Helyi felhasználók és csoportok kezelése - kkv-hálózatok

A sorozat általános mutatója: Számítógépes hálózatok kkv-k számára: Bevezetés

Helló barátok és barátok!

Ez a cikk a folytatása Squid + PAM hitelesítés a CentOS 7- SMB hálózatokban.

A UNIX / Linux operációs rendszerek REAL többfelhasználós környezetet kínálnak, amelyben sok felhasználó egyszerre dolgozhat ugyanazon a rendszeren, és megoszthat erőforrásokat, például processzorokat, merevlemezeket, memóriát, hálózati interfészeket, a rendszerbe illesztett eszközöket stb.

Emiatt a rendszergazdák kötelesek folyamatosan kezelni a rendszer felhasználóit és csoportjait, valamint jó adminisztrációs stratégiát kell kidolgozniuk és végrehajtaniuk.

Ezután nagyon tömören áttekintjük ennek a fontos tevékenységnek az általános szempontjait a Linux Systems Administrationban.

Néha jobb ajánlani a Utility, majd a Needity lehetőséget.

Ez a sorrend tipikus példája. Először megmutatjuk hogyan kell megvalósítani az Internet Proxy szolgáltatást a Squid és a helyi felhasználókkal. Most fel kell tennünk magunknak a kérdést:

• ¿hogyan tudom hálózati szolgáltatásokat megvalósítani UNIX / Linux LAN-on helyi felhasználóktól és a elfogadható biztonság?.

Nem számít, hogy emellett a Windows kliensek is csatlakoznak ehhez a hálózathoz. Csak az számít, hogy a kkv-hálózat mely szolgáltatásokra szorul, és mi a legegyszerűbb és legolcsóbb módszer ezek megvalósítására.

• ¿Talán a hitelesítési mechanizmus a ARPANET, Internet és más hálózatok Wide Area NHálózat- o Lokal Area NHálózat- kezdőbetűi alapján LDAP, Directory szolgáltatásvagy Microsoft LSASSvagy Active Directory, vagy a Kerberos?, csak néhányat említve.

Jó kérdés, hogy mindenkinek meg kell keresnie a válaszát. Meghívom Önt, hogy keresse meg a «hitelesítés»Az angol Wikipédián, amely messze a legteljesebb és következetesebb az eredeti tartalom szempontjából - angolul.

A History szerint már durván szólva, először a hitelesítés y Engedélyezés helyi, utána NIS Hálózati információs rendszer fejlesztette ki a Sun Microsystem és más néven Yellow Pages o yp, és akkor LDAP Könnyű Directory Access Protocol.

Mit szólsz "Elfogadható biztonság»Azért merül fel, mert sokszor aggódunk a helyi hálózatunk biztonságáért, miközben hozzáférünk a Facebookhoz, a Gmailhez, a Yahoo-hoz stb. És nézze meg a cikkeket és dokumentumfilmeket, amelyek a Nincs adatvédelem az interneten léteznek

Megjegyzés a CentOS-ról és a Debianról

A CentOS / Red Hat és a Debian saját filozófiával rendelkezik a biztonság megvalósításáról, amely alapvetően nem különbözik egymástól. Megerősítjük azonban, hogy mindkettő nagyon stabil, biztonságos és megbízható. Például a CentOS-ban a SELinux környezet alapértelmezés szerint engedélyezve van. A Debianban telepítenünk kell a csomagot selinux-alapismeretek, ami azt jelzi, hogy használhatjuk a SELinuxot is.

A CentOS-ban FreeBSD, és más operációs rendszerek, a -system- csoport jön létre kerék hozzáférés engedélyezése gyökér csak az adott csoporthoz tartozó rendszerhasználóknak. Olvas /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, És /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. A Debian nem tartalmaz csoportot kerék.

