Жергілікті пайдаланушылар мен топтық басқару - ШОБ желілері

Серияның жалпы индексі: ШОБ үшін компьютерлік желілер: кіріспе

Автор: Федерико Антонио Вальдес Тужаге
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Сәлем достар және достар!

Бұл мақала - жалғасы SquOS + CentOS 7-SMB желілеріндегі PAM аутентификациясы.

UNIX / Linux операциялық жүйелері REAL көп қолданушы ортасын ұсынады, онда көптеген пайдаланушылар бір уақытта бір жүйеде жұмыс істей алады және процессорлар, қатты дискілер, жад, желілік интерфейстер, жүйеге енгізілген құрылғылар сияқты ресурстарды бөлісе алады.

Осы себепті, жүйелік әкімшілер жүйенің пайдаланушылары мен топтарын үздіксіз басқаруға және жақсы басқару стратегиясын құрып, жүзеге асыруға міндетті.

Әрі қарай біз Linux жүйелерін басқару жүйесіндегі осы маңызды қызметтің жалпы аспектілерін өте қысқаша білетін боламыз.

Кейде Utility, содан кейін Need ұсынған дұрыс.

Бұл сол тәртіптің типтік мысалы. Алдымен біз көрсетеміз Интернет-прокси қызметін Squid және жергілікті қолданушылармен қалай жүзеге асыруға болады. Енді біз өзімізге сұрақ қоюымыз керек:

  • ¿мен жергілікті пайдаланушылардан UNIX / Linux LAN желісіндегі қызметтерді қалай іске асыра аламын және а қолайлы қауіпсіздік?.

Windows клиенттерінің де осы желіге қосылғаны маңызды емес. Бұл ШОБ желісіне қандай қызметтердің қажеттілігі және оларды іске асырудың қарапайым әрі арзан әдісі қандай болатындығы ғана маңызды.

Әркім өз жауабын іздеуі керек жақсы сұрақ. Мен сізді «терминін іздеуге шақырамынаутентификация»Wikipedia-да ағылшын тіліндегі түпнұсқалық мазмұны жағынан ең толық және дәйекті болып табылатын ағылшын тіліндегі.

Тарих бойынша қазірдің өзінде сөзбе-сөз сөйлейді, бірінші болды Аутентификация y Авторизация жергілікті, кейін NIS Желілік ақпараттық жүйе Sun Microsystem әзірлеген және сонымен бірге белгілі Сары беттер o ypсодан кейін LDAP Жеңілдетілген каталогқа қол жеткізу протоколы.

Ал «Қауіпсіздік»Біз бірнеше рет жергілікті желінің қауіпсіздігі туралы алаңдайтын болсақ, біз Facebook, Gmail, Yahoo және т.с.с-тарды еске аламыз, сондықтан біз олардың құпиялылығын қамтамасыз етеміз. Қатысты көптеген мақалалар мен деректі фильмдерді қараңыз Интернетте құпиялылық жоқ олар бар

CentOS және Debian-дағы ескерту

CentOS / Red Hat және Debian-да қауіпсіздікті қалай жүзеге асырудың өзіндік философиясы бар, бұл түбегейлі өзгеше емес. Дегенмен, біз екеуі де өте тұрақты, қауіпсіз және сенімді екенін растаймыз. Мысалы, CentOS-та SELinux мәтінмәні әдепкі бойынша қосылады. Debian-да біз пакетті орнатуымыз керек selinux-негіздері, бұл біз SELinux-ты қолдана алатынымызды көрсетеді.

CentOS-та, FreeBSD, және басқа амалдық жүйелер -system- тобы құрылды Доңғалақ сияқты қол жеткізуге мүмкіндік беру түбір тек сол топқа жататын жүйені пайдаланушыларға. Оқыңыз /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlжәне /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian топты біріктірмейді Доңғалақ.

Негізгі файлдар мен командалар

Мұрағат

Linux операциялық жүйесінде жергілікті қолданушыларды басқаруға байланысты негізгі файлдар:

CentOS және Debian

  • / etc / passwd: пайдаланушының есептік жазбасы туралы ақпарат.
  • / etc / shadow- пайдаланушының есептік жазбасының қауіпсіздігі туралы ақпарат.
  • / etc / group: топтық ақпарат.
  • / etc / gshadow- топтық шоттар үшін қауіпсіздік туралы ақпарат.
  • / etc / default / useradd: тіркелгі жасауға арналған әдепкі мәндер.
  • / etc / skel /: жаңа пайдаланушының HOME каталогына кіретін әдепкі файлдарды қамтитын каталог.
  • /etc/login.defs- құпия сөздің қауіпсіздік конфигурациясының жиынтығы.

