Upravljanje lokalnim korisnicima i skupinama - MSP mreže

Opći indeks serije: Računalne mreže za mala i srednja poduzeća: Uvod

Pozdrav prijatelji i prijatelji!

Ovaj je članak nastavak Provjera autentičnosti Squid + PAM u CentOS 7- SMB mrežama.

UNIX / Linux operativni sustavi nude STVARNO višekorisničko okruženje, u kojem mnogi korisnici mogu istovremeno raditi na istom sustavu i dijeliti resurse poput procesora, tvrdih diskova, memorije, mrežnih sučelja, uređaja umetnutih u sustav itd.

Iz tog su razloga administratori sustava dužni kontinuirano upravljati korisnicima i skupinama sustava te formulirati i provoditi dobru strategiju upravljanja.

Dalje ćemo vrlo jezgrovito vidjeti općenite aspekte ove važne aktivnosti u Administriranju Linux sustava.

Ponekad je bolje ponuditi uslužne, a zatim nužne potrebe.

Ovo je tipičan primjer te naredbe. Prvo pokažemo kako implementirati internetsku proxy uslugu sa Squidom i lokalnim korisnicima. Sada se moramo zapitati:

  • ¿kako mogu implementirati mrežne usluge na UNIX / Linux LAN-u od lokalnih korisnika i sa prihvatljiva sigurnost?.

Nije važno što su i Windows klijenti povezani s ovom mrežom. Važna je samo potreba za koje usluge Mreža MSP treba i koji je najjednostavniji i najjeftiniji način njihove primjene.

Dobro pitanje na koje bi svi trebali potražiti svoje odgovore. Pozivam vas da tražite pojam «ovjera»Na Wikipediji na engleskom jeziku, koja je daleko najcjelovitija i najskladnija što se tiče izvornog sadržaja - na engleskom jeziku.

Prema povijesti već grubo, prvo je bio ovjera y Ovlaštenje mjesni, poslije NIS Mrežni informacijski sustav razvio Sun Microsystem i poznat i kao Žute Stranice o yp, i onda LDAP Lagani katalog pristupnog pristupa.

Što je sa «Prihvatljiva sigurnost»Događa se jer se puno puta brinemo o sigurnosti naše lokalne mreže, dok pristupamo Facebooku, Gmailu, Yahoou itd. - da spomenemo samo neke - i u njih dajemo svoju privatnost. I pogledajte veliki broj članaka i dokumentaraca koji se tiču Nema privatnosti na Internetu oni postoje

Napomena o CentOS-u i Debianu

CentOS / Red Hat i Debian imaju vlastitu filozofiju o tome kako implementirati sigurnost, koja se u osnovi ne razlikuje. Međutim, potvrđujemo da su obje vrlo stabilne, sigurne i pouzdane. Na primjer, u CentOS-u je SELinux kontekst omogućen prema zadanim postavkama. U Debianu moramo instalirati paket osnove selinux-a, što ukazuje da možemo koristiti i SELinux.

U CentOS-u, FreeBSDi ostalih operativnih sustava stvara se grupa -sustav kotač kako bi se omogućio pristup kao korijen samo korisnicima sustava koji pripadaju toj grupi. Čitati /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, I /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian ne uključuje grupu kotač.

Glavne datoteke i naredbe

ploče

Glavne datoteke povezane s upravljanjem lokalnim korisnicima u operacijskom sustavu Linux su:

CentOS i Debian

  • / Etc / passwd: podaci o korisničkom računu.
  • / etc / shadow- Sigurnosne informacije o korisničkom računu.
  • / etc / group: podaci o grupnom računu.
  • / etc / gshadow- Sigurnosne informacije za grupne račune.
  • / etc / default / useradd: zadane vrijednosti za stvaranje računa.
  • / etc / skel /: direktorij koji sadrži zadane datoteke koje će biti uključene u HOME direktorij novog korisnika.
  • /etc/login.defs- Konfiguracijski paket zaštite lozinke.