Fő fájlok és parancsok

feljegyzések

A helyi felhasználók kezelésével kapcsolatos fő fájlok Linux operációs rendszerben a következők:

CentOS és Debian

• / Etc / passwd: felhasználói fiók adatai.
• / etc / shadow- A felhasználói fiók biztonsági információi.
• / etc / group: csoportos fiókadatok.
• / etc / gshadow- Biztonsági információk a csoportos fiókokhoz.
• / etc / default / useradd: alapértelmezett értékek a fiókok létrehozásához.
• / etc / skel /: könyvtár, amely tartalmazza az alapértelmezett fájlokat, amelyek az új felhasználó HOME könyvtárába kerülnek.
• /etc/login.defs- Jelszóbiztonsági konfigurációs csomag.

Debian

• /etc/adduser.conf: alapértelmezett értékek a fiókok létrehozásához.

Parancsok a CentOS-on és a Debianon

[root @ linuxbox ~] # chpasswd -h # Jelszavak frissítése kötegelt módban
Használat mód: chpasswd [opciók] Opciók: -c, --crypt-method MÓDSZER a crypt módszer (az egyik NINCS DES MD5 SHA256 SHA512) -e, - titkosítva a megadott jelszavakat titkosítják -h, --help megmutatja ezt a segítséget prompt és end -m, --md5 egyértelműen titkosítja a jelszót az MD5 algoritmus segítségével -R, --root CHROOT_DIR könyvtár segítségével -s, --sha-SHA körök száma SHA titkosítási algoritmusokhoz * # batch- Parancsok végrehajtása, amikor a rendszer terhelése megengedi. Más szavakkal, amikor az átlagos terhelés 0.8 alá csökken, vagy az # az atd parancs meghívásakor megadott érték. Több információ ember köteg.

[root @ linuxbox ~] # gpasswd -h # Deklarálja az adminisztrátorokat az / etc / group és / etc / gshadow fájlokban
Használat: gpasswd [opciók] CSOPORT Opciók: -a, --add A FELHASZNÁLÓ hozzáadja a FELHASZNÁLÓT a -d CSOPORTHOZ, - --delete A FELHASZNÁLÓ eltávolítja a FELHASZNÁLÓT a -H CSOPORTBÓL, a --help megmutatja ezt a súgó üzenetet és véget vet a -Q, - - root CHROOT_DIR könyvtár az -r-be chroot-ra, --delete-password eltávolítja a GROUP jelszavát -R, --restrict korlátozza a GROUP-hoz való hozzáférést a tagjainak -M, --members USER, ... beállítja a GROUP tagjainak listáját - A, --adminisztrátorok ADMIN, ... beállítja a GROUP rendszergazdák listáját. Az -A és -M opciók kivételével az opciók nem vonhatók össze.

[root @ linuxbox ~] # csoport hozzáadása -h    # Hozzon létre egy új csoportot
Hogyan kell használni: groupadd [opciók] GROUP opciók: -f, - Force megszüntetése, ha a csoport már létezik, és a -g törlése, ha a GID már használatban van, -g, --gid A súgó megjeleníti ezt a súgó üzenetet és véget ér -K, --key A KEY = VALUE felülírja az "/etc/login.defs" alapértelmezett értékeit -o, a --non-unique lehetővé teszi csoportok létrehozását GID-ekkel (nem egyedi) duplikátumok -p, --password PASSWORD ezt a titkosított jelszót használja az új csoporthoz -r, --system létrehoz egy rendszerfiókot -R, --root CHROOT_DIR könyvtárba, ahová chroot

[root @ linuxbox ~] # csoport del -h # Meglévő csoport törlése
Hogyan kell használni: groupdel [options] GROUP Options: -h, --help jelenítse meg ezt a súgó üzenetet, és zárja be az -R, --root CHROOT_DIR könyvtárat