Debian

  • /etc/adduser.conf: тіркелгі жасауға арналған әдепкі мәндер.

CentOS және Debian командалары

[root @ linuxbox ~] # chpasswd -сағ # Бума режимінде парольдерді жаңартыңыз
Қолдану әдісі: chpasswd [options] Опциялар: -c, --crypt-әдісі METHOD crypt әдісі (NONE DES MD5 SHA256 SHA512 бірі) -e, - берілген құпия сөздердің шифрланған -h, --help мұны көрсетеді -5, -5, MDXNUMX алгоритмі арқылы -R, -root CHROOT_DIR каталогының көмегімен -m, --mdXNUMX парольдерін шифрлайды және SHA шифрлау алгоритмдері үшін SHA айналымдарының санын дөңгелектейді. пакет- Жүйелік жүктеме мүмкіндік берген кезде командаларды орындау. Басқаша айтқанда # орташа жүктеме 0.8-ден төмен болғанда немесе # atd командасын шақыру арқылы көрсетілген мән #. Көбірек ақпарат адам партиясы.

[root @ linuxbox ~] # gpasswd -сағ # / Etc / group және / etc / gshadow ішіндегі әкімшілерді жариялаңыз
Қалай қолдануға болады: gpasswd [options] GROUP Опциялары: -a, --add USER USER-ді GROUP -d-қа қосады, - жою USER USER-ді GROUP -h-дан алып тастайды, -help осы анықтама хабарламасын көрсетеді және -Q, - - аяқталады CHROOT_DIR түбірлік каталогы -r, -delete-password парағына кіру үшін GROUP паролін алып тастайды -R, - шектеулер GROUP тобына кіруді шектейді -M, --members USER, ... GROUP мүшелерінің тізімін орнатады - A, - администраторлар ADMIN, ... -A және -M параметрлерін қоспағанда, GROUP әкімшілерінің тізімін белгілейді, параметрлер біріктірілмейді.

[root @ linuxbox ~] # топтасу -h    # Жаңа топ құрыңыз
Қолдану әдісі: groupadd [options] GROUP Опциялары: -f, - топ бұрыннан бар болса, күшін жояды, ал егер GID қазірдің өзінде қолданыста болса -g, --gid GID жаңа топ үшін GID-ді қолданады - h, - анықтама осы анықтамалық хабарламаны көрсетеді және -K, --key KEY = VALUE «/etc/login.defs» әдепкі мәндерін қайта жазады -o, -non-ерекше GID-мен топтар құруға мүмкіндік береді (бірегей емес) көшірмелері -p, - құпия сөз PASSWORD жаңа шифрланған құпия сөзді жаңа топқа пайдаланады -r, - жүйелік жүйе тіркелгісін жасайды -R, -root CHROOT_DIR каталогына кіру үшін

[root @ linuxbox ~] # groupdel -h # Бар топты жою
Қолдану әдісі: groupdel [options] GROUP Options: -h, --help осы анықтамалық хабарламаны көрсетіп, -R, --root CHROOT_DIR каталогын аяқтау үшін

[root @ linuxbox ~] # топтық топтар -h # Пайдаланушының негізгі тобындағы әкімшілерді жариялау
Қолдану әдісі: groupmems [options] [action] Опциялар: -g, --group тобы пайдаланушының тобының орнына топтың атын өзгертеді (тек администратор жасай алады) -R, -root CHROOT_DIR каталогына кіру үшін Әрекеттер: -a, --add USER USER-ді топ мүшелеріне қосады -d, - жою USER USER-ді топ мүшелері тізімінен шығарады -h, --help осы анықтамалық хабарламаны көрсетеді және -p, - тоқтатады purge purge барлық топ мүшелері -l, - тізімдер топ мүшелерін тізімдейді

[root @ linuxbox ~] # топтық мод -h # Топтың анықтамасын өзгертіңіз
Қолдану әдісі: groupmod [options] GROUP Опциялары: -g, --gid GID топ идентификаторын GID -h, --help көмек анықтамасын көрсетіп, -n аяқтайды, -new-name NEW_Group атауын өзгертеді NEW_GROUP -o, - ерекше емес қайталанатын GID-ді пайдалануға мүмкіндік береді (бірегей емес) -p, - құпия сөз PASSWORD парольді PASSWORD (шифрланған) -R, - тамырға ауыстыру үшін CHROOT_DIR каталогын өзгертуге мүмкіндік береді

[root @ linuxbox ~] # grpck -h # Топтық файлдың бүтіндігін тексеріңіз
Қолдану әдісі: grpck [options] [group [gshadow]] Опциялар: -h, --help осы анықтамалық хабарламаны көрсетіп, -r, - тек оқуға арналған қателер мен ескертулерді шығарады, бірақ файлдарды өзгертпейді -R, - -ro-ға өту үшін CHROOT_DIR каталогын енгізу, - жазбаларды UID бойынша сұрыптау

[root @ linuxbox ~] # grpconv
# Байланысты командалар: pwconv, pwunconv, grpconv, grpunconv
# Көлеңкелі парольдер мен топтарға түрлендіру үшін қолданылады
# Төрт команда файлдарда жұмыс істейді / etc / passwd, / etc / group, / etc / shadow, 
# және / etc / gshadow. Қосымша ақпарат алу үшін адам grpconv.