Debian

  • /etc/adduser.conf: zadane vrijednosti za stvaranje računa.

Naredbe na CentOS-u i Debianu

[root @ linuxbox ~] # chpasswd -h # Ažuriranje lozinki u batch načinu rada
Kako se koristi: chpasswd [opcije] Opcije: -c, --crypt-method METODA metoda kripte (jedna od NONE DES MD5 SHA256 SHA512) -e, --kriptirane šifrirane lozinke -h, --help to pokazuje pomoć zatraži i završi -m, --md5 šifrira lozinku u bistro koristeći MD5 algoritam -R, --root CHROOT_DIR direktorij za chroot u -s, --sha-rounds broj SHA rundi za SHA algoritme šifriranja * # serija- Izvršavajte naredbe kad to dopušta opterećenje sustava. Drugim riječima # kada prosječno opterećenje padne ispod 0.8 ili vrijednost navedena pozivanjem # naredbe atd. Više informacija čovjek serija.

[root @ linuxbox ~] # gpasswd -h # Prijavite administratore u / etc / group i / etc / gshadow
Kako se koristi: gpasswd [options] GROUP Options: -a, --add USER dodaje USER u GROUP -d, --delete USER uklanja USER iz GROUP -h, --help prikazuje ovu poruku pomoći i završava -Q, - - root CHROOT_DIR direktorij za chroot u -r, --delete-password uklanjanje lozinke GROUP -R, --ograničava ograničava pristup GROUP-u svojim članovima -M, -članovi USER, ... postavljaju popis članova GROUP-a - A, --administrators ADMIN, ... postavlja popis GROUP administratora Osim opcija -A i -M, opcije se ne mogu kombinirati.

[root @ linuxbox ~] # groupadd -h    # Stvorite novu grupu
Kako koristiti: groupadd [opcije] GROUP Opcije: -f, --force prekinuti ako grupa već postoji, i otkazati -g ako se GID već koristi -g, --gid GID koristi GID za novu grupu - h, - help prikazuje ovu poruku pomoći i završava -K, --key KLJUČ = VRIJEDNOST prepisuje zadane vrijednosti "/etc/login.defs" -o, --non-unique omogućuje stvaranje grupa s GID-ovima (nisu jedinstvene) duplikati -p, --password PASSWORD upotrijebite ovu šifriranu lozinku za novu grupu -r, --sustav stvorite sistemski račun -R, --root CHROOT_DIR direktorij za chroot u

[root @ linuxbox ~] # grupnjak -h # Izbrišite postojeću grupu
Kako se koristi: groupdel [options] GROUP Options: -h, --help prikaži ovu poruku pomoći i prekini -R, --root direktorij CHROOT_DIR za chroot u

[root @ linuxbox ~] # grupne članove -h # Proglasite administratore u primarnoj grupi korisnika
Kako se koristi: groupmems [options] [action] Opcije: -g, --group GROUP mijenja naziv grupe umjesto korisničke grupe (može to učiniti samo administrator) -R, --root CHROOT_DIR direktorij za chroot u akcije: -a, --dodaj KORISNIK dodaje KORISNIKA članovima grupe -d, --briši KORISNIK uklanja KORISNIKA s popisa članova grupe -h, --help prikazuje ovu poruku pomoći i završava -p, - očisti čišćenje svih članova grupe - l, --popis članova grupe s popisa

[root @ linuxbox ~] # grupni mod -h # Izmijenite definiciju grupe
Kako koristiti: groupmod [options] GROUP Options: -g, --gid GID mijenja identifikator grupe u GID -h, --help prikazuje ovu poruku pomoći i završava -n, --new-name NEW_Group mijenja ime a NEW_GROUP -o, --non-unique omogućuje upotrebu dvostrukog GID-a (nije jedinstveni) -p, --password PASSWORD mijenja lozinku u PASSWORD (šifrirano) -R, --root CHROOT_DIR direktorij za chroot u

