Жергиликтүү колдонуучуларды жана топторду башкаруу - ЧОИ тармактары

Сериянын жалпы индекси: Чакан жана орто ишканалар үчүн компьютердик тармактар: Киришүү

Автор: Федерико Антонио Вальдес Тужаге
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Салам достор жана достор!

Бул макала уландысы болуп саналат SquOS + PAM Authentication CentOS 7- SMB Networks.

UNIX / Linux операциялык тутумдары REAL көп колдонуучу чөйрөсүн сунуштайт, анда көптөгөн колдонуучулар бир эле системада бир эле мезгилде иштешип, процессорлор, катуу дисктер, эс тутум, тармактык интерфейстер, тутумга киргизилген шаймандар жана башкалар сыяктуу ресурстарды бөлүшө алышат.

Ушул себептен, Тутум Администраторлору тутумдун колдонуучуларын жана топторун үзгүлтүксүз башкарууга жана башкаруунун жакшы стратегиясын иштеп чыгууга жана жүзөгө ашырууга милдеттүү.

Андан кийин биз Linux системаларын башкарууда ушул маанилүү иштин жалпы аспектилерин кыскача көрөбүз.

Кээде пайдалуу программаны, андан кийин Зарылчылыкты сунуш кылган жакшы.

Бул ошол тартиптин типтүү мисалы. Алгач биз көрсөтөбүз Squid жана жергиликтүү колдонуучулар менен Интернет-прокси кызматын кантип ишке ашыруу керек. Эми биз өзүбүзгө:

  • ¿тармактык кызматтарды жергиликтүү колдонуучулардан жана а. менен UNIX / Linux LAN аркылуу кантип ишке ашырсам болот алгылыктуу коопсуздук?.

Windows кардарлары дагы бул тармакка туташып турганы маанилүү эмес. Бул чакан жана орто бизнес тармагынын кайсы кызматтарга муктаждыгы жана аларды ишке ашыруунун эң жөнөкөй жана арзан ыкмасы гана маанилүү.

Ар бир адам өзүнөн жооп сурашы керек болгон жакшы суроо. Мен сизди «терминин издөөгө чакырамтастыктоо»Wikipediaдагы англис тилиндеги түпнуска мазмуну боюнча эң толук жана ырааттуу англис тилинде.

Тарых боюнча буга чейин болжол менен, биринчи тастыктоо y Авторизация жергиликтүү, кийин NIS Тармактык маалымат тутуму Sun Microsystem тарабынан иштелип чыккан жана ошондой эле белгилүү Yellow Pages o yp, жана андан кийин LDAP Түз мүмкүндүк алуу протоколу.

Эмне жөнүндө "Алгылыктуу коопсуздук»Көпчүлүк учурда жергиликтүү тармактын коопсуздугун ойлоп тынчсызданып, Facebook, Gmail, Yahoo ж.б.у.с. кире берсек, кээ бирлерин атап өтсөк болот. Бул тууралуу көптөгөн макалаларды жана даректүү тасмаларды караңыз Интернетте купуялык жок жок.

CentOS жана Debian боюнча эскертүү

CentOS / Red Hat жана Debian коопсуздукту ишке ашыруу боюнча өз философиясына ээ, бул болсо түп тамырынан айырмаланбайт. Бирок, экөө тең абдан туруктуу, коопсуз жана ишенимдүү деп ырастайбыз. Мисалы, CentOSто SELinux контексти демейки шартта иштетилген. Debianда биз пакетти орнотушубуз керек selinux-негиздери, бул дагы SELinux колдоно аларыбызды көрсөтөт.

CentOSто, FreeBSD, жана башка операциялык тутумдар, -system- тобу түзүлгөн дөңгөлөк катары кирүүгө уруксат берүү тамыр ошол топко кирген тутум колдонуучуларына гана. Оку /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlжана /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian топту камтыбайт дөңгөлөк.

