @ sysadmin: / home / xeon # lisää käyttäjä -h # Lisää käyttäjä järjestelmään
root @ sysadmin: / home / xeon # lisäryhmä -h # Lisää ryhmä järjestelmään
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ryhmä RYHMÄ | --gid ID] [--disabled-password] [--disabled-login] KÄYTTÄJÄ Lisää tavallinen käyttäjän adduser --system [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--ryhmä | --ryhmä RYHMÄ | --gid ID] [--disabled-password] [--disabled-login] KÄYTTÄJÄ Lisää käyttäjä järjestelmän lisäosasta --group [--gid ID] GROUP addgroup [--gid ID] GROUP Lisää käyttäjäryhmä addgroup --system [--gid ID] GROUP Lisää ryhmä järjestelmän adduserista USER GROUP Lisää olemassa oleva käyttäjä olemassa olevaan ryhmään yleiset asetukset: --quiet | -q eivät näytä prosessitietoja vakiotulosteessa - force-badname sallivat käyttäjänimet, jotka eivät vastaa määritysmuuttujaa NAME_REGEX --help | -h -käyttöviesti --version | -v versionumero ja tekijänoikeudet --conf | -c FILE käyttää tiedostoa määritystiedostona

root @ sysadmin: / home / xeon # deluser -h # Poista normaali käyttäjä järjestelmästä
root @ sysadmin: / home / xeon # ryhmittyä -h # Poista normaali ryhmä järjestelmästä
deluser USER poistaa normaalin käyttäjän järjestelmäesimerkistä: deluser miguel --remove-home poistaa käyttäjän kotihakemiston ja postijonon. --remove-all-files poistaa kaikki käyttäjän omistamat tiedostot. --backup varmuuskopioi tiedostot ennen poistamista. - varmuuskopiointi kohdekansio varmuuskopiointia varten. Nykyistä hakemistoa käytetään oletuksena. --system poistaa vain, jos olet järjestelmän käyttäjä. delgroup GROUP deluser --group GROUP poistaa ryhmän järjestelmäesimerkistä: deluser --group students --system poistaa vain, jos se on ryhmä järjestelmästä. --on-if-empty vain poista, jos heillä ei ole enää jäseniä. deluser KÄYTTÄJÄRYHMÄ poistaa käyttäjän ryhmästä, esimerkki: deluser miguel students yleiset vaihtoehdot: --quiet | -q älä anna prosessitietoja stdoutista --help | -h -käyttöviesti --version | -v versionumero ja tekijänoikeudet --conf | -c FILE käyttää tiedostoa määritystiedostona

Säännöt

Käyttäjätilejä luodessamme on otettava huomioon kahden tyyppiset käytännöt:

• Käyttäjätilien käytännöt
• Salasanojen ikääntymistä koskevat käytännöt

Käyttäjätilien käytännöt

Käytännössä käyttäjätilin tunnistavat peruskomponentit ovat:

• Käyttäjätilin nimi - käyttäjä LOGIN, ei nimeä ja sukunimiä.
• Käyttäjätunnus - UID.
• Pääryhmä, johon se kuuluu - G.I.D..
• Salasana - salasana.
• Pääsyluvat - käyttöoikeudet.

Tärkeimmät huomioon otettavat tekijät, kun luot käyttäjätiliä, ovat:

• Aika, jonka käyttäjällä on pääsy tiedostojärjestelmään ja resursseihin.
• Aika, jonka käyttäjän on vaihdettava salasanansa - säännöllisesti - turvallisuussyistä.
• Aika, jonka sisäänkirjautumistunnus pysyy aktiivisena.

Lisäksi määritettäessä käyttäjälle hänen UID y salasana, meidän on pidettävä mielessä, että:

• Kokonaisluku UID sen on oltava ainutlaatuinen eikä negatiivinen.
• El salasana sen on oltava riittävän pitkä ja monimutkainen, jotta sitä on vaikea tulkita.

Salasanojen ikääntymistä koskevat käytännöt

Linux-järjestelmässä salasana käyttäjän käyttäjälle ei ole määritetty oletusaika. Jos käytämme salasanan ikääntymiskäytäntöjä, voimme muuttaa oletuskäyttäytymistä ja käyttäjiä luodessasi määritetyt käytännöt otetaan huomioon.

Käytännössä salasanan ikää asetettaessa on otettava huomioon kaksi tekijää:

• Turvallisuus.
• Käyttäjän mukavuus.

Salasana on turvallisempi, mitä lyhyempi sen voimassaoloaika on. On vähemmän riskiä, ​​että se vuotaa muille käyttäjille.