[root @ linuxbox ~] # csoportmemek -h # Adminisztrátorok bejelentése a felhasználó elsődleges csoportjában
Hogyan kell használni: groupmems [opciók] [action] Opciók: -g, --group GROUP megváltoztatja a csoport nevét a felhasználói csoport helyett (csak az adminisztrátor tudja megtenni) -R, --root CHROOT_DIR könyvtár chroot-ra a műveletekbe: -a, --add USER felveszi a USER felhasználót a csoport tagjai közé -d, --delete A USER eltávolítja a USER felhasználót a csoporttagok listájából -h, - a help segít megjeleníteni ezt a súgó üzenetet és leállítja a -p beállítást, - purge az összes csoporttag törlése - l, --lista a csoport tagjai

[root @ linuxbox ~] # csoport mod -h # Módosítsa a csoport definícióját
Hogyan kell használni: groupmod [options] GROUP Options: -g, --gid A GID a csoport azonosítóját GID-re változtatja -h, a --help megmutatja ezt a súgó üzenetet és véget vet -n, --new-name NEW_Group megváltoztatja a nevet egy NEW_GROUP -o, --non-unique lehetővé teszi egy duplikált GID (nem egyedi) -p használatát, - jelszó PASSWORD megváltoztatja a jelszót PASSWORD (titkosított) -R, --root CHROOT_DIR könyvtárba chroot

[root @ linuxbox ~] # grpck -h # Ellenőrizze a csoportfájl integritását
Használat: grpck [opciók] [csoport [gshadow]] Opciók: -h, --help jelenítse meg ezt a súgó üzenetet és lépjen ki az -r, - Csak olvasható hibák és figyelmeztetések megjelenítéséhez, de a fájlok megváltoztatásához nem szükséges -R, - - gyökér CHROOT_DIR könyvtár az s-be chrootoláshoz, - a bejegyzések rendezése UID szerint

[root @ linuxbox ~] # grpconv
# Társított parancsok: pwconv, pwunconv, grpconv, grpunconv
# Árnyékjelszavakba és csoportokba konvertáláshoz használatos
# A négy parancs fájlokon működik / etc / passwd, / etc / group, / etc / shadow, 
# és / etc / gshadow. További információért ember grpconv.

[root @ linuxbox ~] # sg -h # Végezzen el egy parancsot egy másik csoportazonosítóval vagy GID-del
Használat: sg csoport [[-c] sorrend]

[root @ linuxbox ~] # newgrp -h # A jelenlegi GID módosítása bejelentkezés közben
Hogyan kell használni: newgrp [-] [csoport]

[root @ linuxbox ~] # új felhasználó -h # Frissítés és új felhasználók létrehozása kötegelt módban
Felhasználási mód: újfelhasználók [opciók] Opciók: -c, --crypt-method MÓDSZER a crypt módszer (a NONE DES MD5 SHA256 SHA512 egyik) -h, --help jelenítse meg ezt a súgóüzenetet, és lépjen ki a -r, --system Create rendszerből számlák -R, --root CHROOT_DIR könyvtár az -s-ba való törléshez, --sha-SHA körök száma SHA titkosítási algoritmusokhoz *

[root @ linuxbox ~] # pwck -h # Ellenőrizze a jelszófájlok integritását
Használat: pwck [opciók] [passwd [árnyék]] Opciók: -h, --help jelenítse meg ezt a súgó üzenetet és lépjen ki a -q, - Csak a csendes jelentés hibáiból -r, - Csak olvasható hibák és figyelmeztetések, de ne változtassa meg az -R, --root CHROOT_DIR könyvtár fájljait s-ra chroot-ra, - rendezze bejegyzéseket UID szerint