Негизги файлдар жана буйруктар

жазуулар

Linux иштетүү тутумундагы жергиликтүү колдонуучуларды башкарууга байланыштуу негизги файлдар:

CentOS жана Debian

  • / etc / passwd: колдонуучунун эсеби жөнүндө маалымат.
  • / etc / shadow- Колдонуучулардын эсептери үчүн коопсуздук маалыматтары.
  • / etc / group: топтук эсеп жөнүндө маалымат.
  • / etc / gshadow- Топтук эсептер үчүн коопсуздук маалыматтары.
  • / etc / default / useradd: каттоо эсептерин түзүү үчүн демейки маанилер.
  • / etc / skel /: жаңы колдонуучунун HOME каталогуна киргизилген демейки файлдарды камтыган каталог.
  • /etc/login.defs- Сырсөздүн коопсуздук конфигурациясынын топтому.

Debian

  • /etc/adduser.conf: каттоо эсептерин түзүү үчүн демейки маанилер.

CentOS жана Debian боюнча буйруктар

[root @ linuxbox ~] # chpasswd -h # Партиялык режимде паролдорду жаңыртыңыз
Колдонуу: chpasswd [options] Жолдор: -c, --crypt-method METHOD crypt ыкмасы (NONE DES MD5 SHA256 SHA512дин бири) -e, - берилген сырсөздөр шифрленген -h, --help муну көрсөтөт -5, MD5 алгоритмин колдонуп -R, --root CHROOT_DIR каталогун колдонуп -m, --mdXNUMX сөзсүз түрдө шифрлөөнү шифрлейт, SHA шифрлөө алгоритмдери үчүн SHA айлампаларынын саны партия- Тутум жүктөлгөндө буйруктарды аткарыңыз. Башка сөз менен айтканда # орточо жүктөм 0.8ден төмөн түшкөндө же # atd командасын чакырганда көрсөтүлгөн маани #. Көбүрөөк маалымат адам партиясы.

[root @ linuxbox ~] # gpasswd -ч # / Etc / group жана / etc / gshadow администраторлору деп жарыялаңыз
Колдонуу: gpasswd [options] GROUP Жолдору: -a, --add USER USERди GROUP -dге кошот, --delete USER USERди GROUP -hдан алып салат, --help бул жардам билдирүүсүн көрсөтүп, -Q, - - аяктайт root CHROOT_DIR каталогуна кирүү үчүн, -r, -delete-password сөзү менен GROUPдун паролун алып саласыз, -R, - чектөө GROUP мүчөлөрүнө кирүүнү чектейт -M, --members USER, ... GROUP мүчөлөрүнүн тизмесин орнотот - A, - администраторлор ADMIN, ..., GROUP администраторлорунун тизмесин орнотот -A жана -M параметрлеринен тышкары, параметрлерди бириктирүүгө болбойт.

[root @ linuxbox ~] # топко кошуу -h    # Жаңы топ түзүңүз
Колдонуу: groupadd [options] GROUP Жолдору: -f, --for мурунтан эле бар болсо, күчүн жоготот, эгер GID мурунтан эле колдонуп жаткан болсо, -g, --gid GID жаңы топко GID колдонот - h, --help бул жардам билдирүүсүн көрсөтүп, -K, --key KEY = VALUE "/etc/login.defs" -o демейки маанилеринин үстүнөн жазат, -non-уникалдуу GID топторун түзүүгө мүмкүндүк берет (уникалдуу эмес) ) -p, - сыр сөздүн көчүрмөсү ушул шифрленген сыр сөздү жаңы топ үчүн колдонот -r, - тутум тутум каттоо эсебин түзөт -R, -root CHROOT_DIR каталогуна кирүү үчүн

[root @ linuxbox ~] # groupdel -h # Учурдагы топту жок кылуу
Колдонуу: groupdel [options] GROUP Options: -h, --help бул жардам билдирүүсүн көрсөтүп, -R, --root CHROOT_DIR каталогун токтотуу үчүн

[root @ linuxbox ~] # группалаштар -h # Колдонуучунун негизги тобундагы администраторлорду жарыялоо
Колдонуу: groupmems [options] [action] Options: -g, --group GROUP колдонуучунун тобунун ордуна топтун атын өзгөртөт (администратор гана жасай алат) -R, --root CHROOT_DIR каталогуна кирүү үчүн Аракеттер: -a, --add USER USERди USDди топтун мүчөлөрүнө кошот -d, --delete USER USERди топтун мүчөлөрүнүн тизмесинен чыгарат -h, --help бул жардам билдирүүсүн көрсөтүп, -p, - аяктайт purge purge бардык топтун мүчөлөрү -l, --list тизмеси топтун мүчөлөрү