[root @ linuxbox ~] # sg -h # Басқа топ идентификаторы немесе GID коды бар команданы орындау
Қалай қолдануға болады: sg group [[-c] order]

[root @ linuxbox ~] # newgrp -h # Кіру кезінде ағымдағы GID кодын өзгертіңіз
Қалай қолдануға болады: newgrp [-] [group]

[root @ linuxbox ~] # жаңадан келгендер -h # пакеттік режимде жаңартыңыз және жаңа қолданушылар жасаңыз
Пайдалану режимі: жаңадан пайдаланушылар [опциялар] Опциялар: -c, --crypt-әдіс ӘДІСІ шифрлау әдісі (NONE DES MD5 SHA256 SHA512 бірі) -h, - осы анықтамалық хабарламаны көрсетіп, -r, --system құрамыз. -R, --root CHROOT_DIR каталогы -s-ге өту үшін, SHA шифрлау алгоритмдері үшін SHA айналымдарының саны -sha-дөңгелектері *

[root @ linuxbox ~] # лақ -h # Құпия сөз файлдарының бүтіндігін тексеріңіз
Қолдану әдісі: pwck [options] [passwd [shadow]] Опциялар: -h, --help осы анықтамалық хабарламаны көрсетіп, -q, - жай есеп қателерінен -r, - тек оқуға арналған қателер мен ескертулерден шығады, бірақ файлдарды -R, -root CHROOT_DIR каталогтарын -s-ге хрот етіп өзгертпеңіз, жазбаларды UID бойынша сұрыптаңыз

[root @ linuxbox ~] # useradd -h # жаңа пайдаланушы жасаңыз немесе жаңа қолданушының әдепкі # ақпаратын жаңартыңыз
Қалай пайдалануға болады: useradd [options] USER useradd -D useradd -D [options] Опциялар: -b, --base-dir жаңа тіркелімнің үй каталогы үшін BAS_DIR базалық каталог -c, - комментарий GECOS өрісі жаңа есептік жазба -d, --home-dir PERSONAL_DIR жаңа есептік жазбаның үй каталогы -D, - әдепкі бойынша useradd -e әдепкі параметрін басып шығарады немесе өзгертеді, - жаңа шоттың EXPIRY_DATE мерзімі біткен -f, - жаңа есептік жазба паролінің әрекетсіз кезеңі
топтастыру
  -g, --gid GROUP атауы немесе жаңа есептік жазбаның бастапқы тобының идентификаторы -G, --Groups жаңа есептік жазбаның қосымша топтарының топтары тізімі -h, --help осы анықтама хабарламасын көрсетеді және -k, - аяқталады skel DIR_SKEL осы кезектес «қаңқа» каталогын қолданады -K, - KEY = VALUE «/etc/login.defs» -l әдепкі мәндерін қайта жазады, -no-log-init пайдаланушыны мәліметтер базасына қоспайды lastlog және faillog -m -дан, --create-home пайдаланушының үй каталогын жасайды -M, --no-create-home пайдаланушының үй каталогын жасамайды -N, --no-user-group тобымен топ жасамайды -o, - бірегей емес пайдаланушымен бірдей есім қайталанатын (бірегей емес) идентификаторлары бар (UID) пайдаланушыларды құруға мүмкіндік береді -p, - құпия сөз PASSWORD жаңа есептік жазбаның шифрланған құпия сөзі -r, - жүйесінде есептік жазба жасалады -R, --root CHROOT_DIR каталогы -s-ге кіру үшін, --shell CONSOLE консольына жаңа тіркелгіге қол жеткізу -u, - жаңа UI пайдаланушы идентификаторының UID идентификаторы -U, --user-group құрупайдаланушы -Z, --selinux-пайдаланушымен аттас топ USER_SE SELinux пайдаланушысы үшін көрсетілген пайдаланушыны пайдаланады