Voit määrittää salasanan ikääntymiskäytännöt komennolla haastaa:

[root @ linuxbox ~] # haukko
Käyttötila: chage [options] USER Options: -d, --lastday LAST_DAY asettaa viimeisen salasanan vaihdon päiväksi LAST_DAY -E, --expiredate CAD_DATE asettaa viimeisen käyttöpäivämäärän CAD_DATE -h, --help näyttää tämä ohjeviesti päättyy -I, --inactive INACTIVE poistaa tilin käytöstä INACTIVE-päivän jälkeen viimeisestä käyttöpäivästä -l, --list näyttää tilin ikätiedot -m, --mindays MINDAYS asettaa numeron vähimmäispäivät ennen salasanan vaihtamista MIN_DAYS -M, --maxdays MAX_DAYS asettaa päivien enimmäismäärän ennen salasanan vaihtamista MAX_DAYS -R, --root CHROOT_DIR -hakemistoksi chrootiksi -W, --warndays WARNING_DAYS asettaa päivän päättymisilmoitus DAYS_NOTICE

Edellisessä artikkelissa loimme useita käyttäjiä esimerkkinä. Jos haluamme tietää käyttäjän tilin ikäarvot LOGIN Galadriel:

[root @ linuxbox ~] # chage --list galadriel
Viimeinen salasanan vaihto: 21. huhtikuuta 2017 Salasana vanhenee: ei koskaan passiivinen salasana: ei koskaan tili vanhenee: ei koskaan Salasanan vaihdon välinen päivien vähimmäismäärä: 0 Salasanan vaihdon välisten päivien enimmäismäärä: 99999 Ilmoitusta edeltävien päivien lukumäärä salasana vanhenee: 7

Nämä olivat oletusarvot, jotka järjestelmällä oli luodessamme käyttäjätilin graafisen hallintatyökalun "Käyttäjät ja ryhmät" avulla:

Salasanan vanhentamisen oletusasetusten muuttamiseksi on suositeltavaa muokata tiedostoa /etc/login.defs y muokkaa tarvitsemaamme vähimmäismäärää arvoja. Tiedostossa muutamme vain seuraavia arvoja:

# Salasanan ikääntymisen hallinta: # # PASS_MAX_DAYS Salasanan päivien enimmäismäärä. # PASS_MIN_DAYS Salasanan vaihtamisen välinen vähimmäismäärä päiviä. # PASS_MIN_LEN Salasanan vähimmäispituus. # PASS_WARN_AGE Päivien varoitus, joka annetaan ennen salasanan vanhentumista. # PASS_MAX_DAYS 99999 #! Yli 273 vuotta! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

arvoille, jotka valitsimme kriteereidemme ja tarpeidemme mukaan:

PASS_MAX_DAYS 42 # 42 jatkuvaa päivää voit käyttää salasana
PASS_MIN_DAYS 0 # salasana voidaan vaihtaa milloin tahansa PASS_MIN_LEN 8 # salasanan vähimmäispituus PASS_WARN_AGE 7 # Päivien lukumäärä, jonka järjestelmä varoittaa sinua # vaihtamaan salasanan ennen kuin se vanhenee.

Jätämme loput tiedostosta sellaisenaan ja suosittelemme, ettemme muuta muita parametreja, ennen kuin tiedämme mitä teemme.

Uudet arvot otetaan huomioon, kun luot uusia käyttäjiä. Jos vaihdamme jo luodun käyttäjän salasanan, salasanan vähimmäispituuden arvoa noudatetaan. Jos käytämme komentoa passwd graafisen apuohjelman sijaan ja kirjoitamme, että salasana on «legolas17«, Järjestelmä valittaa kuten graafinen työkalu« Käyttäjät ja ryhmät »ja se vastaa, että«Jotenkin salasana lukee käyttäjänimen»Vaikka lopulta hyväksyn heikon salasanan.

[root @ linuxbox ~] # passwd legolas
Legolas-käyttäjän salasanan vaihtaminen. Uusi salasana: jousimies               # on alle 7 merkkiä
VÄÄRIN SALASANA: Salasanassa on alle 8 merkkiä. Kirjoita uusi salasana uudelleen: legolas17
Salasanat eivät täsmää.               # Looginen oikein?
Uusi salasana: legolas17
VÄÄRIN SALASANA: Jotenkin salasana lukee käyttäjän nimen. Kirjoita uusi salasana uudelleen: legolas17
passwd: kaikki todennustunnukset päivitettiin onnistuneesti.

Meillä on "heikkous", kun ilmoitetaan salasana, joka sisältää salasanan LOGIN käyttäjä. Se ei ole suositeltava käytäntö. Oikea tapa olisi:

[root @ linuxbox ~] # passwd legolas
Legolas-käyttäjän salasanan vaihtaminen. Uusi salasana: highmounts01
Kirjoita uusi salasana uudelleen: highmounts01
passwd: kaikki todennustunnukset päivitettiin onnistuneesti.

Muuta vanhentumisarvoja salasana de Galadriel, käytämme chage-komentoa, ja meidän on vain muutettava arvon PASS_MAX_DAYS 99999 - 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Viimeinen salasanan vaihto: 21. huhtikuuta 2017 Salasanan voimassaolo päättyy: 02 Passiivinen salasana: ei koskaan Tili ei vanhene: koskaan Salasanan vaihdon välinen päivien vähimmäismäärä: 2017 Salasanan vaihdon välinen päivien enimmäismäärä: 42
Ilmoituspäivien määrä ennen salasanan vanhenemista: 7

Ja niin edelleen, voimme muuttaa jo luotujen käyttäjien salasanoja ja vanhentumisarvoja manuaalisesti graafisella työkalulla «Käyttäjät ja ryhmät» tai komentosarjalla - käsikirjoitus joka automatisoi osan ei-vuorovaikutteisesta työstä.

