ניהול משתמשים וקבוצות מקומיות - רשתות קטנות ובינוניות

אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא

מחבר: פדריקו אנטוניו ואלדס טוג'אג
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

שלום חברים וחברים!

מאמר זה הוא המשך של אימות דיונון + PAM ברשתות CentOS 7- SMB.

מערכות הפעלה של יוניקס / לינוקס מציעות סביבה רבת משתמשים ממשית, בה משתמשים רבים יכולים לעבוד בו זמנית על אותה מערכת ולשתף משאבים כמו מעבדים, כוננים קשיחים, זיכרון, ממשקי רשת, התקנים המוכנסים למערכת וכן הלאה.

מסיבה זו, מנהלי המערכת מחויבים לנהל באופן שוטף את המשתמשים וקבוצות המערכת ולגבש וליישם אסטרטגיית ניהול טובה.

בהמשך נראה בקצרה את ההיבטים הכלליים של פעילות חשובה זו במינהל מערכות לינוקס.

לפעמים עדיף להציע כלי שירות ואז צורך.

זו דוגמה אופיינית לסדר זה. ראשית אנו מראים כיצד ליישם שירות אינטרנט פרוקסי עם דיונונים ומשתמשים מקומיים. עכשיו עלינו לשאול את עצמנו:

  • ¿כיצד אוכל ליישם שירותי רשת ב- LAN של UNIX / Linux ממשתמשים מקומיים ועם ביטחון מקובל?.

לא משנה שבנוסף, לקוחות Windows מחוברים לרשת זו. חשוב רק הצורך באילו שירותים רשת SME זקוקה ומה הדרך הפשוטה והזולה ביותר ליישם אותם.

שאלה טובה שכל אחד צריך לחפש את תשובותיו. אני מזמין אותך לחפש את המונח «אימות»בוויקיפדיה באנגלית, שהיא ללא ספק השלמה והעקבית ביותר מבחינת התוכן המקורי - באנגלית -.

על פי ההיסטוריה כבר גרוסו modo, הראשון היה ה אימות y הרשאה מקומי, לאחר ש"ח מערכת מידע ברשת פותח על ידי סאן מיקרוסיסטם ומכונה גם מדריך עסקים o yp, ואז LDAP פרוטוקול גישה קל.

מה לגבי "אבטחה מקובלת»עולה מכיוון שפעמים רבות אנו דואגים לביטחון הרשת המקומית שלנו, בזמן שאנחנו ניגשים לפייסבוק, ג'ימייל, יאהו וכו '- להזכיר רק מעטים - ואנחנו נותנים בהם את הפרטיות שלנו. ועיין במספר הרב של מאמרים וסרטים תיעודיים הנוגעים ל אין פרטיות באינטרנט הם קיימים

הערה על CentOS ו- Debian

ל- CentOS / Red Hat ולדביאן יש פילוסופיה משלהם כיצד ליישם אבטחה, שאינה שונה מהותית. עם זאת אנו מאשרים ששניהם יציבים מאוד, בטוחים ואמינים. לדוגמא, ב- CentOS ההקשר של SELinux מופעל כברירת מחדל. בדביאן עלינו להתקין את החבילה יסודות selinux, מה שמעיד שאנחנו יכולים להשתמש גם ב- SELinux.

ב- CentOS, FreeBSD, ומערכות הפעלה אחרות, נוצרת קבוצת -מערכת גלגל כדי לאפשר גישה כ שורש רק למשתמשי מערכת השייכים לקבוצה זו. לקרוא /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, ו /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. דביאן אינה משלבת קבוצה גלגל.

קבצים ופקודות ראשיים

רשום

הקבצים העיקריים הקשורים לניהול משתמשים מקומיים במערכת הפעלה לינוקס הם:

CentOS ודביאן

  • / etc / passwd: פרטי חשבון משתמש.
  • / וכו '/ צל- פרטי אבטחת חשבון משתמש.
  • / וכו '/ קבוצה: מידע על חשבון קבוצה.
  • / etc / gshadow- מידע אבטחה לחשבונות קבוצתיים.
  • / etc / default / useradd: ערכי ברירת מחדל ליצירת חשבון.
  • / etc / skel /: ספריה המכילה את קבצי ברירת המחדל שייכללו בספריית HOME של המשתמש החדש.
  • /etc/login.defs- חבילת תצורת אבטחת סיסמא.

דביאן

  • /etc/adduser.conf: ערכי ברירת מחדל ליצירת חשבון.