[root @ linuxbox ~] # groupmod -h # Топтун аныктамасын өзгөртүү
Колдонуу: groupmod [options] GROUP Жолдор: -g, --gid GID топтун идентификаторун GID -h, --help жардам маалыматын көрсөтүп, -n аяктайт, -new-name NEW_Group NEW_GROUP атын өзгөртөт -o, -non-уникалдуу GID кайталанышын колдонууга мүмкүнчүлүк берет (уникалдуу эмес) -p, - сыр сөз PASSWORD сыр сөздү PASSWORD (шифрленген) -R, --root CHROOT_DIR каталогуна chroot кылып өзгөртөт

[root @ linuxbox ~] # grpck -h # Топтук файлдын бүтүндүгүн текшерүү
Колдонуу: grpck [options] [group [gshadow]] Жолдор: -h, --help бул жардам билдирүүсүн көрсөтүп, -r, - окуу үчүн гана каталарды жана эскертүүлөрдү көрсөтөт, бирок файлдарды өзгөртпөйт -R, - - CHROOT_DIR каталогун тамырларга кошуу үчүн, - UID боюнча жазууларды иреттөө

[root @ linuxbox ~] # grpconv
# Буйруктар: pwconv, pwunconv, grpconv, grpunconv
# Көмүскө сырсөздөргө жана топторго которуу үчүн колдонулат
# Төрт буйрук файлдарда иштейт / etc / passwd, / etc / group, / etc / shadow, 
# жана / etc / gshadow. Көбүрөөк маалымат алуу үчүн man grpconv.

[root @ linuxbox ~] # sg -h # Башка топтун идентификатору же GID менен буйрукту аткарыңыз
Колдонуу: sg group [[-c] order]

[root @ linuxbox ~] # newgrp -h # Кирүү учурунда учурдагы GIDди өзгөртүңүз
Кантип колдонуу керек: newgrp [-] [group]

[root @ linuxbox ~] # жаңы колдонуучулар -h # Жаңыртуу жана жаңы режимде жаңы колдонуучуларды түзүү
Колдонуу режими: жаңы колдонуучулар [параметрлер] Жолдор: -c, --crypt-method crypt ыкмасы ЫКМАСЫ (NONE DES MD5 SHA256 SHA512дин бири) -h, --help бул жардам билдирүүсүн көрсөтүп, -r, --system системасын жаратат -R, --root CHROOT_DIR каталогдору -s-ге өтүү үчүн, - SHA шифрлөө алгоритмдери үчүн SHA айлампаларынын саны

[root @ linuxbox ~] # pwck -h # Сырсөз файлдарынын бүтүндүгүн текшериңиз
Кантип колдонуу керек: pwck [options] [passwd [shadow]] Жолдор: -h, --help бул жардам билдирүүсүн көрсөтүп, -q, - тынч отчет каталары гана -r, - жалаң гана окуу каталары жана эскертүүлөрү чыгат, бирок файлдарды -R, -root CHROOT_DIR каталогун -sга chroot кылуу үчүн өзгөртпөңүз, - UID боюнча жазууларды иреттөө