• Tällä tavalla, jos luomme järjestelmän paikalliset käyttäjät tavalla, jota ei suositella yleisimmissä tietoturvakäytännöissä, voimme muuttaa tätä käyttäytymistä ennen kuin jatkamme PAM-pohjaisten palvelujen käyttöönottoa..

Jos luomme käyttäjän anduin kanssa LOGIN «anduin»Ja salasana«Salasana»Saamme seuraavan tuloksen:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Käyttäjän anduin salasanan vaihtaminen. Uusi salasana: Salasana
VÄÄRIN SALASANA: Salasana ei läpäise sanakirjan vahvistusta - Se perustuu sanakirjan sanaan. Kirjoita uusi salasana uudelleen: Salasana
passwd - Kaikki todennustunnukset päivitettiin onnistuneesti.

Toisin sanoen järjestelmä on tarpeeksi luova osoittamaan salasanan heikkoudet.

[root @ linuxbox ~] # passwd anduin
Käyttäjän anduin salasanan vaihtaminen. Uusi salasana: highmounts02
Kirjoita uusi salasana uudelleen: highmounts02
passwd - Kaikki todennustunnukset päivitettiin onnistuneesti.

Yhteenveto käytännöistä

• Salasanan monimutkaisuuskäytäntö ja viiden merkin vähimmäispituus ovat selvästi oletusarvoisesti käytössä CentOSissa. Debianissa monimutkaisuuden tarkistus toimii normaaleille käyttäjille, kun he yrittävät vaihtaa salasanansa komennolla passwd. Käyttäjälle juuri, ei ole oletusrajoituksia.
• On tärkeää tietää eri vaihtoehdot, jotka voimme ilmoittaa tiedostossa /etc/login.defs käyttämällä komentoa miehen sisäänkirjautuminen.
• Tarkista myös tiedostojen sisältö / etc / default / useraddja myös Debianissa /etc/adduser.conf.

Järjestelmän käyttäjät ja ryhmät

Käyttöjärjestelmän asennuksen yhteydessä luodaan koko joukko käyttäjiä ja ryhmiä, joita yksi kirjallisuus kutsuu vakiokäyttäjiksi ja toinen järjestelmän käyttäjiksi. Mieluummin kutsumme heitä järjestelmän käyttäjiksi ja ryhmiksi.

Pääsääntöisesti järjestelmän käyttäjillä on UID <1000 ja käyttöjärjestelmäsi eri sovellukset käyttävät tilejäsi. Esimerkiksi käyttäjätili «kalmari»Squid-ohjelma käyttää sitä, kun taas« lp »-tiliä käytetään tulostukseen sana- tai tekstieditorissa.

Jos haluamme listata nuo käyttäjät ja ryhmät, voimme tehdä sen komennoilla:

[root @ linuxbox ~] # kissa / etc / passwd
[root @ linuxbox ~] # kissa / etc / ryhmä

Järjestelmän käyttäjien ja ryhmien muokkaamista ei suositella lainkaan. 😉

Sen tärkeyden vuoksi toistamme, että CentOS: ssa FreeBSDja muut käyttöjärjestelmät luodaan -system-ryhmä pyörä sallia pääsy nimellä juuri vain järjestelmän käyttäjille, jotka kuuluvat kyseiseen ryhmään. Lukea /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlJa /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian ei sisällä ryhmää pyörä.

Käyttäjä- ja ryhmätilien hallinta

Paras tapa oppia hallitsemaan käyttäjä- ja ryhmätilejä on:

• Yllä lueteltujen komentojen käytön harjoittelu, mieluiten virtuaalikoneessa ja ennen käyttää graafisia työkaluja.
• Katso käyttöoppaita tai man sivuilla jokaisen komennon, ennen kuin etsit muita tietoja Internetistä.

Harjoittelu on paras totuuden kriteeri.

Yhteenveto

Ylivoimaisesti ainoa artikkeli, joka on omistettu paikalliselle käyttäjälle ja ryhmänhallinnalle, ei riitä. Kunkin järjestelmänvalvojan hankkima tieto riippuu henkilökohtaisesta kiinnostuksesta oppia ja syventää tätä ja muita aihealueita. Se on sama kuin kaikkien artikkelisarjassa kehittämiemme näkökohtien kanssa Pk-yritykset. Samalla tavalla voit nauttia tästä versiosta pdf-muodossa tässä

Seuraava toimitus

Jatkamme paikallisten käyttäjien todentamispalveluiden toteuttamista. Asennamme sitten pikaviestipalvelun ohjelman perusteella Prosodia.

Nähdään pian!