[root @ linuxbox ~] # useradd -h # Hozzon létre új felhasználót, vagy frissítse az új felhasználó # alapértelmezett adatait
Hogyan kell használni: useradd [opciók] USER useradd -D useradd -D [opciók] Opciók: -b, --base-dir BAS_DIR alapkönyvtár az új fiók otthoni könyvtárához -c, --comment COMMENT GECOS mező a új fiók -d, --home-dir PERSONAL_DIR új fiók saját könyvtárában -D, --defaults kinyomtatja vagy megváltoztatja a useradd -e alapértelmezett beállítását, --expiredate EXPIRY_DATE új fiók lejárati dátuma -f, - inaktív inaktív inaktivitás az új fiók jelszavát
csoportosítás
  -g, --gid Az új fiók elsődleges csoportjának csoportneve vagy azonosítója -G, --groups GROUPS az új fiók kiegészítő csoportjainak listája -h, --help megmutatja ezt a súgó üzenetet és befejezi a -k, - skel A DIR_SKEL ezt az alternatív "csontváz" könyvtárat használja -K, --key KEY = VALUE felülírja az "/etc/login.defs" -l alapértelmezett értékeit, -l -, --no-log-init nem adja hozzá a felhasználót az adatbázisokhoz a lastlog és a faillog -m fájlból, a --create-home létrehozza az -M felhasználó saját könyvtárát, a --no-create-home nem hozza létre az -N felhasználó saját könyvtárát, a --no-user-group nem hoz létre az -o, --non-unique felhasználóval megegyező nevű csoport lehetővé teszi a felhasználók létrehozását ismétlődő (nem egyedi) azonosítókkal (UID) -p, - jelszó PASSWORD titkosított jelszóval az új fiókhoz -r, - a rendszer létrehozza a -R, --root CHROOT_DIR rendszer könyvtárának fiókja az -s-ba való törléshez, --shell CONSOLE konzol hozzáférés az új fiókhoz -u, --uid UID felhasználói azonosító az új fiókhoz -U, --user-group teremta -Z felhasználóval megegyező nevű csoport, a --selinux-user USER_SE a megadott felhasználót használja a SELinux felhasználóhoz

[root @ linuxbox ~] # userdel -h # Felhasználói fiók és a kapcsolódó fájlok törlése
Felhasználási mód: userdel [opciók] FELHASZNÁLÓI opciók: -f, - kényszerítenek néhány műveletet, amelyek egyébként sikertelenek lennének, pl. A még bejelentkezett felhasználó vagy fájlok eltávolítása, még akkor is, ha nem a felhasználó tulajdonában van -h, --help megjeleníti ezt az üzenetet Súgó és befejezze a -r, --remove eltávolítását az otthoni könyvtár és a postaláda -R, --root CHROOT_DIR könyvtárból a -Z-be való törléshez, --selelin-user távolítsa el a SELinux felhasználói leképezéseket a felhasználó számára

[root @ linuxbox ~] # usermod -h # Felhasználói fiók módosítása
Hogyan kell használni: usermod [options] FELHASZNÁLÓI opciók: -c, - Kommentár A GECOS mező új értéke -d, --home PERSONAL_DIR az új felhasználó új otthoni könyvtárának -e, --expiredate EXPIRED_DATE beállítja a lejárati dátumot a fiók lejárati ideje: EXPIRED_DATE -f, - inaktív INAKTÍV az üresjárati időt állítja be, miután a fiók lejárt INACTIVE -g, --gid A GROUP kényszeríti a GROUP használatát az új felhasználói fiókhoz -G, --groups GROUPS a kiegészítő csoportok listája -a, - hozzáfűzi a felhasználót a -G opció által említett kiegészítő CSOPORTOKHOZ anélkül, hogy eltávolítaná őt más csoportokból -h, --help jelenítse meg ezt a súgó üzenetet és fejezze be a -l, --login NAME nevet újra a felhasználó nevéhez -L, - lezárja a felhasználói fiókot -m, --move-home a saját könyvtár tartalmának áthelyezése új könyvtárba (csak a -d-vel együtt használható) -o, --non-unique lehetővé teszi a Duplicate (nem egyedi) UID-k használatát -p, A - jelszó PASSWORD titkosított jelszót használ az új fiókhoz -R, --root CHR Az OOT_DIR könyvtár az -ba való belépésre, --shell CONSOLE új hozzáférési konzol a felhasználói fiókhoz -u, - az UID az UID használatát kényszeríti az új felhasználói fiókhoz -U, - a unlock feloldja a -Z, --selinux-user felhasználói fiókot SEUSER új SELinux felhasználói hozzárendelés a felhasználói fiókhoz