[root @ linuxbox ~] # useradd -h # Жаңы колдонуучу түзүңүз же жаңы колдонуучунун # маалыматын жаңыртыңыз
Колдонуу: useradd [options] USER useradd -D useradd -D [options] Жолдор: -b, --base-dir BAS_DIR жаңы каталогдун үй каталогу үчүн BAS_DIR базалык каталог, - комментарий GECOS GECOS талаасы жаңы эсеп -d, --home-dir PERSONAL_DIR жаңы каттоо эсебинин үй каталогу -D, - демейки useradd -e баскычын басып чыгарат же өзгөртөт, - жаңы эсептин аяктаган EXPIRY_DATE мөөнөтү -f, - жигерсиз АКТИВДҮҮ ​​бош жүргөн мезгил жаңы эсептин сырсөзү
группа
  -g, --gid GROUP аты же жаңы аккаунттун баштапкы тобунун идентификатору, -G, --groups GROUPS жаңы аккаунтунун кошумча топторунун тизмеси -h, --help бул жардам билдирүүсүн көрсөтүп, -k, - skel DIR_SKEL бул кезектеги "скелет" каталогун колдонот -K, - ачкыч KEY = VALUE "/etc/login.defs" -l демейки маанилеринин үстүнөн жазат, --no-log-init колдонуучуну маалымат базаларына кошпойт lastlog жана faillogдон -m, --create-home колдонуучунун үй каталогун түзөт, -M, --no-create-home колдонуучунун үй каталогун түзбөйт, -N, -no-user-group колдонуучу колдонуучу менен бирдей аталыштагы топ -o, -non-уникалдуу кайталанма (уникалдуу эмес) идентификаторлору бар колдонуучуларды түзүүгө мүмкүндүк берет (UID) -p, - сыр сөз PASSWORD жаңы аккаунттун шифрленген сыр сөзү -r, - системасы -R, --root CHROOT_DIR каталогунун каттоо эсеби, -s, -shell CONSOLE консолуна кирүү жаңы эсеп -u, -uid UID жаңы каттоо эсебинин колдонуучу идентификатору -U, --user-group түзүүколдонуучу -Z, --selinux-user менен бирдей аталыштагы топ USER_SE SELinux колдонуучусу үчүн көрсөтүлгөн колдонуучуну колдонот

[root @ linuxbox ~] # userdel -h # Колдонуучунун аккаунтун жана ага байланыштуу файлдарды жок кылыңыз
Колдонуу режими: userdel [options] КОЛДОНУУЧУНУН ЖОЛДОРУ: -f, - күч колдонбосо, анда башкача болбой калат, мисалы, кирген колдонуучуну же файлдарды алып салуу, эгерде колдонуучу таандык болбосо дагы -h, --help бул билдирүүнү көрсөтөт Жардам аяктагыла -r, - үй каталогун жана почта кутучасын алып салгыла -R, -root CHROOT_DIR каталогун -Z-ге өткөрүү үчүн, -selinux-user колдонуучу үчүн SELinux колдонуучунун бардык карта карталарын алып салыңыз.

[root @ linuxbox ~] # usermod -h # Колдонуучунун каттоо эсебин өзгөртүү
Колдонуу: usermod [options] USER Options: -c, - комментарий ЖАРДАМ GECOS талаасынын жаңы мааниси -d, --home PERSONAL_DIR жаңы колдонуучунун жаңы үй каталогу -e, - мөөнөтү бүткөн EXPIRED_DATE мөөнөтү аяктаган күндү белгилейт EXPIRED_DATE күнүнө чейин -f, - жигерсиз АКТИВДИ эсептик жазуу бүткөндөн кийин бош убакытты белгилейт, -g, --gid GROUP жаңы колдонуучу каттоо эсеби үчүн GROUP колдонууга мажбурлайт, -G, --Grups GROUPS тизмеси кошумча топтордун -a,, - колдонуучуну башка топтордон чыгарбастан -G параметринде көрсөтүлгөн кошумча ГРУППАЛАРГА тиркөө -h, - бул жардам билдирүүсүн көрсөтүүгө жардам берет жана -L, - кирүү NAME колдонуучунун атын дагы -L, - колдонуучунун каттоо эсебин кулпулоо -m, -move-home үй каталогунун мазмунун жаңы каталогго жылдыруу (-d менен бирге гана колдонуу) -o, -non-уникалдуу кайталанма (уникалдуу эмес) UIDs -p колдонууга мүмкүндүк берет, - сыр сөз PASSWORD жаңы каттоо эсеби үчүн шифрленген сыр сөздү колдонот -R, - тамыр CHR OOT_DIR каталогу -s, -shellге chroot кылуу үчүн CONSOLE колдонуучунун каттоо эсеби үчүн жаңы мүмкүндүк алуу консолу -u, - UID UID жаңы колдонуучунун каттоо эсеби үчүн UID колдонууга мажбурлайт, -U, - unlock user user account -Z, --selinux-user Колдонуучунун каттоо эсеби үчүн SEUSER жаңы SELinux колдонуучунун картасын түзүү