פקודות על CentOS ו- Debian

[root @ linuxbox ~] # chpasswd -h # עדכן סיסמאות במצב אצווה
כיצד להשתמש: chpasswd [אפשרויות] אפשרויות: -c, - שיטת הצפנה שיטת הקריפטה (אחת מ- NONE DES MD5 SHA256 SHA512) -e, - מוצפנות הסיסמאות שסופקו מוצפנות -h, - עזרה מראה זאת עזרה בהנחיות ובסיום -m, --md5 מצפין את הסיסמה בבהירות באמצעות אלגוריתם MD5 -R, - שורש ספריית CHROOT_DIR כדי לחלוף לתוך -s, - sha-round מספר סבבי SHA עבור אלגוריתמי הצפנה של SHA * # קְבוּצָה- בצע פקודות כאשר עומס המערכת מאפשר זאת. במילים אחרות # כאשר העומס הממוצע יורד מתחת ל -0.8 או הערך שצוין בעת ​​הפעלת # הפקודה atd. עוד מידע אצווה איש.

[root @ linuxbox ~] # gpasswd -ה # הכריזו על מנהלי מערכת ב- / etc / group ו- / etc / gshadow
אופן השימוש: gpasswd [אפשרויות] אפשרויות GROUP: -a, - להוסיף USER מוסיף USER ל- GROUP -d, - מחק USER מסיר את USER מ- GROUP -h, מציג הודעת עזרה זו ומסתיים -Q, - -root ספריית CHROOT_DIR להיסר לתוך -r, - מחק סיסמה הסר את הסיסמה של GROUP -R, - הגבל מגביל את הגישה ל- GROUP לחבריה -M, - חברים USER, ... קובע את רשימת החברים של GROUP -A, --administrators ADMIN, ... קובע את רשימת מנהלי GROUP למעט האפשרויות -A ו- -M, לא ניתן לשלב בין האפשרויות.

[root @ linuxbox ~] # הוסף קבוצה -h    # צור קבוצה חדשה
אופן השימוש: groupadd [options] אפשרויות GROUP: -f, - כוח לסיים אם הקבוצה כבר קיימת, ולבטל -g אם GID כבר נמצא בשימוש -g, --gid GID השתמש ב- GID עבור קבוצה חדשה - h, --help מציג הודעת עזרה זו ומסתיים -K, - מקש KEY = VALUE מחליף את ערכי ברירת המחדל של "/etc/login.defs" -o, --non-ייחודי מאפשר לך ליצור קבוצות עם GIDs (לא ייחודי ) כפילויות -p, - סיסמה סיסמת משתמש בסיסמה מוצפנת זו עבור הקבוצה החדשה -r, - מערכת ליצור חשבון מערכת -R, - שורש ספריית CHROOT_DIR להיגרש

[root @ linuxbox ~] # groupdel -h # מחק קבוצה קיימת
מצב שימוש: groupdel [אפשרויות] אפשרויות GROUP: -h, - עזרה להציג את הודעת העזרה הזו ולסיים את הספרייה -R, - שורש CHROOT_DIR להישרש

[root @ linuxbox ~] # חברות קבוצה -h # הצהירו על מנהלי מערכת בקבוצה הראשית של המשתמש
אופן השימוש: groupmems [options] [action] אפשרויות: -g, - group GROUP לשנות את שם הקבוצה במקום את הקבוצה של המשתמש (ניתן לעשות זאת רק על ידי מנהל המערכת) -R, --root CHROOT_DIR מדריך ל- chroot לפעולות: -a, - הוסף USER מוסיף את USER לחברי הקבוצה -d, - מחק USER מסיר את USER מרשימת חברי הקבוצה -h, --help מציג את הודעת העזרה הזו ומסתיים -p, - טיהור טהר את כל חברי הקבוצה - l, - רשימת חברי הקבוצה

[root @ linuxbox ~] # קבוצה -h # שנה את ההגדרה של קבוצה
אופן השימוש: groupmod [options] אפשרויות GROUP: -g, --gid GID משנה את מזהה הקבוצה ל- GID -h, --help מציג את הודעת העזרה הזו ומסתיים -n, - new-name NEW_Group משנה את השם NEW_GROUP -o, -on-unique מאפשר להשתמש ב- GID כפול (לא ייחודי) -p, - סיסמה סיסמת סיסמה משנה את הסיסמה לסיסמת סיסמה (מוצפנת) -R, --root CHROOT_DIR לספרייה