[root @ linuxbox ~] # grpck -h # Provjerite cjelovitost datoteke grupe
Kako koristiti: grpck [opcije] [grupa [gshadow]] Opcije: -h, --help prikaži ovu poruku pomoći i izađi -r, - samo za čitanje prikazuju se pogreške i upozorenja, ali ne mijenjaju datoteke -R, - - root CHROOT_DIR direktorij za chroot u -s, --sort sortiranje unosa prema UID-u

[root @ linuxbox ~] # grpconv
# Pridružene naredbe: pwconv, pwunconv, grpconv, grpunconv
# Koristi se za pretvaranje u i iz lozinki i grupa iz sjene
# Četiri naredbe djeluju na datoteke / etc / passwd, / etc / group, / etc / shadow, 
# i / etc / gshadow. Za više informacija čovjek grpconv.

[root @ linuxbox ~] # sg -h # Izvršite naredbu s drugim ID-om ili GID-om grupe
Kako se koristi: sg group [[-c] order]

[root @ linuxbox ~] # novi grp -h # Promijenite trenutni GID tijekom prijave
Kako koristiti: newgrp [-] [grupa]

[root @ linuxbox ~] # novokorisnici -h # Ažurirajte i stvorite nove korisnike u batch načinu
Način korištenja: novi korisnici [opcije] Opcije: -c, --crypt-method METODA metoda kripte (jedna od NONE DES MD5 SHA256 SHA512) -h, --pomoć prikazati ovu poruku pomoći i izaći -r, --sistem stvoriti sustav account -R, --root CHROOT_DIR direktorij za chroot u -s, --sha-rounds broj SHA rundi za SHA algoritme šifriranja *

[root @ linuxbox ~] # pwck -h # Provjerite integritet datoteka lozinki
Kako se koristi: pwck [opcije] [passwd [sjena]] Opcije: -h, --help prikaži ovu poruku pomoći i izađi -q, - samo tiho prijavi pogreške -r, - samo za čitanje prikaži pogreške i upozorenja, ali ne mijenjajte datoteke -R, --root direktorij CHROOT_DIR u chroot u -s, - sortiranje unosa prema UID-u

[root @ linuxbox ~] # useradd -h # Stvorite novog korisnika ili ažurirajte zadane # informacije novog korisnika
Kako koristiti: useradd [opcije] KORISNIK useradd -D useradd -D [opcije] Opcije: -b, --base-dir BAS_DIR osnovni direktorij za početni direktorij novog računa -c, --komentirajte polje COMMENT GECOS na novi račun -d, --home-dir PERSONAL_DIR početni direktorij novog računa -D, - zadane postavke ispis ili promjena zadane postavke useradd -e, - isteknuo EXPIRY_DATE datum isteka novog računa -f, - neaktivan NEAKTIVNO razdoblje neaktivnosti lozinke novog računa
delgroup
  -g, --gid GROUP naziv ili identifikator primarne skupine novog računa -G, --groups GROUPS popis dopunskih grupa novog računa -h, --help prikazuje ovu poruku pomoći i završava -k, - skel DIR_SKEL koristi ovaj zamjenski direktorij "kostura" -K, --key KEY = VALUE prepisuje zadane vrijednosti "/etc/login.defs" -l, --no-log-init ne dodaje korisnika u baze podataka iz lastlog i errorlog -m, --create-home kreira kućni direktorij korisnika -M, --no-create-home ne stvara matični direktorij korisnika -N, --no-user-group ne stvara grupu s istim imenom kao i korisnik -o, --non-unique omogućuje stvaranje korisnika s dvostrukim (nejedinstvenim) identifikatorima (UID-ovima) -p, - lozinka šifrirana lozinka PASSWORD novog računa -r, --sistem stvara račun sustava -R, --root CHROOT_DIR direktorij za chroot u -s, --shell CONSOLE pristup konzoli novog računa -u, --uid UID identifikator korisnika novog računa -U, --user-group creategrupa s istim imenom kao korisnik -Z, --selinux-korisnik USER_SE koristi navedenog korisnika za SELinux korisnika