Debian тилиндеги буйруктар

Дебиан айырмалайт useradd y adduser. Тутум Администраторлору колдонууну сунуштайт adduser.

root @ sysadmin: / home / xeon # adduser -h # Колдонуучуну тутумга кошуңуз
root @ sysadmin: / home / xeon # кошумча топ -h # Топко тутум кошуңуз
adduser [--home DIRECTORY] [--shell SHELL] [- no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--топ GROUP | --gid ID] [--disabled-password] [--disabled-login] USER Кадимки колдонуучу adduser кошуу --system [--home DIRECTORY] [--shell SHELL] [--No-create-home] [ --uid ID] [--gecos GECOS] [--group | --топ GROUP | --gid ID] [--disabled-password] [--disabled-login] USER Колдонуучуну тутумдук adduserден кошуу --group [--gid ID] GROUP addgroup [--gid ID] GROUP Колдонуучунун тобун кошуу --system [--gid ID] GROUP Тутум adduser'ден топ кошуу USER GROUP Учурдагы колдонуучуга мурунку колдонуучуну кошуу: - тынч | -q стандарттык чыгууда процесстик маалыматты көрсөтпөйт --force-badname колдонуучунун аталыштарына конфигурация өзгөрмөсүнө дал келбеген NAME_REGEX --help | -h колдонуу билдирүүсү --version | -v версиянын номери жана автордук укук --conf | -c FILE файлды конфигурация файлы катары колдонот

root @ sysadmin: / home / xeon # deluser -h # Кадимки колдонуучуну тутумдан алып салыңыз
root @ sysadmin: / home / xeon # группа -h # Кадимки топту тутумдан алып салыңыз
deluser USER кадимки колдонуучуну тутум мисалынан алып салат: deluser miguel --remove-home колдонуучунун үй каталогун жана почта кезегин жок кылат. --remove-all-files колдонуучуга таандык бардык файлдарды жок кылат. - резервдик көчүрмө файлдарды өчүрүүдөн мурун. - резервдик көчүрмө камдык көчүрмөлөрдү алуу үчүн баруучу каталог. Учурдагы каталог демейки шартта колдонулат. - системаны колдонуучу болсоңуз гана алып салыңыз. delgroup GROUP deluser --group GROUP топту тутумдун мисалынан алып салат: deluser --group студенттери - тутум тутумдан топ болгондо гана алып салат. --y-if-empty, эгерде алардын мүчөлөрү жок болсо гана алып салыңыз. deluser USER GROUP колдонуучуну топтун мисалынан алып салат: deluser miguel студенттеринин жалпы жолдору: - тынч | -q stdout --help | боюнча процесстин маалыматын бербеңиз -h колдонуу билдирүүсү --version | -v версиянын номери жана автордук укук --conf | -c FILE файлды конфигурация файлы катары колдонот

Саясат

Колдонуучунун аккаунттарын түзүүдө эки түрдөгү саясатты карашыбыз керек:

  • Колдонуучунун аккаунтунун саясаты
  • Сырсөздүн эскирүү саясаты

Колдонуучунун аккаунтунун саясаты

Иш жүзүндө колдонуучунун аккаунтун аныктоочу негизги компоненттер:

  • Колдонуучунун каттоо эсебинин аты - колдонуучу LOGIN, аты жана фамилиялары эмес.
  • Колдонуучунун идентификатору - UID.
  • Ал таандык болгон негизги топ - GID.
  • Купуя сөз - купуя сөз.
  • Кирүү уруксаты - кирүү уруксаттары.

Колдонуучунун каттоо эсебин түзүүдө эске алынуучу негизги факторлор:

  • Колдонуучунун файл тутумуна жана ресурстарына жетүү мүмкүнчүлүгүнүн узактыгы.
  • Коопсуздук максатында колдонуучу паролду алмаштыра турган убакыттын көлөмү - мезгил-мезгили менен.
  • Кирүү -login- активдүү бойдон кала турган убакыт.