[root @ linuxbox ~] # grpck -h # בדוק את תקינות קובץ הקבוצה
אופן השימוש: grpck [אפשרויות] [קבוצה [gshadow]] אפשרויות: -h, - עזרה להציג הודעת עזרה זו ולצאת מ- r, - שגיאות ואזהרות תצוגה לקריאה בלבד אך אל תשנה קבצים -R, - - שורש ספריית CHROOT_DIR לחלוץ לתוך -s, - מיין ערכי מיון לפי UID

[root @ linuxbox ~] # grpconv
# פקודות משויכות: pwconv, pwunconv, grpconv, grpunconv
# משמש להמרה וממנה סיסמאות וקבוצות צל
# ארבע הפקודות פועלות על קבצים / etc / passwd, / etc / group, / etc / shadow, 
# ו / etc / gshadow. למידע נוסף איש grpconv.

[root @ linuxbox ~] # sg -h # בצע פקודה עם מזהה קבוצה אחר או GID
אופן השימוש: קבוצה sg [[-c] סדר]

[root @ linuxbox ~] # newgrp -h # שנה את ה- GID הנוכחי במהלך התחברות
אופן השימוש: newgrp [-] [group]

[root @ linuxbox ~] # משתמשים חדשים -h # עדכן וצור משתמשים חדשים במצב אצווה
מצב שימוש: משתמשים חדשים [אפשרויות] אפשרויות: -c, -crypt-method שיטה שיטת ה- crypt (אחת מ- NONE DES MD5 SHA256 SHA512) -h, - עזרה להציג את הודעת העזרה הזו ולצאת -r, --system צור חשבונות מערכת -R, --root ספריית CHROOT_DIR כדי להיגרש ל- -s, - sha-round מספר סבבי SHA עבור אלגוריתמי הצפנה של SHA *

[root @ linuxbox ~] # pwck -h # בדוק את תקינות קבצי הסיסמה
אופן השימוש: pwck [אפשרויות] [passwd [צל]] אפשרויות: -h, - עזרה להציג הודעת עזרה זו ולצאת מ- q, - שגיאות דיווח שקטות בלבד -r, - שגיאות ואזהרות תצוגה לקריאה בלבד אך אל תשנה קבצים -R, - שורש ספריית CHROOT_DIR ל chroot לתוך -s, - סווג ערכי מיון לפי UID

[root @ linuxbox ~] # משתמש להוסיף -h # צור משתמש חדש או עדכן את פרטי # ברירת המחדל של המשתמש החדש
אופן השימוש: useradd [options] USER useradd -D useradd -D [options] Options: -b, --base-dir BAS_DIR base directory עבור הספריה הביתית של החשבון החדש -c, - comment COMMENT GECOS שדה של חשבון חדש -d, --home-dir PERSONAL_DIR ספריית הבית של חשבון חדש -D, - תקנים הדפס או שנה את הגדרת ברירת המחדל של useradd -e, - expiredate EXPIRY_DATE תאריך תפוגה של חשבון חדש -f, - לא פעיל תקופה לא פעילה של חוסר פעילות של הסיסמה של החשבון החדש
delgroup
  -g, - שם GROUP או מזהה של הקבוצה הראשית של החשבון החדש -G, - קבוצות רשימת קבוצות של קבוצות משלימות של החשבון החדש -h, - עזרה מציגה את הודעת העזרה הזו ומסתיימת -k, - skel DIR_SKEL משתמש בספריית "השלד" החלופית הזו -K, - מפתח KEY = VALUE מחליף את ערכי ברירת המחדל של "/etc/login.defs" -l, --no-log-init אינו מוסיף את המשתמש למסדי הנתונים מ- lastlog ו- faillog -m, --create-home יוצר את ספריית הבית של המשתמש -M, --no-create-home לא יוצר את הספרייה הביתית של המשתמש -N, - no-user-group לא יוצר קבוצה עם שם זהה למשתמש -o, --non-unique מאפשרת יצירת משתמשים עם מזהים כפולים (לא ייחודיים) (UID) -p, - סיסמה סיסמא מוצפנת סיסמה של החשבון החדש -r, - המערכת יוצרת חשבון של המערכת -R, - שורש CHROOT_DIR לספרייה ל- s, - קליפת גישה לקונסולה CONSOLE של החשבון החדש -u, - מזהה משתמש UID של החשבון החדש -U, - קבוצת המשתמשים לִיצוֹרקבוצה עם שם זהה למשתמש -Z, -selinux- משתמש USER_SE משתמשת במשתמש שצוין עבור המשתמש SELinux