[root @ linuxbox ~] # userdel -h # Пайдаланушының есептік жазбасын және оған қатысты файлдарды жою
Пайдалану режимі: userdel [опциялар] ПАЙДАЛАНУШЫ ОПЦИЯЛАРЫ: -f, - мәжбүрлеу, әйтпесе сәтсіз аяқталуы мүмкін кейбір әрекеттерді, мысалы, жүйеге кірген пайдаланушыны немесе файлдарды алып тастау, егер пайдаланушыға тиесілі болмаса да, -h, --help осы хабарламаны көрсетеді -R, - үй каталогы мен пошта жәшігін алып тастаңыз -R, --rochro CHROOT_DIR каталогын -Z, --selinux-user-ге қосу үшін пайдаланушыға арналған кез-келген SELinux пайдаланушы картасын алып тастаңыз

[root @ linuxbox ~] # пайдаланушы мод -h # Пайдаланушының есептік жазбасын өзгерту
Қолдану әдісі: usermod [options] USER Options: -c, - түсініктеме GECOS өрісінің жаңа мәні -d, --home PERSONAL_DIR жаңа пайдаланушының жаңа жеке каталогы -e, - мерзімі біткен EXPIRED_DATE жарамдылық мерзімін белгілейді EXPIRED_DATE -f есептік жазбасы, -INACTIVE есептік жазба INACTIVE -g аяқталғаннан кейін бос уақытты орнатады, -gid GROUP жаңа пайдаланушы тіркелгісі үшін GROUP қолдануын -G, --groups GROUPS тізімі қосымша топтар -a, - қолданушыны басқа топтардан шығармай -G опциясы аталған қосымша ТОПТАРҒА қосыңыз -h, - осы анықтамалық хабарламаны көрсетуге және -l, - login NAME тоқтатуға көмектесіңіз -L, --lock пайдаланушының аты -m, --move-home пайдаланушы тіркелгісін құлыптайды, үй каталогының мазмұнын жаңа каталогқа жылжытады (-d-мен бірге пайдаланыңыз) -o, -non-бірегей пайдалануға мүмкіндік береді Қосымша (бірегей емес) UID -p, - құпия сөз PASSWORD жаңа тіркелгі үшін шифрланған парольді қолданады -R, - тамыр CHR OOT_DIR каталогы -s-ге кіру үшін, -shell CONSOLE пайдаланушы тіркелгісі үшін жаңа қатынас консолі -u, - UID UID жаңа пайдаланушы тіркелгісі үшін UID-ді қолдануға мәжбүр етеді, -U, - құлыптан босату пайдаланушы есептік жазбасын ашады -Z, - пайдаланушы SEUSER пайдаланушы тіркелгісіне арналған жаңа SELinux пайдаланушыны салыстыру

Debian тіліндегі командалар

Дебиан бір-бірінен ажыратады useradd y adduser. Жүйе әкімшілеріне қолдануға кеңес береді adduser.

root @ sysadmin: / home / xeon # adduser -h # Пайдаланушыны жүйеге қосу
root @ sysadmin: / home / xeon # қосымша топ -h # Жүйеге топ қосу
adduser [- үй ДИРЕКТОРЫ] [- қабықша SHELL] [- құру-үй] [--uid идентификаторы] [- алғашқы идентификатор] [--lastuid идентификаторы] [--gecos GECOS] [--топ ТОП | --gid ID] [--disabled-password] [--disabled-login] ПАЙДАЛАНУШЫСЫ Қалыпты қолданушы қосқышын қосыңыз - жүйесі [- үй DIRECTORY] [- SHELL] [--No-create-home] [ --uid идентификаторы] [--gecos GECOS] [--group | - топтық топ | --gid ID] [--disabled-password] [--disabled-login] ПАЙДАЛАНУШЫ Жүйелік қосушыдан пайдаланушы қосу --group [--gid ID] GROUP addgroup [--gid ID] GROUP Пайдаланушылар тобын қосу addgroup --system [--gid ID] GROUP Жүйеге қосушыдан топ қосу USER GROUP бар пайдаланушыны бұрыннан бар топқа қосу: - тыныш | -q стандартты шығысындағы процесс ақпаратын көрсетпейді --force-badname NAME_REGEX --help конфигурациясының айнымалысына сәйкес келмейтін пайдаланушы аттарына рұқсат береді | -h пайдалану туралы хабарлама - нұсқасы | -v нұсқасының нөмірі және авторлық құқық --conf | -c FILE файлды конфигурация файлы ретінде қолданады