Мындан тышкары, колдонуучуну дайындаганда анын UID y купуя сөз, биз муну эсибизден чыгарбашыбыз керек:

  • Бүтүн маани UID ал уникалдуу жана терс эмес болушу керек.
  • El купуя сөз ал жетиштүү узундугу жана татаалдыгы болушу керек, ошондуктан аны чечмелөө кыйынга турат.

Сырсөздүн эскирүү саясаты

Linux тутумунда купуя сөз Колдонуучунун демейки бүтүү убактысы дайындалган эмес. Эгерде биз паролду эскиртүү саясатын колдонсок, демейки жүрүм-турумду өзгөртө алабыз жана колдонуучуларды түзүүдө аныкталган саясат эске алынат.

Иш жүзүндө паролдун жашын белгилөөдө эки факторду эске алуу керек:

  • Коопсуздук.
  • Колдонуучунун ыңгайлуулугу.

Сырсөздүн иштөө мөөнөтү канчалык кыска болсо, ошончолук коопсуз болот. Башка колдонуучуларга жайылып кетүү коркунучу азыраак.

Сырсөздүн эскирүү саясатын түзүү үчүн, буйрукту колдонсок болот чейдж:

[root @ linuxbox ~] # чагым
Колдонуу режими: chage [options] КОЛДОНУУЧУНУН ЖОЛДОРУ: -d, - LAST_DAY акыркы пароль өзгөргөн күндү LAST_DAY -E, - мөөнөтү бүткөн CAD_DATE аяктоо күнүн CAD_DATE -h кылып коет, --help бул жардам билдирүүсүн көрсөтөт жана аяктайт -I, - жигерсиз АКТИВДҮҮЛҮГҮ жарактуу күндөн тартып АКТИВДҮҮ ​​эмес күндөн кийин эсептик жазууну өчүрөт, - тизме эсеп жашы жөнүндө маалыматты көрсөтөт, --mindays MINDAYS сырсөздү MIN_DAYS -M кылып өзгөрткөнгө чейинки минималдуу күндөрдү белгилейт, - maxxdays MAX_DAYS сырсөздү MAX_DAYS -R, --rootro CHROOT_DIR каталогду chroot -W кылып өзгөртүүгө чейин максималдуу күндөрдүн санын белгилейт, WARNING_DAYS жарактуулук мөөнөтү аяктаган күндөрдү DAYS_NOTICE деп белгилейт

Мурунку макалада биз бир нече колдонуучуларды мисал катары жаратканбыз. Колдонуучунун аккаунтунун курактык баалуулуктарын билгибиз келсе LOGIN галадриэль:

[root @ linuxbox ~] # chage - list galadriel
Акыркы паролду өзгөртүү: 21-жылдын 2017-апрели Сырсөздүн мөөнөтү бүтөт: эч качан Жигерсиз сырсөз: эч качан Каттоо эсеби бүтпөйт: эч качан Сыр сөздү алмаштырган күндөрдүн минималдуу саны: 0 Сырсөздү алмаштырган күндөрдүн эң көп саны: 99999 Сырсөздүн мөөнөтү бүткөнгө чейинки эскертүүлөрдүн саны: 7

Бул "Колдонуучулар жана топтор" графикалык административдик программасын колдонуп, колдонуучунун каттоо эсебин түзгөндө, тутумдун демейки мааниси болгон:

 

Сырсөздүн эскиришин өзгөртүү үчүн, файлды түзөтүү сунушталат /etc/login.defs y бизге керек баалуулуктардын минималдуу көлөмүн өзгөртүү. Ал файлда биз төмөнкү баалуулуктарды гана өзгөртөбүз:

# Сырсөздүн эскирүүсүн көзөмөлдөө каражаттары: # # PASS_MAX_DAYS Сырсөз колдонулган эң көп күндүн саны. # PASS_MIN_DAYS Сырсөздү өзгөртүүгө уруксат берилген күндөрдүн минималдуу саны. # PASS_MIN_LEN Сырсөздүн минималдуу алгылыктуу узундугу. # PASS_WARN_AGE Сырсөз бүткөнгө чейин берилген эскертүүлөрдүн саны. # PASS_MAX_DAYS 99999 #! 273 жылдан ашуун! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