[root @ linuxbox ~] # משתמש -h # מחק את חשבון המשתמש ואת הקבצים הקשורים אליו
מצב שימוש: userdel [אפשרויות] אפשרויות משתמש: -f, - כפה על כמה פעולות שלא יכשלו אחרת למשל הסרת משתמש שעדיין מחובר או קבצים, גם אם לא בבעלות המשתמש -h, - עזרה מציגה הודעה זו עזרה וסיים -r, - הסר הסרת ספריית הבית ותיבת הדואר -R, - שורש ספריית CHROOT_DIR כדי להיגרש ל- -Z, - משתמש -לינוקס הסר כל מיפוי משתמשים של SELinux עבור המשתמש

[root @ linuxbox ~] # רגיל -h # שנה חשבון משתמש
כיצד להשתמש: usermod [אפשרויות] אפשרויות משתמש: -c, - תגובה COMMENT ערך חדש של שדה GECOS -d, --home PERSONAL_DIR ספריית הבית החדשה של המשתמש החדש -e, - expiredate EXPIRED_DATE קובע את תאריך התפוגה של החשבון ל- EXPIRED_DATE -f, - לא פעיל INACTIVE מגדיר זמן לא פעיל לאחר פקיעת החשבון ל- INACTIVE -g, --gid GROUP מכריח את השימוש ב- GROUP לחשבון משתמש חדש -G, - קבוצות רשימת קבוצות של קבוצות משלימות -a, - הוסף צירף את המשתמש לקבוצות המשלימות המוזכרות על ידי האפשרות -G מבלי להסיר אותו / אותה מקבוצות אחרות -h, --עזרה להציג את הודעת העזרה הזו ולסיים -l, - התחבר שם שוב שם למשתמש -L, - נעילת נעילת חשבון משתמש -m, - העבר-בית העבר תוכן של ספריית הבית לספרייה חדשה (השתמש רק בשילוב עם -d) -o, --non-unique מאפשר להשתמש ב- UID כפולים (לא ייחודיים) -p, - סיסמה סיסמה השתמש בסיסמה מוצפנת עבור חשבון חדש -R, - שורש CHR ספריית OOT_DIR לחלוץ אל -s, - shell CONSOLE גישה חדשה לחשבון משתמש -u, --uid UID מאלץ את השימוש ב- UID עבור חשבון משתמש חדש -U, - נעילה נעילה את חשבון המשתמש -Z, - משתמש -לינוקס מיפוי משתמשים SELinux חדש של SEUSER עבור חשבון המשתמש

פקודות בדביאן

דביאן מבדיל בין משתמש להוסיף y הוסף. ממליץ למנהלי מערכת להשתמש בהם הוסף.

root @ sysadmin: / home / xeon # הוסף -h # הוסף משתמש למערכת
root @ sysadmin: / home / xeon # קבוצה נוספת -h # הוסף קבוצה למערכת
adduser [--home DIRECTORY] [- shell SHELL] [- no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup קבוצה | מזהה - גיד] [- סיסמה מושבתת] [- מוגבל - כניסה] USER הוסף משתמש משתמש רגיל - מערכת [--בית DIRECTORY] [- shell SHELL] [- no-create-home] [ מזהה --uid] [--gecos GECOS] [--group | - קבוצת קבוצה | מזהה - רשת] [- סיסמה מושבתת] - כניסה - כניסה משתמש משתמש הוסף משתמש מתוסף המערכת - קבוצה [- מזהה קבוצה] קבוצת תוספות קבוצה [- מזהה רשת] חבורה הוסף קבוצה של קבוצה נוספת של משתמשים --system [--gid ID] GROUP הוסף adduser לקבוצת מערכת GROUP USER הוסף משתמש קיים לקבוצה קיימת אפשרויות כלליות: --quiet | -q לא מציגים מידע על התהליך על הפלט הסטנדרטי - force-badname מאפשרים שמות משתמשים שאינם תואמים למשתנה התצורה NAME_REGEX --help | הודעת שימוש - גרסה | מספר גרסה וזכויות יוצרים --conf | -c FILE השתמש ב- FILE כקובץ תצורה