[root @ linuxbox ~] # userdel -h # Izbrišite korisnički račun i povezane datoteke
Način upotrebe: userdel [opcije] KORISNIČKE mogućnosti: -f, --force prisiljavaju neke radnje koje u suprotnom ne bi uspjele, npr. Uklanjanje korisnika koji je još uvijek prijavljen ili datoteka, čak i ako nije u vlasništvu korisnika -h, --help prikazuje ovu poruku Pomoć i završite -r, --uklonite uklanjanje početnog direktorija i poštanskog sandučića -R, --root CHROOT_DIR direktorij za chroot u -Z, --selinux-user uklonite bilo koje SELinux korisničko mapiranje za korisnika

[root @ linuxbox ~] # korisnički mod -h # Izmijenite korisnički račun
Kako koristiti: usermod [options] USER Options: -c, --comment COMMENT nova vrijednost polja GECOS -d, --home PERSONAL_DIR novi početni direktorij novog korisnika -e, --expiredate EXPIRED_DATE postavlja datum isteka račun do EXPIRED_DATE -f, - neaktivan NEAKTIVNO postavlja vrijeme mirovanja nakon isteka računa na INACTIVE -g, --gid GROUP prisiljava upotrebu GROUP za novi korisnički račun -G, --groups GROUPS popis dopunskih grupa -a, - dodati dodati korisnika na dopunske GRUPE koje spominje opcija -G bez uklanjanja iz drugih grupa -h, --pomoći prikaz ove poruke pomoći i prekinuti -l, - prijavite se IME ponovno ime za korisnika -L, - lock zaključava korisnički račun -m, --move-home premještanje sadržaja kućnog direktorija u novi direktorij (koristi se samo zajedno s -d) -o, --non-unique omogućuje upotrebu dvostrukih UID-ova (nisu jedinstveni) -p, - -password PASSWORD koristi šifriranu lozinku za novi račun -R, --root CHR OOT_DIR direktorij za chroot u -s, --shell CONSOLE nova pristupna konzola za korisnički račun -u, --uid UID prisiljava upotrebu UID-a za novi korisnički račun -U, --otključaj otključava korisnički račun -Z, --selinux-user SEUSER novo SELinux mapiranje korisnika za korisnički račun

Naredbe u Debianu

Debian razlikuje useradd y adduser. Preporučuje upotrebu sistemskih administratora adduser.

root @ sysadmin: / home / xeon # adduser -h # Dodajte korisnika u sustav
root @ sysadmin: / home / xeon # dodaj grupu -h # Dodajte grupu u sustav
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup GRUPA | --gid ID] [--disabled-password] [--disabled-login] KORISNIK Dodajte normalnog korisnika adduser --system [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--group | --grupa GRUPA | --gid ID] [--disabled-password] [--disabled-login] KORISNIK Dodajte korisnika iz sistemskog adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP Dodajte grupu korisnika addgroup --system [--gid ID] GROUP Dodavanje grupe iz sistemskog addusera KORISNIČKA GRUPA Dodavanje postojećeg korisnika u postojeću grupu opće mogućnosti: --quiet | -q ne prikazuju informacije o procesu na standardnom izlazu --force-badname dopuštaju korisnička imena koja se ne podudaraju s konfiguracijskom varijablom NAME_REGEX --help | -h poruka o upotrebi --verzija | -v broj verzije i autorska prava --conf | -c FILE koristi DATOTEKU kao konfiguracijsku datoteku