биздин критерийлерге жана муктаждыктарга ылайык тандап алган баалуулуктар үчүн:

PASS_MAX_DAYS 42 # 42 тынымсыз күндөрдү колдонсоңуз болот купуя сөз
PASS_MIN_DAYS 0 # сырсөзүн каалаган убакта өзгөртө аласыз PASS_MIN_LEN 8 # сырсөздүн минималдуу узундугу PASS_WARN_AGE 7 # Тутум эскерткен күндөрдүн саны # сырсөздүн мөөнөтү бүтө электе # алмаштырыңыз.

Файлдын калган бөлүгүн мурунку бойдон калтырабыз жана эмне кылып жаткандыгыбызды билгенге чейин башка параметрлерди өзгөртпөөнү сунуштайбыз.

Жаңы колдонуучуларды түзүүдө жаңы баалуулуктар эске алынат. Эгер биз буга чейин түзүлгөн колдонуучунун паролун өзгөртө турган болсок, анда минималдуу сырсөздүн узундугунун мааниси сакталат. Эгерде биз буйрукту колдонсок passwd графикалык утилиттин ордуна жана пароль «болот» деп жазабызlegolas17«, Тутум« Колдонуучулар жана топтор »графикалык куралы сыяктуу арызданат жана ал«Кандайдыр бир жол менен пароль колдонуучунун атын окуйт»Бирок, акыры, мен алсыз паролду кабыл алам.

[root @ linuxbox ~] # passwd legolas
Legolas колдонуучусунун сыр сөзүн өзгөртүү. Жаңы Сыр сөз: дарбазачы               # 7 белгиден аз
Туура эмес сыр сөз: Сырсөз 8 символдон аз Жаңы сыр сөздү кайра териңиз: legolas17
Сырсөздөр дал келген жок.               # Логикалык туурабы?
Болумушту Сырсөз: legolas17
Туура эмес пароль: кандайдыр бир жол менен пароль колдонуучунун атын окуйт Жаңы сыр сөздү кайра териңиз: legolas17
passwd: бардык аутентификация белгилери ийгиликтүү жаңыртылды.

Камтыган сыр сөздү жарыялоонун "алсыздыгына" кабылабыз LOGIN колдонуучу. Бул сунушталбаган практика. Туура жол:

[root @ linuxbox ~] # passwd legolas
Legolas колдонуучусунун сыр сөзүн өзгөртүү. Жаңы Сыр сөз: AltosMontes01
Жаңы сыр сөздү кайра териңиз: AltosMontes01
passwd: бардык аутентификация белгилери ийгиликтүү жаңыртылды.

Жарактуу мөөнөтүн өзгөртүү үчүн купуя сөз de галадриэль, биз chage командасын колдонобуз жана анын маанисин гана өзгөртүүбүз керек PASS_MAX_DAYS 99999 ден 42 ге чейин:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Акыркы паролду өзгөртүү: 21-жылдын 2017-апрели, Сырсөздүн мөөнөтү бүтөт: 02-жылдын 2017-июну Жигерсиз пароль: эч качан Аккаунттун мөөнөтү бүтпөйт: эч качан Сырсөздү алмаштырган күндөрдүн минималдуу саны: 0 Сырсөздү алмаштырган күндөрдүн эң көп саны: 42
Сыр сөздүн мөөнөтү аяктаганга чейинки эскертүүлөрдүн саны: 7

Жана ушул сыяктуу эле, колдонуучулардын буга чейин түзүлгөн сырсөздөрүн жана алардын жарактуу мөөнөтүн "Users and group" графикалык куралын колдонуп, же скриптти колдонуп өзгөртө алабыз - кол шрифти айрым интерактивдүү эмес жумуштарды автоматташтырган.