Parancsok a Debianban

A Debian különbséget tesz useradd y felhasználó hozzáadása. Javasolja a rendszergazdáknak felhasználó hozzáadása.

root @ sysadmin: / home / xeon # felhasználó hozzáadása -h # Felhasználó hozzáadása a rendszerhez
root @ sysadmin: / home / xeon # addgroup -h # Adjon hozzá egy csoportot a rendszerhez
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup CSOPORT | --gid ID] [--disabled-password] [--disabled-login] FELHASZNÁLÓ Normál felhasználói adduser hozzáadása --system [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--csoport | --csoport CSOPORT | --gid ID] [--disabled-password] [--disabled-login] FELHASZNÁLÓ Rendszer felhasználói adduser hozzáadása --group [--gid ID] GROUP addgroup [--gid ID] GROUP Felhasználói csoport addgroup hozzáadása - rendszer [--gid ID] CSOPORT Rendszercsoport hozzáadó hozzáadása CSOPORT FELHASZNÁLÓ Meglévő felhasználó hozzáadása egy meglévő csoporthoz Általános beállítások: --csendes | -q nem jelenítik meg a folyamatinformációkat a szabványos kimeneten - a force-badname olyan felhasználónéveket engedélyez, amelyek nem egyeznek a NAME_REGEX konfigurációs változóval --help | -h használati üzenet --version | -v verziószám és szerzői jog --conf | -c FÁJL használja a FÁJL konfigurációs fájlként

root @ sysadmin: / home / xeon # deluser -h # Távolítsa el a rendes felhasználót a rendszerből
root @ sysadmin: / home / xeon # csoportosítás -h # Távolítson el egy normál csoportot a rendszerből
deluser USER eltávolítja a rendes felhasználót a rendszerből, például: deluser miguel --remove-home eltávolítja a felhasználó saját könyvtárát és a levelezési sort. --remove-all-files eltávolítja a felhasználó tulajdonában lévő összes fájlt. A --backup a fájlok törlése előtt biztonsági másolatot készít. --mentés célkönyvtár a biztonsági mentésekhez. Alapértelmezés szerint az aktuális könyvtárat használja. --system csak akkor távolítsa el, ha Ön rendszergazda. delgroup GROUP deluser --group GROUP eltávolít egy csoportot a rendszer példájából: a deluser --group students --system csak akkor távolít el, ha egy csoport a rendszerből. - csak-ha-üres csak akkor távolítsa el, ha nincs több tagja. deluser USER GROUP eltávolítja a felhasználót a csoportból: példa: deluser miguel students általános lehetőségek: - csendes | -q ne adj meg folyamatinformációt az stdout -ról --help | -h használati üzenet --version | -v verziószám és szerzői jog --conf | -c FÁJL használja a FÁJL konfigurációs fájlként

politikák

Kétféle házirendet kell figyelembe vennünk a felhasználói fiókok létrehozásakor:

• Felhasználói fiók irányelvek
• Jelszó-elöregedési politikák

Felhasználói fiók irányelvek

A gyakorlatban a felhasználói fiókot azonosító alapvető elemek a következők:

• Felhasználói fiók neve - felhasználó BEJELENTKEZÉS, nem a név és a vezetéknevek.
• Felhasználói azonosító - UID.
• Fő csoport, amelyhez tartozik - GID.
• Jelszó - jelszó.
• Hozzáférési engedélyek - hozzáférési engedélyek.