root @ sysadmin: / home / xeon # deluser -h # Uklonite normalnog korisnika iz sustava
root @ sysadmin: / home / xeon # delgroup -h # Uklonite normalnu grupu iz sustava
deluser USER uklanja normalnog korisnika iz primjera sustava: deluser miguel --remove-home uklanja korisnikov kućni direktorij i red pošte. --remove-all-files uklanja sve datoteke u vlasništvu korisnika. - sigurnosna kopija sigurnosnih kopija datoteka prije brisanja. - sigurnosna kopija odredišni direktorij za sigurnosne kopije. Trenutni direktorij koristi se prema zadanim postavkama. --system ukloniti samo ako ste korisnik sustava. delgroup GROUP deluser --group GROUP uklanja grupu iz primjera sustava: deluser --group students --system uklanja samo ako je grupa iz sustava. - samo-ako-prazno ukloni samo ako nemaju više članova. deluser USER GROUP uklanja korisnika iz grupe primjer: deluser miguel students opće opcije: --quiet | -q ne dajte informacije o procesu na stdout --help | -h poruka o upotrebi --verzija | -v broj verzije i autorska prava --conf | -c FILE koristi DATOTEKU kao konfiguracijsku datoteku

politika

Dvije su vrste pravila koje moramo uzeti u obzir prilikom stvaranja korisničkih računa:

  • Pravila korisničkog računa
  • Politike starenja lozinke

Pravila korisničkog računa

U praksi su temeljne komponente koje identificiraju korisnički račun:

  • Ime korisničkog računa - korisnik PRIJAVA, a ne ime i prezimena.
  • Korisnički ID - UID.
  • Glavna skupina kojoj pripada - GID.
  • Lozinka - lozinka.
  • Dozvole za pristup - dozvole za pristup.

Glavni čimbenici koje treba uzeti u obzir prilikom stvaranja korisničkog računa su:

  • Vremensko razdoblje dok će korisnik imati pristup datotečnom sustavu i resursima.
  • Količina vremena u kojem korisnik mora povremeno mijenjati lozinku iz sigurnosnih razloga.
  • Vrijeme u kojem će prijava -log ostati aktivna.

Nadalje, pri dodjeli korisnika njegovom UID y lozinka, moramo uzeti u obzir da:

  • Cijela vrijednost UID mora biti jedinstven i ne negativan.
  • El lozinka mora biti odgovarajuće duljine i složenosti, tako da je teško odgonetnuti.

Politike starenja lozinke

Na Linux sustavu, lozinka korisniku nije dodijeljeno zadano vrijeme isteka. Ako koristimo politike starenja lozinke, možemo promijeniti zadano ponašanje i prilikom stvaranja korisnika, definirana pravila će se uzeti u obzir.

U praksi postoje dva čimbenika koja treba uzeti u obzir prilikom postavljanja starosti lozinke:

  • Sigurnost.
  • Korisnička pogodnost.

Lozinka je sigurnija što je njezino razdoblje isteka kraće. Manji je rizik da će procuriti drugim korisnicima.

Da bismo uspostavili politike starenja lozinke, možemo koristiti naredbu mijenjati:

[root @ linuxbox ~] # Chage
Način upotrebe: Chage [opcije] KORISNIČKE mogućnosti: -d, --lastday LAST_DAY postavlja dan zadnje promjene lozinke na LAST_DAY -E, --expiredate CAD_DATE postavlja datum isteka na CAD_DATE -h, --help prikazuje ovu poruku pomoći i završava -I, - neaktivan INAKTIV onemogućava račun nakon NEAKTIVNIH dana od datuma isteka -l, --list prikazuje podatke o starosti računa -m, --mindays MINDAYS postavlja minimalni broj dana prije promjene lozinke na MIN_DAYS -M, --maxdays MAX_DAYS postavlja maksimalan broj dana prije promjene lozinke na MAX_DAYS -R, --root CHROOT_DIR direktorij za chroot u -W, --warndays WARNING_DAYS postavlja dane isteka na DAYS_NOTICE

U prethodnom članku stvorili smo nekoliko korisnika kao primjer. Ako želimo znati dobne vrijednosti korisničkog računa s PRIJAVA galadrijela:

[root @ linuxbox ~] # chage --list galadriel
Posljednja promjena lozinke: 21. travnja 2017. Lozinka istječe: nikad Neaktivna lozinka: nikad Račun ističe: nikad Minimalni broj dana između promjene lozinke: 0 Maksimalni broj dana između promjene lozinke: 99999 Broj dana obavijesti prije isteka lozinke: 7

To su bile zadane vrijednosti koje je sustav imao kad smo kreirali korisnički račun pomoću grafičkog uslužnog programa "Korisnici i grupe":

Da biste promijenili zadane postavke zaporke lozinke, preporučuje se uređivanje datoteke /etc/login.defs y izmijeniti minimalni iznos vrijednosti koji nam treba. U toj ćemo datoteci promijeniti samo sljedeće vrijednosti:

# Kontrole starenja lozinke: # # PASS_MAX_DAYS Maksimalan broj dana kada se lozinka može koristiti. # PASS_MIN_DAYS Minimalan broj dana između promjena lozinke. # PASS_MIN_LEN Minimalna prihvatljiva duljina lozinke. # PASS_WARN_AGE Broj dana upozorenja dana prije isteka lozinke. # PASS_MAX_DAYS 99999 #! Više od 273 godine! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

za vrijednosti koje smo odabrali prema našim kriterijima i potrebama:

PASS_MAX_DAYS 42 # 42 neprekidnih dana koje možete koristiti lozinka
PASS_MIN_DAYS 0 # lozinka se može promijeniti u bilo kojem trenutku PASS_MIN_LEN 8 # minimalna duljina lozinke PASS_WARN_AGE 7 # Broj dana kada vas sustav upozori # morate promijeniti lozinku prije nego što istekne.

Ostatak datoteke ostavljamo onakvim kakav je bio i preporučujemo da se ne mijenjaju drugi parametri dok dobro ne znamo što radimo.

Nove vrijednosti će se uzeti u obzir prilikom stvaranja novih korisnika. Ako promijenimo lozinku već stvorenog korisnika, poštivat će se vrijednost minimalne duljine lozinke. Ako se koristimo naredbom passwd umjesto grafičke korisnosti, a mi pišemo da će lozinka biti «legole17«, Sustav se žali poput grafičkog alata« Korisnici i grupe »i odgovara da«Lozinka nekako glasi korisničko ime»Iako na kraju prihvaćam tu slabu lozinku.

[root @ linuxbox ~] # passwd legole
Promjena lozinke korisnika legolasa. Nova lozinka: vratar               # ima manje od 7 znakova
Netočna lozinka: lozinka je manja od 8 znakova. Upišite novu lozinku: legole17
Lozinke se ne podudaraju.               # Logično zar ne?
Nova lozinka: legole17
NEPRAVILNA LOZINKA: Lozinka nekako glasi korisničko ime Ponovno upišite novu lozinku: legole17
passwd: svi tokeni za provjeru autentičnosti uspješno su ažurirani.

Nailazimo na "slabost" deklariranja lozinke koja uključuje PRIJAVA korisnik. To je praksa koja se ne preporučuje. Ispravan način bio bi:

[root @ linuxbox ~] # passwd legole
Promjena lozinke korisnika legolasa. Nova lozinka: planine01
Ponovo unesite novu lozinku: planine01
passwd: svi tokeni za provjeru autentičnosti uspješno su ažurirani.

Da biste promijenili vrijednosti roka trajanja lozinka de galadrijela, koristimo naredbu chage i moramo samo promijeniti vrijednost PASS_MAX_DAYS od 99999 do 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Posljednja promjena lozinke: 21. travnja 2017. Lozinka istječe: 02. lipnja 2017. Neaktivna lozinka: nikad Račun ističe: nikad Minimalni broj dana između promjene lozinke: 0 Maksimalni broj dana između promjene lozinke: 42
Broj dana obavijesti prije isteka lozinke: 7

I tako dalje, možemo ručno promijeniti lozinke već stvorenih korisnika i vrijednosti isteka, koristeći grafički alat «Korisnici i grupe» ili pomoću skripte - rukopis koji automatizira neke neinteraktivne radove.