root @ sysadmin: / home / xeon # deluser -h # הסר משתמש רגיל מהמערכת
root @ sysadmin: / home / xeon # delgroup הסר קבוצה רגילה מהמערכת
deluser USER מסיר משתמש רגיל מדוגמת המערכת: deluser miguel --remove-home מסיר את ספריית הבית של המשתמש ואת תור הדואר. - הסר את כל הקבצים מסיר את כל הקבצים שבבעלות המשתמש. גיבוי מגבה קבצים לפני מחיקה. - גיבוי ל- ספריית יעד לגיבויים. הספרייה הנוכחית משמשת כברירת מחדל. - מערכת להסיר רק אם אתה משתמש במערכת. delgroup GROUP deluser - group GROUP מסיר קבוצה מהדוגמה של המערכת: deluser - group students - מערכת להסיר רק אם מדובר בקבוצה מהמערכת. - רק אם-ריק הסר רק אם אין להם יותר חברים. deluser USER GROUP מסיר את המשתמש מהדוגמה הקבוצתית: deluser miguel students אפשרויות כלליות: --quiet | -q אל תתן מידע על התהליך על הפלט הסטנדרטי - עזרה | הודעת שימוש - גרסה | מספר גרסה וזכויות יוצרים --conf | -c FILE השתמש ב- FILE כקובץ תצורה

מדיניות

ישנם שני סוגים של מדיניות שעלינו לקחת בחשבון בעת ​​יצירת חשבונות משתמש:

  • מדיניות חשבון משתמש
  • מדיניות הזדקנות סיסמאות

מדיניות חשבון משתמש

בפועל, המרכיבים הבסיסיים המזהים חשבון משתמש הם:

  • שם חשבון משתמש - משתמש התחבר, לא השמות ושמות המשפחה.
  • תעודת זהות של משתמש - UID.
  • הקבוצה העיקרית אליה היא שייכת - Gid.
  • סיסמה - סיסמא.
  • אישורי גישה - הרשאות גישה.

הגורמים העיקריים שיש לקחת בחשבון בעת ​​יצירת חשבון משתמש הם:

  • משך הזמן שלמשתמש תהיה גישה למערכת הקבצים ולמשאבים.
  • משך הזמן שעליו המשתמש לשנות את סיסמתו - מעת לעת - מטעמי אבטחה.
  • משך הזמן שההתחברות -כניסה- תישאר פעילה.

יתר על כן, בעת הקצאת משתמש שלו UID y סיסמאעלינו לקחת בחשבון כי:

  • הערך השלם UID זה חייב להיות ייחודי ולא שלילי.
  • El סיסמא עליו להיות באורך ובמורכבות נאותים, כך שקשה לפענח אותו.

מדיניות הזדקנות סיסמאות

במערכת לינוקס, ה- סיסמא של משתמש לא מוקצה זמן תפוגת ברירת מחדל. אם אנו משתמשים במדיניות הזדקנות סיסמאות, אנו יכולים לשנות את התנהגות ברירת המחדל וכאשר יוצרים משתמשים, המדיניות המוגדרת תילקח בחשבון.

בפועל, יש לקחת בחשבון שני גורמים בעת קביעת גיל הסיסמה:

  • בִּטָחוֹן.
  • נוחות למשתמש.

סיסמה בטוחה יותר ככל שתקופת התפוגה שלה קצרה יותר. קיים פחות סיכון שהוא יודלף למשתמשים אחרים.

כדי להגדיר את מדיניות הזדקנות הסיסמה, אנו יכולים להשתמש בפקודה שאג:

[root @ linuxbox ~] # chage
מצב שימוש: chage [אפשרויות] אפשרויות משתמש: -d, - האחרון LAST_DAY מגדיר את היום של שינוי הסיסמה האחרון ל- LAST_DAY -E, - expiredate CAD_DATE מגדיר את תאריך התפוגה ל- CAD_DATE -h, - עזרה מציגה את הודעת העזרה הזו ומסתיים -אני, - לא פעיל INACTIVE מבטל את החשבון לאחר INACTIVE ימים מיום התפוגה -l, - רשימה מציגה את פרטי הגיל של החשבון -m, - בימי MINDAYS מגדירה את מספר הימים המינימלי לפני שינוי הסיסמה ל- MIN_DAYS -M , --maxdays MAX_DAYS מגדיר את המספר המרבי של ימים לפני שינוי הסיסמה ל- MAX_DAYS -R, - שורש את ספריית CHROOT_DIR כך ש- chroot ל- W, - warndays WARNING_DAYS מגדיר את ימי הודעת התפוגה ל- DAYS_NOTICE

במאמר הקודם יצרנו מספר משתמשים כדוגמה. אם אנו רוצים לדעת את ערכי הגיל של חשבון המשתמש איתו התחבר גלדריאל:

[root @ linuxbox ~] # chage --list galadriel
שינוי סיסמה אחרון: 21 באפריל, 2017 תוקף הסיסמה: לעולם לא סיסמה לא פעילה: לעולם תוקף החשבון: לעולם מספר מינימלי של ימים בין שינוי סיסמה: 0 מספר מרבי של ימים בין שינוי סיסמה: 99999 מספר ימי ההודעה לפני פקיעת הסיסמה: 7

אלה היו ערכי ברירת המחדל שהיו למערכת כאשר יצרנו את חשבון המשתמש באמצעות כלי הניהול הגרפי "משתמשים וקבוצות":

 

כדי לשנות את ערכי סיסמת ההזדקנות המוגדרים כברירת מחדל, מומלץ לערוך את הקובץ /etc/login.defs y לשנות את כמות הערכים המינימלית שאנו זקוקים לה. בקובץ זה נשנה רק את הערכים הבאים:

# פקדי הזדקנות סיסמאות: # # PASS_MAX_DAYS מספר הימים המרבי שניתן להשתמש בסיסמה. # PASS_MIN_DAYS מספר מינימלי של ימים המותרים בין שינויים בסיסמה. # PASS_MIN_LEN אורך סיסמא מינימלי מקובל. # PASS_WARN_AGE אזהרת מספר הימים שניתנה לפני פקיעת הסיסמה. # PASS_MAX_DAYS 99999 #! יותר מ 273 שנים! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

לערכים שבחרנו על פי הקריטריונים והצרכים שלנו:

PASS_MAX_DAYS 42 # 42 ימים רצופים שבהם אתה יכול להשתמש סיסמא
PASS_MIN_DAYS 0 # ניתן לשנות את הסיסמה בכל עת PASS_MIN_LEN 8 # אורך סיסמא מינימלי PASS_WARN_AGE 7 # מספר הימים שהמערכת מזהירה אותך # עליך לשנות את הסיסמה לפני שתוקפה יפוג.

אנו משאירים את שאר הקובץ כפי שהיה, ואנו ממליצים שלא לשנות פרמטרים אחרים עד שנדע מה אנו עושים.

הערכים החדשים יילקחו בחשבון כשאנחנו יוצרים משתמשים חדשים. אם נשנה את הסיסמה של משתמש שכבר נוצר, נכבד ערך אורך הסיסמה המינימלי. אם נשתמש בפקודה פסח במקום השירות הגרפי ואנחנו כותבים שהסיסמה תהיה «17«, המערכת מתלוננת כמו הכלי הגרפי« משתמשים וקבוצות »והיא עונה ש«איכשהו הסיסמה קוראת את שם המשתמש»למרות שבסופו של דבר אני מקבל את הסיסמה החלשה הזו.

[root @ linuxbox ~] # לגולאות passwd
שינוי הסיסמה של המשתמש לגולאס. סיסמה חדשה: שוער               # הוא פחות משבעה תווים
סיסמת שגוי: הסיסמה קטנה מ- 8 תווים הקלד סיסמה חדשה: 17
סיסמאות לא תואמות.               # הגיוני נכון?
סיסמא חדשה: 17
סיסמת שגוי: איכשהו הסיסמה קוראת את שם המשתמש הקלד מחדש את הסיסמה החדשה: 17
passwd: כל אסימוני האימות עודכנו בהצלחה.

אנו נקלעים "לחולשה" בהכרזה על סיסמה הכוללת את התחבר מִשׁתַמֵשׁ. זה נוהג שאינו מומלץ. הדרך הנכונה תהיה:

[root @ linuxbox ~] # לגולאות passwd
שינוי הסיסמה של המשתמש לגולאס. סיסמה חדשה: highmountains01
הקלד מחדש את הסיסמה החדשה: highmountains01
passwd: כל אסימוני האימות עודכנו בהצלחה.

כדי לשנות את ערכי התפוגה של ה- סיסמא de גלדריאל, אנו משתמשים בפקודה chage ועלינו לשנות את הערך של PASS_MAX_DAYS מ 99999 עד 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
שינוי סיסמה אחרון: 21 באפריל, 2017 תוקף הסיסמה יפוג: 02 ביוני, 2017 סיסמה לא פעילה: אף פעם לא תוקף החשבון: לעולם מספר מינימלי של ימים בין שינוי סיסמה: 0 מספר מרבי של ימים בין שינוי סיסמא: 42
מספר ימי ההודעה לפני פקיעת הסיסמה: 7

וכן הלאה, אנו יכולים לשנות את סיסמאות המשתמשים שכבר נוצרו ואת ערכי התפוגה שלהם באופן ידני, באמצעות הכלי הגרפי «משתמשים וקבוצות», או באמצעות סקריפט - תסריט שמבצע אוטומציה של חלק מהעבודות הלא אינטראקטיביות.