root @ sysadmin: / home / xeon # deluser -h # Қалыпты пайдаланушыны жүйеден шығарыңыз
root @ sysadmin: / home / xeon # топтастыру -h # Қалыпты топты жүйеден алып тастаңыз
deluser USER әдеттегі пайдаланушыны жүйенің мысалынан шығарады: deluser miguel --remove-home пайдаланушының үй каталогын және пошта кезегін жояды. - барлық файлдар пайдаланушыға тиесілі барлық файлдарды жояды. - резервтік көшірме файлдарды жоймас бұрын сақтық көшірмесін жасайды. - резервтік көшірме сақтық көшірмелерді жасауға арналған каталог. Ағымдағы каталог әдепкі бойынша қолданылады. - жүйені пайдаланушы болсаңыз ғана алып тастаңыз. delgroup GROUP deluser - GROUP тобы топты жүйеден шығарады: deluser --group студенттері - жүйе тек жүйеден топ болған жағдайда ғана алып тастайды. - тек-егер-бос болса, мүшелері жоқ болса ғана алып тастаңыз. deluser USER GROUP пайдаланушыны топтық мысалдан алып тастайды: deluser miguel студенттерінің жалпы нұсқалары: - тыныш | -q stdout --help | туралы процесс туралы ақпарат бермеңіз -h пайдалану туралы хабарлама - нұсқасы | -v нұсқасының нөмірі және авторлық құқық --conf | -c FILE файлды конфигурация файлы ретінде қолданады

Саясат

Пайдаланушы есептік жазбаларын құру кезінде екі түрлі саясатты қарастырған жөн:

  • Пайдаланушы тіркелгісінің саясаты
  • Парольді ескіру саясаты

Пайдаланушы тіркелгісінің саясаты

Іс жүзінде пайдаланушы тіркелгісін анықтайтын негізгі компоненттер:

  • Пайдаланушы тіркелгісінің аты - пайдаланушы КІРУ, аты мен тегі емес.
  • Қолданушының ID - UID.
  • Ол жататын негізгі топ - GID.
  • Пароль - пароль.
  • Кіру рұқсаттары - қатынасу рұқсаттары.

Пайдаланушы тіркелгісін жасау кезінде ескеретін негізгі факторлар:

  • Пайдаланушының файлдық жүйеге және ресурстарға қол жеткізе алатын уақыты.
  • Қауіпсіздік мақсатында пайдаланушы құпия сөзді өзгертуі керек уақыт мөлшері.
  • - логин - кіру белсенді болатын уақыт ұзақтығы.

Сонымен қатар, пайдаланушыны тағайындау кезінде оның UID y пароль, біз мынаны ескеруіміз керек:

  • Бүтін мән UID ол бірегей және теріс емес болуы керек.
  • El пароль оны түсіну қиынға соғатындай, ол жеткілікті ұзындық пен күрделілікке ие болуы керек.

Парольді ескіру саясаты

Linux жүйесінде пароль пайдаланушының әдепкі аяқталу уақыты тағайындалмайды. Егер біз парольді ескіру саясатын қолданатын болсақ, әдепкі әрекетті өзгерте аламыз және пайдаланушыларды құру кезінде анықталған ережелер ескеріледі.

Іс жүзінде құпия сөздің жасын белгілеу кезінде екі факторды ескеру қажет:

  • Қауіпсіздік
  • Пайдаланушының ыңғайлылығы.

Құпия сөз оның қолданылу мерзімі неғұрлым қауіпсіз болса. Оның басқа қолданушыларға таралу қаупі аз.

Парольді ескіру саясатын құру үшін біз пәрменді қолдана аламыз шағылысу:

[root @ linuxbox ~] # шағым
Пайдалану режимі: chage [опциялары] ПАЙДАЛАНУШЫ ОПЦИЯЛАРЫ: -d, - LAST_DAY күні парольдің соңғы өзгерген күнін LAST_DAY -E етіп қояды, - біткен CAD_DATE жарамдылық мерзімін CAD_DATE -h, --help көрсетеді бұл анықтама хабары мен аяқталады -I, - белсенді емес АКЦИОНЕР есептік жазбаны жарамдылық мерзімі аяқталғаннан кейін АКТИВТІКЕЗДІК күннен кейін өшіреді -l, - тізім шоттың жас туралы ақпаратын көрсетеді -m, - MININDAYS күндізгі нөмірді орнатады Құпия сөзді MIN_DAYS -M-ге дейін өзгертуден минималды күн, MAX_DAYS максималды күн MAX_DAYS -R, -root CHROOT_DIR каталогты -W-ге ауыстыру үшін құпия сөзді өзгертуге дейінгі күндердің ең көп санын, WARNING_DAYS DAYS_NOTICE дейін жарамдылық мерзімі туралы хабарлама

Алдыңғы мақалада біз мысал ретінде бірнеше қолданушылар жасадық. Егер біз пайдаланушының есептік жазбасының жас мәндерін білгіміз келсе КІРУ галадриель:

[root @ linuxbox ~] # chage - тізім galadriel
Құпия сөздің соңғы өзгеруі: 21 жылдың 2017 сәуірі: Құпия сөздің мерзімі өтеді: ешқашан белсенді емес пароль: ешқашан Есептік жазба аяқталмайды: ешқашан Құпия сөзді өзгерту арасындағы минималды күн саны: 0 Құпия сөзді өзгерту арасындағы ең көп күн саны: 99999 Бұрын хабарланған күндер саны құпия сөздің мерзімі аяқталады: 7

Бұл «Пайдаланушылар мен топтар» графикалық басқару утилитасын қолдана отырып, пайдаланушы тіркелгісін жасаған кезде жүйенің әдепкі мәні болды:

 

Құпия сөздің ескіруін өзгерту үшін файлды өңдеу ұсынылады /etc/login.defs y бізге қажет мәндердің минималды мөлшерін өзгерту. Бұл файлда біз тек келесі мәндерді өзгертеміз:

# Парольдің қартаюын бақылау: # # PASS_MAX_DAYS Құпия сөзді қолданудың максималды күн саны. # PASS_MIN_DAYS құпия сөзді өзгертудің ең аз күн саны. # PASS_MIN_LEN құпия сөздің минималды рұқсат етілген ұзындығы. # PASS_WARN_AGE Құпия сөздің мерзімі біткенге дейін берілген ескертулер саны. # 99999 ӨТКІЗУ КҮНІ # 273 жылдан астам! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

біздің өлшемдеріміз бен қажеттіліктерімізге сәйкес таңдаған құндылықтарымыз үшін:

PASS_MAX_DAYS 42 # 42 үздіксіз күндер пароль
PASS_MIN_DAYS 0 # құпия сөзді кез келген уақытта өзгертуге болады PASS_MIN_LEN 8 # парольдің минималды ұзындығы PASS_WARN_AGE 7 # Жүйе сізге ескертетін күндер саны # сіз парольді біткенге дейін өзгертуіңіз керек.

Біз файлдың қалған бөлігін бұрынғы күйінде қалдырамыз және біз не істеп жатқанымызды білмейінше басқа параметрлерді өзгертпеуге кеңес береміз.

Біз жаңа пайдаланушылар жасаған кезде жаңа мәндер ескеріледі. Егер біз бұрыннан жасалған пайдаланушының құпия сөзін өзгертетін болсақ, парольдің минималды ұзындығының мәні сақталады. Егер біз команданы қолданатын болсақ passwd графикалық утилитаның орнына және біз пароль «legolas17«, Жүйе« Пайдаланушылар мен топтар »графикалық құралы сияқты шағымданады және ол«Қалай болса да пароль пайдаланушы атын оқиды»Дегенмен мен ақыр соңында әлсіз құпия сөзді қабылдаймын.

[root @ linuxbox ~] # passwd legolas
Legolas пайдаланушысының паролін өзгерту. Жаңа Құпия Сөз: садақшы               # 7 таңбадан аз
Дұрыс емес құпия сөз: құпия сөз 8 таңбадан аз Жаңа құпия сөзді қайта теріңіз: legolas17
Құпия сөздер сәйкес келмейді.               # Логикалық дұрыс па?
Жаңа пароль: legolas17
Дұрыс емес құпия сөз: қалай болғанда да, пароль пайдаланушының атын оқиды Жаңа құпия сөзді қайта теріңіз: legolas17
passwd: барлық аутентификация белгілері сәтті жаңартылды.

Бізге құпия сөзді жариялаудың «әлсіздігі» туындайды КІРУ пайдаланушы. Бұл ұсынылмаған тәжірибе. Дұрыс әдіс:

[root @ linuxbox ~] # passwd legolas
Legolas пайдаланушысының паролін өзгерту. Жаңа Құпия Сөз: биік таулар01
Жаңа құпия сөзді қайта теріңіз: биік таулар01
passwd: барлық аутентификация белгілері сәтті жаңартылды.

Жарамдылықтың мәндерін өзгерту үшін пароль de галадриель, біз chage пәрменін қолданамыз және тек мәнін өзгерту керек PASS_MAX_DAYS 99999-ден 42-ге дейін:

[root @ linuxbox ~] # chage -M 42 галадриель
[root @ linuxbox ~] # chage -l galadriel
Құпия сөздің соңғы өзгеруі: 21 жылғы 2017 сәуір, Құпия сөздің мерзімі аяқталады: 02 Белсенді емес құпия сөз: ешқашан Есептік жазба аяқталмайды: ешқашан Құпия сөздің өзгеруі арасындағы минималды күн саны: 2017 Құпия сөз өзгерген күннің максималды саны: 42
Құпия сөздің мерзімі біткенге дейінгі ескерту күндерінің саны: 7

Сонымен, біз қолданушылар жасаған парольдерді және олардың жарамдылық мерзімдерін «Қолданушылар мен топтар» графикалық құралын немесе сценарийді қолдана отырып өзгерте аламыз - сценарий кейбір интерактивті емес жұмыстарды автоматтандыратын.