  • Na taj način, ako kreiramo lokalne korisnike sustava na način koji ne preporučuju najčešće prakse u pogledu sigurnosti, možemo promijeniti to ponašanje prije nastavka s implementacijom više usluga temeljenih na PAM-u..

Ako kreiramo korisnika anduin s PRIJAVA «anduin»I lozinka«Lozinka»Dobit ćemo sljedeći rezultat:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Promjena lozinke korisnika anduin. Nova lozinka: Lozinka
Netočna lozinka: lozinka ne prolazi provjeru rječnika - temelji se na riječi iz rječnika. Ponovo unesite novu lozinku: Lozinka
passwd - Svi tokeni za provjeru autentičnosti uspješno su ažurirani.

Drugim riječima, sustav je dovoljno kreativan da ukaže na slabosti lozinke.

[root @ linuxbox ~] # passwd anduin
Promjena lozinke korisnika anduin. Nova lozinka: planine02
Ponovo unesite novu lozinku: planine02
passwd - Svi tokeni za provjeru autentičnosti uspješno su ažurirani.

Sažetak politike

  • Jasno je da je politika složenosti lozinke, kao i minimalna duljina od 5 znakova, omogućena prema zadanim postavkama u CentOS-u. Na Debianu provjera složenosti funkcionira za normalne korisnike kada pokušaju promijeniti lozinku pozivajući se na naredbu passwd. Za korisnika korijen, nema zadanih ograničenja.
  • Važno je znati različite opcije koje možemo navesti u datoteci /etc/login.defs pomoću naredbe čovjek prijava.defs.
  • Također, provjerite sadržaj datoteka / etc / default / useradd, a također i u Debianu /etc/adduser.conf.

Korisnici i grupe sustava

U procesu instaliranja operativnog sustava stvara se čitav niz korisnika i grupa koji, jedna literatura naziva Standardne korisnike, a drugi Korisnike sustava. Radije ih zovemo Korisnici i Grupe sustava.

Korisnici sustava u pravilu imaju UID <1000 a vaše račune koriste različite aplikacije operativnog sustava. Na primjer, korisnički račun «lignja»Koristi program Squid, dok se račun« lp »koristi za postupak ispisa iz uređivača riječi ili teksta.

Ako želimo navesti te korisnike i grupe, to možemo učiniti pomoću naredbi:

[root @ linuxbox ~] # mačka / etc / passwd
[root @ linuxbox ~] # mačka / itd / grupa

Uopće se ne preporučuje modificiranje korisnika i grupa sustava. 😉

Zbog njegove važnosti ponavljamo da u CentOS-u, FreeBSDi ostalih operativnih sustava stvara se grupa -sustav kotač kako bi se omogućio pristup kao korijen samo korisnicima sustava koji pripadaju toj grupi. Čitati /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, I /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian ne uključuje grupu kotač.

Upravljanje korisničkim i grupnim računima

Najbolji način da naučite upravljati korisničkim i grupnim računima je:

  • Vježbanje upotrebe gore navedenih naredbi, po mogućnosti u virtualnom stroju i prije koristiti se grafičkim alatima.
  • Savjetujući se s priručnicima ili man stranice svake naredbe prije pretraživanja bilo kojih drugih podataka na Internetu.

Praksa je najbolji kriterij istine.