  • באופן זה, אם אנו יוצרים את המשתמשים המקומיים של המערכת באופן שאינו מומלץ על ידי הנוהגים הנפוצים ביותר בנוגע לאבטחה, אנו יכולים לשנות התנהגות זו לפני שנמשיך ליישם שירותים נוספים מבוססי PAM..

אם ניצור את המשתמש אנדוין עם התחבר «אנדוין"וסיסמא"הסיסמא»נקבל את התוצאה הבאה:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
שינוי הסיסמה של המשתמש anduin. סיסמה חדשה: הסיסמא
סיסמת שגוי: הסיסמה אינה עוברת את אימות המילון - היא מבוססת על מילה במילון. הקלד מחדש את הסיסמה החדשה: הסיסמא
passwd - כל אסימוני האימות עודכנו בהצלחה.

במילים אחרות, המערכת יצירתית מספיק בכדי לציין את חולשות הסיסמה.

[root @ linuxbox ~] # passwd anduin
שינוי הסיסמה של המשתמש anduin. סיסמה חדשה: highmountains02
הקלד מחדש את הסיסמה החדשה: highmountains02
passwd - כל אסימוני האימות עודכנו בהצלחה.

סיכום מדיניות

  • ברור שמדיניות מורכבות הסיסמה, כמו גם האורך המינימלי של 5 תווים, מופעלת כברירת מחדל ב- CentOS. ב- Debian, בדיקת המורכבות פועלת עבור משתמשים רגילים כאשר הם מנסים לשנות את הסיסמה שלהם על ידי הפעלת הפקודה פסח. למשתמש שורשאין מגבלות ברירת מחדל.
  • חשוב להכיר את האפשרויות השונות שנוכל להכריז בקובץ /etc/login.defs באמצעות הפקודה איש כניסה. שוניות.
  • כמו כן, בדקו את תוכן הקבצים / etc / default / useradd, וגם בדביאן /etc/adduser.conf.

משתמשי מערכת וקבוצות

בתהליך ההתקנה של מערכת ההפעלה נוצרת סדרה שלמה של משתמשים וקבוצות אשר, ספרות אחת קוראת למשתמשים סטנדרטיים ומשתמשי מערכת אחרים. אנו מעדיפים לקרוא להם משתמשי מערכת וקבוצות.

ככלל, למשתמשי המערכת יש UID <1000 והחשבונות שלך משמשים יישומים שונים של מערכת ההפעלה. לדוגמא, חשבון המשתמש «דיונון»משמש את תוכנית דיונון, ואילו חשבון« lp »משמש לתהליך ההדפסה מעורכי מילים או טקסטים.

אם אנו רוצים לרשום את המשתמשים והקבוצות הללו, נוכל לעשות זאת באמצעות הפקודות:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # cat / etc / group

לא מומלץ בכלל לשנות את המשתמשים והקבוצות של המערכת. 😉

בשל חשיבותו אנו חוזרים על כך שב- CentOS, FreeBSD, ומערכות הפעלה אחרות, נוצרת קבוצת -מערכת גלגל כדי לאפשר גישה כ שורש רק למשתמשי מערכת השייכים לקבוצה זו. לקרוא /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, ו /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. דביאן אינה משלבת קבוצה גלגל.

ניהול חשבונות משתמשים וקבוצות

הדרך הטובה ביותר ללמוד כיצד לנהל חשבונות משתמשים וקבוצות היא:

  • תרגול השימוש בפקודות המפורטות לעיל, רצוי במכונה וירטואלית ו- לפני להשתמש בכלים גרפיים.
  • התייעצות במדריכים או דפי גבר של כל פקודה לפני חיפוש מידע אחר באינטרנט.

תרגול הוא הקריטריון הטוב ביותר של האמת.