  • Осылайша, егер біз жүйенің жергілікті пайдаланушыларын қауіпсіздікке қатысты кең таралған тәжірибелер ұсынбаған түрде жасасақ, біз PAM-ға негізделген қызметтерді енгізуді жалғастырмас бұрын, бұл әрекетті өзгерте аламыз..

Егер біз қолданушыны жасасақ андуин Con КІРУ «андуин»Және пароль«Құпия сөз»Біз келесі нәтижеге қол жеткіземіз:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Қолданушының anduin паролін өзгерту. Жаңа Құпия Сөз: Құпия сөз
Дұрыс емес құпия сөз: пароль сөздікті тексеруден өтпейді - бұл сөздіктегі сөзге негізделген. Жаңа құпия сөзді қайта теріңіз: Құпия сөз
passwd - барлық аутентификация белгілері сәтті жаңартылды.

Басқаша айтқанда, жүйе құпия сөздің әлсіз жақтарын көрсететін креативті.

[root @ linuxbox ~] # passwd anduin
Қолданушының anduin паролін өзгерту. Жаңа Құпия Сөз: биік таулар02
Жаңа құпия сөзді қайта теріңіз: биік таулар02
passwd - барлық аутентификация белгілері сәтті жаңартылды.

Саясаттың қысқаша мазмұны

  • Құпия сөздің күрделілігі саясаты, сондай-ақ минималды ұзындығы 5 символ CentOS-та әдепкі бойынша қосылатыны анық. Debian-да күрделілікті тексеру қарапайым пайдаланушылар үшін пәрменді шақыру арқылы парольді өзгертуге тырысқанда жұмыс істейді passwd. Пайдаланушы үшін түбір, әдепкі шектеулер жоқ.
  • Файлда жариялауға болатын әртүрлі нұсқаларды білу маңызды /etc/login.defs пәрменді қолдану адамға кіру.defs.
  • Сондай-ақ, файлдардың мазмұнын тексеріңіз / etc / default / useradd, сонымен қатар Debian тілінде /etc/adduser.conf.

Жүйені пайдаланушылар мен топтар

Операциялық жүйені орнату процесінде пайдаланушылардың және топтардың тұтас сериясы құрылады, олар бір әдебиетті Стандартты пайдаланушылар деп, ал екінші жүйені пайдаланушылар деп атайды. Біз оларды жүйенің пайдаланушылары мен топтары деп атағанды ​​жөн көреміз.

Әдетте, жүйені пайдаланушылар UID <1000 және сіздің есептік жазбаларыңыз операциялық жүйенің әртүрлі қосымшаларында қолданылады. Мысалы, пайдаланушы тіркелгісі «Кальмар»Squid бағдарламасы пайдаланады, ал« lp »тіркелгісі мәтіндік немесе мәтіндік редакторлардан басып шығару процесінде қолданылады.

Егер біз сол қолданушылар мен топтардың тізімін бергіміз келсе, оны келесі пәрмендер арқылы жасай аламыз:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # мысық / etc / топ

Жүйенің қолданушылары мен топтарын өзгерту мүлдем ұсынылмайды. 😉

Маңыздылығына байланысты біз қайтадан CentOS-та, FreeBSD, және басқа амалдық жүйелер -system- тобы құрылды Доңғалақ сияқты қол жеткізуге мүмкіндік беру түбір тек сол топқа жататын жүйені пайдаланушыларға. Оқыңыз /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlжәне /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian топты біріктірмейді Доңғалақ.

Пайдаланушы және топтық есептік жазбаларды басқару

Пайдаланушы мен топтық есептік жазбаларды басқаруды үйренудің ең жақсы әдісі:

  • Жоғарыда келтірілген пәрмендерді виртуалды машинада қолдану тәжірибесі бұрын графикалық құралдарды қолдану.
  • Нұсқаулыққа жүгіну немесе адам беті Интернеттен басқа ақпаратты іздеу алдында әр команданың.

Тәжірибе - шындықтың ең жақсы өлшемі.

Резюме

Жергілікті пайдаланушылар мен топтарды басқаруға арналған бір ғана мақала жеткіліксіз. Әрбір әкімшінің алатын білім деңгейі осы және басқа да тақырыптарды оқуға және тереңдетуге деген қызығушылыққа байланысты болады. Бұл мақалалар топтамасында біз жасаған барлық аспектілермен бірдей ШОБ желілері. Осылайша сіз pdf-те осы нұсқадан ләззат ала аласыз Мұнда

Келесі жеткізу

Жергілікті пайдаланушыларға қарсы аутентификациясы бар қызметтерді енгізуді жалғастырамыз. Содан кейін біз бағдарлама негізінде жедел хабар алмасу қызметін орнатамыз Процесс.