Rezime

Daleko, jedan članak posvećen upravljanju lokalnim korisnicima i grupama nije dovoljan. Stupanj znanja koji svaki administrator stekne ovisit će o osobnom interesu za učenje i produbljivanje ove i drugih srodnih tema. Jednako je kao i sa svim aspektima koje smo razvili u nizu članaka MSP mreže. Na isti način možete uživati ​​u ovoj verziji u pdf-u ovdje

Sljedeća dostava

Nastavit ćemo primjenjivati ​​usluge s autentifikacijom protiv lokalnih korisnika. Zatim ćemo instalirati uslugu razmjene trenutnih poruka na temelju programa Prozodija.

Vidimo se uskoro!


4 komentara, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   HO2GI dijo

    Pozdrav, odličan članak, pitam vas gdje radim, pisači se puno dijele, problem je u šalicama, ponekad visi i ne mogu ispisivati ​​jer im mogu dati dopuštenje da ga ponovno pokrenu (jer većinu vremena radimo u drugim područjima) bez davanja korijena lozinke jer jedini način koji sam pronašao je da ga promijenim tako da ga određeni korisnik može ponovno pokrenuti.
    Od već puno hvala.

    1.    Federico dijo

      Pozdrav HO2GI!. Na primjer, recimo da je korisnik Legolas želite mu dopustiti samo ponovno pokretanje usluge CUPS, naravno koristeći naredbu sudo, koji mora biti instaliran:
      [root @ linuxbox ~] # visudo

      Specifikacija zamjenskog imena

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups restart

      Specifikacija privilegija korisnika

      korijen SVE = (SVE: SVE) SVE
      legolas SVE = RESTARTCUPS

      Spremite promjene u datoteku džemperi. Prijavite se kao korisnik legole:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid ponovno učitavanje
      [sudo] lozinka za legole:
      Sorry, user legolas is not allowed to execute ‘/etc/init.d/postfix reload’ as root on linuxbox.desdelinux.ventilator.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups restart
      [sudo] lozinka za legole:
      [ok] Ponovno pokretanje sustava Unix za ispis: cupsd.

      Oprostite mi ako se upit razlikuje na CentOS-u jer sam se vodio onim što sam upravo učinio na Debianu Wheezy. ;-). Gdje sam trenutno, nemam CentOS pri ruci.

      S druge strane, ako želite dodati druge korisnike sustava kao potpune CUPS administratore - oni to mogu pogrešno konfigurirati - učinite ih članovima grupe lpadmin, koji se stvara kada instalirate CUPS.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI dijo

        Veliko hvala tisuću Fico, isprobat ću ga odmah.

  2.   Federico dijo

    HO2GI, u CentOS / Red -Hat to bi bilo:

    [root @ linuxbox ~] # visudo

    Usluge

    Cmnd_Alias ​​RESTARTTCUPS = / usr / bin / systemctl čaše za ponovno pokretanje, / usr / bin / systemctl šalice za status

    Dopustite root-u da izvršava bilo koje naredbe bilo gdje

    korijen SVE = (SVE) SVE
    legolas SVE = RESTARTCUPS

    Spremi promjene

    [root @ linuxbox ~] # izlaz

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    lozinka legolas @ linuxbox:

    [legolas @ linuxbox ~] $ sudo systemctl ponovno pokrenite čaše

    Vjerujemo da ste dobili uobičajeno predavanje iz lokalnog sustava
    Administrator. Obično se svodi na ove tri stvari:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] lozinka za legole:
    [legolas @ linuxbox ~] $ sudo systemctl statusne čaše
    ● čaše.usluga - usluga ispisa CUPS
    Učitana: učitana (/usr/lib/systemd/system/cups.service; omogućena; unaprijed postavljena opcija dobavljača: omogućena)
    Aktivan: aktivan (trči) od ožujka 2017-04-25 22:23:10 EDT; Prije 6s
    Glavni PID: 1594 (cupsd)
    CGroup: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [legolas @ linuxbox ~] $ sudo systemctl ponovno pokrenite squid.service
    Žao nam je, korisničke legole ne smiju izvoditi '/ bin / systemctl restart squid.service' kao root na linuxboxu.
    [legolas @ linuxbox ~] $ izlaz