A felhasználói fiók létrehozásakor figyelembe kell venni a fő tényezőket:

• Az az időtartam, amely alatt a felhasználó hozzáférhet a fájlrendszerhez és az erőforrásokhoz.
• Az az időtartam, amely alatt a felhasználónak biztonsági okokból periodikusan meg kell változtatnia jelszavát.
• Az az időtartam, amíg a bejelentkezés -login aktív marad.

Továbbá, amikor egy felhasználót hozzárendel az övéhez UID y jelszó, figyelembe kell vennünk, hogy:

• Az egész érték UID egyedinek és nem negatívnak kell lennie.
• El jelszó Megfelelő hosszúságú és összetettségűnek kell lennie, így nehéz megfejteni.

Jelszó-elöregedési politikák

Linux rendszeren a jelszó egy felhasználóhoz nincs hozzárendelve alapértelmezett lejárati idő. Ha a jelszó elöregedésének házirendjét használjuk, megváltoztathatjuk az alapértelmezett viselkedést, és a felhasználók létrehozásakor a meghatározott házirendeket figyelembe vesszük.

A gyakorlatban két tényezőt kell figyelembe venni a jelszó életkorának beállításakor:

• Biztonság.
• Felhasználói kényelem.

A jelszó annál biztonságosabb, minél rövidebb a lejárati ideje. Kevesebb annak a veszélye, hogy más felhasználók számára kiszivárog.

A jelszó-elöregedési irányelvek létrehozásához használhatjuk a parancsot ketrec:

[root @ linuxbox ~] # chage
Felhasználási mód: chage [opciók] FELHASZNÁLÓI opciók: -d, --lastday LAST_DAY az utolsó jelszómódosítás napját LAST_DAY -E értékre állítja, --expiredate CAD_DATE a lejárati dátumot CAD_DATE -h értékre állítja, --help megjeleníti ezt a súgó üzenetet és vége -I, --inaktív INAKTÍV letiltja a fiókot INACTIVE nap elteltével a lejárati dátumtól -l, a --list megmutatja a fiók életkorának adatait -m, --mindays MINDAYS beállítja a minimális napok számát MIN_DAYS -M előtt, --maxdays MAX_DAYS a napok maximális számát állítja be, mielőtt a jelszó MAX_DAYS -R-re változik, --root CHROOT_DIR könyvtárra változik -W, --warndays WARNING_DAYS a lejárati értesítés napjait DAYS_NOTICE értékre állítja

Az előző cikkben több felhasználót hoztunk létre példaként. Ha meg akarjuk tudni a felhasználó fiókjának életkor értékeit a BEJELENTKEZÉS Galadriel:

[root @ linuxbox ~] # chage --list galadriel
Utolsó jelszóváltás: 21. április 2017. A jelszó lejár: soha Inaktív jelszó: soha A fiók lejár: soha A jelszó megváltoztatása közötti napok minimális száma: 0 A jelszó megváltoztatása közötti napok maximális száma: 99999 A jelszó lejárta előtti felmondási napok száma: 7

Ezek voltak az alapértelmezett értékek, amelyekkel a rendszer rendelkezett, amikor létrehoztuk a felhasználói fiókot a "Felhasználók és csoportok" grafikus adminisztrációs segédprogram segítségével:

A jelszó elöregedésének alapértelmezett beállításainak módosításához javasoljuk a fájl szerkesztését /etc/login.defs y módosítsa a minimálisan szükséges értékmennyiséget. Ebben a fájlban csak a következő értékeket változtatjuk meg:

# Jelszó elöregedésének vezérlése: # # PASS_MAX_DAYS A jelszavak felhasználásának maximális napja. # PASS_MIN_DAYS A jelszó megváltoztatása között megengedett napok minimális száma. # PASS_MIN_LEN Minimálisan elfogadható jelszóhossz. # PASS_WARN_AGE A jelszó lejárta előtt figyelmeztetett napok száma. # PASS_MAX_DAYS 99999 #! Több mint 273 éve! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

a kritériumaink és igényeink szerint kiválasztott értékekhez:

PASS_MAX_DAYS 42 # 42 folyamatos nap, amelyet használhat jelszó
PASS_MIN_DAYS 0 # jelszó bármikor megváltoztatható PASS_MIN_LEN 8 # minimális jelszóhossz PASS_WARN_AGE 7 # Napok száma, amelyekre a rendszer figyelmeztet # jelszó megváltoztatására, mielőtt lejár.

A fájl többi részét úgy hagyjuk, ahogy volt, és javasoljuk, hogy addig ne változtasson más paramétereket, amíg nem tudjuk, mit csinálunk.

Az új értékeket figyelembe vesszük, amikor új felhasználókat hozunk létre. Ha megváltoztatjuk egy már létrehozott felhasználó jelszavát, akkor a minimális jelszóhossz értékét figyelembe vesszük. Ha a parancsot használjuk passwd a grafikus segédprogram helyett, és azt írjuk, hogy a jelszó «legolas17«, A rendszer panaszkodik, mint a« Felhasználók és csoportok »grafikus eszköz, és erre válaszol«Valahogy a jelszó beolvassa a felhasználónevet»Bár végül elfogadom ezt a gyenge jelszót.

[root @ linuxbox ~] # passwd legolas
A legolas felhasználó jelszavának megváltoztatása. Új jelszó: kapus               A # kevesebb, mint 7 karakter
HIBÁS JELSZÓ: A jelszó kevesebb, mint 8 karakter. Írja be újra az új jelszót: legolas17
A jelszavak nem egyeznek.               # Logikus igaz?
Új jelszó: legolas17
HIBÁS JELSZÓ: Valahogy a jelszó beolvassa a felhasználónevet. Írja be újra az új jelszót: legolas17
passwd: az összes hitelesítési tokent sikeresen frissítették.

"Gyengesége" van abban, ha olyan jelszót deklarálunk, amely tartalmazza a BEJELENTKEZÉS a felhasználó. Ez nem ajánlott gyakorlat. A helyes módszer a következő lenne:

[root @ linuxbox ~] # passwd legolas
A legolas felhasználó jelszavának megváltoztatása. Új jelszó: highmountains01
Írja be újra az új jelszót: highmountains01
passwd: az összes hitelesítési tokent sikeresen frissítették.

A lejárati értékek megváltoztatása jelszó de Galadriel, a chage parancsot használjuk, és csak a PASS_MAX_DAYS 99999-től 42-ig:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Utolsó jelszóváltás: 21. április 2017. A jelszó lejár: 02. június 2017. Inaktív jelszó: soha A fiók lejár: soha A jelszó megváltoztatása közötti napok minimális száma: 0 A jelszó megváltoztatása közötti napok maximális száma: 42
A jelszó lejárta előtti értesítések száma: 7

És így tovább, manuálisan megváltoztathatjuk a már létrehozott felhasználók jelszavait és lejárati értékeiket a «Felhasználók és csoportok» grafikus eszközzel, vagy egy szkript segítségével - forgatókönyv amely automatizálja a nem interaktív munka egy részét.

• Ily módon, ha úgy hozzuk létre a rendszer helyi felhasználóit, hogy azt a biztonsággal kapcsolatos leggyakoribb gyakorlatok nem javasolják, megváltoztathatjuk ezt a viselkedést, mielőtt tovább folytatnánk a PAM-alapú szolgáltatások bevezetését..

Ha létrehozzuk a felhasználót anduin a BEJELENTKEZÉS «anduin»És jelszó«A jelszó»A következő eredményt kapjuk:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Az anduin felhasználó jelszavának megváltoztatása. Új jelszó: A jelszó
HIBÁS JELSZÓ: A jelszó nem felel meg a szótár ellenőrzésén - a szótárban található szóra épül. Írja be újra az új jelszót: A jelszó
passwd - Minden hitelesítési tokent sikeresen frissítettek.