תקציר

ללא ספק, מאמר אחד המוקדש לניהול משתמשים מקומיים וקבוצות אינו מספיק. מידת הידע שנרכש על ידי כל מנהל מערכת תלויה בהתעניינות אישית בלמידה ובהעמקה בנושא זה ובנושאים קשורים אחרים. זה כמו בכל ההיבטים שפיתחנו בסדרת המאמרים רשתות קטנות ובינוניות. באותו אופן תוכלו ליהנות מגרסה זו ב- pdf כאן

המסירה הבאה

אנו נמשיך ליישם שירותים עם אימות כנגד משתמשים מקומיים. לאחר מכן נתקין שירות מסרים מיידיים המבוסס על התוכנית תוֹרַת הַמִשׁקָל.

נתראה בקרוב!


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

4 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם.

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   HO2GI דיג'ו

    שלום, מאמר נהדר, אני שואל אותך איפה אני עובד, המדפסות משותפות הרבה, הבעיה היא בכוסות, לפעמים היא תלויה והם לא יכולים להדפיס מכיוון שאני יכול לתת להם הרשאה להפעיל אותה מחדש (כי לרוב אנחנו עובדים באזורים אחרים) בלי לתת את הסיסמה שורש שכן הדרך היחידה שמצאתי היא לשנות אותו כך שמשתמש ספציפי יוכל להפעיל אותו מחדש.
    מכבר תודה רבה.

    1.    פדריקו דיג'ו

      ברכות HO2GI!. לדוגמא, נניח שהמשתמש לגולס אתה רוצה לתת לו הרשאה להפעיל מחדש רק את שירות CUPS, כמובן באמצעות הפקודה sudo, אשר יש להתקין:
      [root @ linuxbox ~] # visudo

      מפרט כינוי Cmnd

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups הפעלה מחדש

      מפרט הרשאות משתמש

      שורש ALL = (ALL: ALL) ALL
      legolas ALL = RESTARTCUPS

      שמור את השינויים שבוצעו בקובץ מזיע. התחבר כמשתמש לגולות:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid טעינה מחדש
      [סודו] סיסמה ל- legolas:
      מצטערים, לגולאס של משתמשים אסור לבצע את '/etc/init.d/postfix reload' כשורש ב- linuxbox.fromlinux.fan.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups הפעלה מחדש
      [סודו] סיסמה ל- legolas:
      [בסדר] הפעלה מחדש של מערכת ההדפסה המשותפת של יוניקס: cupsd.

      סלח לי אם ההנחיה שונה ב- CentOS, כיוון שהנחתי את מה שעשיתי בדיוק על דביאן וויזי. ;-). איפה שאני נמצא כרגע, אין לי שום CentOS בהישג יד.

      מצד שני, אם אתה רוצה להוסיף משתמשי מערכת אחרים כמנהלי CUPS מלאים - הם יכולים להגדיר את זה שגוי - אתה הופך אותם לחברים בקבוצה. lpadmin, שנוצר בעת התקנת CUPS.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI דיג'ו

        תודה גדולה אלף פיקו אנסה את זה עכשיו.

  2.   פדריקו דיג'ו

    HO2GI, ב- CentOS / Red-זה יהיה:

    [root @ linuxbox ~] # visudo

    שירותים

    Cmnd_Alias ​​RESTARTCUPS = / usr / bin / systemctl כוסות הפעלה מחדש, / usr / bin / systemctl כוסות מצב

    אפשר לשורש להפעיל כל פקודה בכל מקום

    שורש ALL = (ALL) ALL
    legolas ALL = הפעלה מחדש

    שמור שינויים

    [root @ linuxbox ~] # יציאה

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    סיסמת legolas @ linuxbox:

    [legolas @ linuxbox ~] כוסות הפעלה מחדש של $ sudo systemctl

    אנו סומכים שקיבלת את ההרצאה הרגילה מהמערכת המקומית
    מנהל. זה בדרך כלל מסתכם בשלושת הדברים האלה:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [סודו] סיסמה ל- legolas:
    [legolas @ linuxbox ~] כוסות סטטוס של sudo systemctl $
    ● cups.service - שירות ההדפסה של CUPS
    נטען: נטען (/usr/lib/systemd/system/cups.service; מופעל; הגדרת הגדרות קבועות מראש של הספק: מופעלת)
    פעיל: פעיל (פועל) מאז מרץ 2017-04-25 22:23:10 EDT; לפני שש שנים
    PID ראשי: 1594 (cupsd)
    קבוצה: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [legolas @ linuxbox ~] $ sudo systemctl הפעל מחדש את squid.service
    מצטערים, לגולאס של משתמשים אסור לבצע '/ bin / systemctl הפעלה מחדש של squid.service' כשורש ב- Linuxbox.
    [legolas @ linuxbox ~] יציאה $