Жуықта Көріскенше!


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

4 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады.

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   HO2GI дижо

    Сәлеметсіз бе, керемет мақала, мен сізден қай жерде жұмыс істейтінімді сұраймын, принтерлер көп бөліседі, мәселе шыныаяқтарда, кейде ол іліп қалады және мен басып шығара алмаймын, өйткені мен оларды қайта бастауға рұқсат бере аламын (өйткені біз көбіне жұмыс істейміз) басқа облыстарда) пароль түбірін бермей, оны тапқан жалғыз әдіс - оны белгілі бір қолданушы қайта бастауы үшін өзгерту.
    Қазірдің өзінде сізге үлкен рахмет.

    1.    федерико дижо

      Сәлем HO2GI!. Мысалы, қолданушы дейік леголалар Сіз оған әрине команданы қолдана отырып, тек CUPS қызметін қайта бастауға рұқсат бергіңіз келеді sudoорнату керек:
      [root @ linuxbox ~] # visudo

      Cmnd бүркеншік атының сипаттамасы

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups қайта іске қосылады

      Пайдаланушының артықшылықтарының сипаттамасы

      түбір БАР = (БАРЛЫҚ: БАРЛЫҚ) БАРЛЫҚ
      legolas ALL = қайта қалпына келтіру

      Файлға енгізілген өзгертулерді сақтаңыз sudoers. Пайдаланушы ретінде кіріңіз леголалар:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid қайта жүктеу
      [sudo] леголаларға арналған құпия сөз:
      Кешіріңіз, пайдаланушы леголаларына '/etc/init.d/postfix қайта жүктеуді' linuxbox.fromlinux.fan-да түбір ретінде орындауға рұқсат жоқ.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups қайта іске қосылады
      [sudo] леголаларға арналған құпия сөз:
      [ok] Жалпы Unix басып шығару жүйесін қайта қосу: cupsd.

      Егер CentOS-та сұраныс басқаша болса, мені кешіріңіз, өйткені мен Debian Wheezy-де жасағанды ​​басшылыққа алдым. ;-). Мен дәл қазір қай жерде болсам, менің қолымда ешқандай CentOS жоқ.

      Екінші жағынан, егер сіз басқа жүйелік пайдаланушыларды толық CUPS әкімшілері ретінде қосқыңыз келсе - олар оны дұрыс конфигурациялай алады - сіз оларды топтың мүшесі етесіз lpadmin, ол CUPS орнатқан кезде жасалады.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI дижо

        Мың Фикоға мың алғыс, дәл қазір байқап көремін.

  2.   федерико дижо

    HO2GI, CentOS-та / Қызыл -Қалай болар еді:

    [root @ linuxbox ~] # visudo

    Қызметтер

    Cmnd_Alias ​​RESTARTTCUPS = / usr / bin / systemctl шыныаяқтарын қайта бастаңыз, / usr / bin / systemctl күй шыныаяқтары

    Root-ге кез-келген команданы кез-келген жерде орындауға рұқсат етіңіз

    түбір БАР = (БАРЛЫҚ) БАРЛЫҚ
    legolas ALL = қайта қалпына келтіру

    Өзгерістерді сақтау

    [root @ linuxbox ~] # шығу

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    legolas @ linuxbox паролі:

    [legolas @ linuxbox ~] $ sudo systemctl қайта бастау шыныаяқтары

    Сізге жергілікті жүйеден әдеттегідей дәріс оқылды деп сенеміз
    Әкімші. Әдетте бұл үш нәрсеге байланысты:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] леголаларға арналған құпия сөз:
    [legolas @ linuxbox ~] $ sudo systemctl күй шыныаяқтары
    ● cups.service - CUPS басып шығару қызметі
    Жүктелген: жүктелген (/usr/lib/systemd/system/cups.service; қосулы; жеткізушінің алдын-ала орнатылған: қосулы)
    Белсенді: 2017-04-25 22:23:10 EDT наурызынан бастап белсенді (жұмыс істеп тұрған); 6s бұрын
    Негізгі PID: 1594 (кесе)
    CGroup: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [legolas @ linuxbox ~] $ sudo systemctl squid.service қайта іске қосыңыз
    Кешіріңіз, пайдаланушы леголаларына linuxbox-та root / '/ bin / systemctl squid.service' функциясын root ретінде орындай алмайды.
    [legolas @ linuxbox ~] $ шығу

bool(шын)