Más szavakkal, a rendszer elég kreatív ahhoz, hogy jelezze a jelszó gyengeségeit.

[root @ linuxbox ~] # passwd anduin
Az anduin felhasználó jelszavának megváltoztatása. Új jelszó: highmountains02
Írja be újra az új jelszót: highmountains02
passwd - Minden hitelesítési tokent sikeresen frissítettek.

Irányelvek összefoglalása

• Nyilvánvaló, hogy a jelszó-összetettség házirendje, valamint a minimum 5 karakter hosszúság alapértelmezés szerint engedélyezve van a CentOS-ban. A Debianon a komplexitás ellenőrzése normál felhasználók számára működik, amikor megpróbálják megváltoztatni a jelszavukat a parancs meghívásával passwd. A felhasználó számára gyökér, nincsenek alapértelmezett korlátozások.
• Fontos ismerni a fájlban deklarálható különféle lehetőségeket /etc/login.defs a parancs segítségével férfi bejelentkezés.megvéd.
• Ellenőrizze a fájlok tartalmát is / etc / default / useradd, és a Debianban is /etc/adduser.conf.

Rendszerhasználók és csoportok

Az operációs rendszer telepítése során a felhasználók és csoportok egész sora jön létre, amelyeket az egyik szakirodalom Standard Felhasználóknak, a másik Rendszer Felhasználóknak hív. Inkább rendszerfelhasználóknak és csoportoknak hívjuk őket.

Általános szabály, hogy a rendszer felhasználói a UID <1000 és fiókodat az operációs rendszer különböző alkalmazásai használják. Például a felhasználói fiók «tintahal»A Squid program használja, míg az« lp »fiókot a szöveg- vagy szövegszerkesztőkből történő nyomtatáshoz használják.

Ha fel akarjuk sorolni ezeket a felhasználókat és csoportokat, akkor a következő parancsokkal tehetjük meg:

[root @ linuxbox ~] # macska / etc / passwd
[root @ linuxbox ~] # macska / etc / group

Egyáltalán nem ajánlott a felhasználók és a rendszercsoportok módosítása. 😉

Fontossága miatt megismételjük, hogy a CentOS-ban FreeBSD, és más operációs rendszerek, a -system- csoport jön létre kerék hozzáférés engedélyezése gyökér csak az adott csoporthoz tartozó rendszerhasználóknak. Olvas /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, És /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. A Debian nem tartalmaz csoportot kerék.

Felhasználói és csoportos fiókok kezelése

A felhasználói és csoportos fiókok kezelésének megtanulásának legjobb módja:

• A fent felsorolt ​​parancsok használatának gyakorlása, lehetőleg virtuális gépben és előtt grafikus eszközök használatát.
• Olvassa el a kézikönyveket, ill man oldalakon minden egyes parancsot, mielőtt bármilyen más információt keresne az interneten.

A gyakorlat az igazság legjobb kritériuma.

Összegzés

Messze a helyi felhasználók és csoportok kezelésének szentelt egyetlen cikk nem elég. Az egyes rendszergazdák által megszerzett ismeretek mértéke attól függ, milyen személyes érdeklődés fűződik e és más kapcsolódó témák megismeréséhez és elmélyítéséhez. Ugyanaz, mint az összes olyan szempontnál, amelyet a cikksorozatban kidolgoztunk Kkv-hálózatok. Ugyanígy élvezheti ezt a verziót pdf-ben is itt

Következő szállítás

Folytatjuk a hitelesítéssel járó szolgáltatások megvalósítását a helyi felhasználók ellen. Ezután telepítünk egy azonnali üzenetküldő szolgáltatást a program alapján Verstan.

Hamarosan találkozunk!