  • Ушундай жол менен, эгерде биз системанын жергиликтүү колдонуучуларын коопсуздукка байланыштуу кеңири жайылган тажрыйбада сунушталбаган жол менен түзсөк, анда PAMга негизделген кызматтарды колдонууну улантуудан мурун, бул жүрүм-турумду өзгөртө алабыз..

Эгерде биз колдонуучуну түзсөк андуин менен LOGIN «андуин»Жана пароль«ElPassword»Төмөнкү натыйжага ээ болобуз:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Колдонуучунун anduin паролун өзгөртүү. Жаңы Сыр сөз: ElPassword
Туура эмес пароль: Сыр сөздүк сөздүктү текшерүүдөн өтпөйт - Бул сөздүктөгү сөзгө негизделген. Жаңы сыр сөздү кайра териңиз: ElPassword
passwd - Бардык аутентификация белгилери ийгиликтүү жаңыртылды.

Башка сөз менен айтканда, система сырсөздүн алсыз жактарын көрсөтүү үчүн жетиштүү деңгээлде креативдүү.

[root @ linuxbox ~] # passwd anduin
Колдонуучунун anduin паролун өзгөртүү. Жаңы Сыр сөз: AltosMontes02
Жаңы сыр сөздү кайра териңиз: AltosMontes02
passwd - Бардык аутентификация белгилери ийгиликтүү жаңыртылды.

Саясаттын кыскача баяндамасы

  • Сырсөздүн татаалдыгы саясаты, ошондой эле эң аз 5 белгиден турган узундук, CentOS'то демейки шартта иштетилгени айдан ачык. Debianда, татаалдыгын текшерүү кадимки колдонуучулар буйрукту чакырып, паролун өзгөртүүгө аракет кылганда иштейт passwd. Колдонуучу үчүн тамыр, демейки чектөөлөр жок.
  • Файлда жарыялай турган ар кандай варианттарды билүү маанилүү /etc/login.defs буйрукту колдонуп man login.defs.
  • Ошондой эле, файлдардын мазмунун текшериңиз / etc / default / useradd, ошондой эле Debianда /etc/adduser.conf.

Тутум колдонуучулары жана топтору

Операциялык тутумду орнотуу процессинде колдонуучулардын жана топтордун бүтүндөй сериясы түзүлөт, алар бир адабият Стандарттык Колдонуучулар деп аталса, экинчиси Системанын Колдонуучулары деп аталат. Биз аларды Системанын Колдонуучулары жана Топтору деп атоону туура көрдүк.

Эреже боюнча, тутум колдонуучулары а UID <1000 жана сиздин каттоо эсептериңизди иштетүү тутумунун ар кандай тиркемелери колдонот. Мисалы, колдонуучунун эсеби «кальмар»Squid программасы тарабынан колдонулат, ал эми« lp »аккаунту тексттик же тексттик редакторлордон басып чыгаруу процессинде колдонулат.

Эгер биз ошол колдонуучуларды жана топторду тизмектегибиз келсе, анда төмөнкү буйруктарды колдонуп жасай алабыз:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # cat / etc / group

Системанын колдонуучуларын жана топторун өзгөртүү таптакыр сунушталбайт. 😉

Маанилүүлүгүнө байланыштуу, биз кайталайбыз CentOS, FreeBSD, жана башка операциялык тутумдар, -system- тобу түзүлгөн дөңгөлөк катары кирүүгө уруксат берүү тамыр ошол топко кирген тутум колдонуучуларына гана. Оку /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlжана /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian топту камтыбайт дөңгөлөк.

Колдонуучунун жана топтун эсептерин башкаруу

Колдонуучунун жана топтун эсептерин башкарууну үйрөнүүнүн мыкты жолу:

  • Жогоруда келтирилген буйруктарды колдонууну, виртуалдык машинада жана чейин графикалык куралдарды колдонууга.
  • Окуу куралдарынан консультация алуу же адам баракчалары Интернеттен башка маалыматтарды издегенге чейин ар бир буйруктун.

Практика - чындыктын эң мыкты критерийи.

на

Азырынча, жергиликтүү колдонуучуларды жана топторду башкарууга арналган бир эле макала жетишсиз. Ар бир Администратордун алган билим деңгээли ушул жана башка ушул сыяктуу темаларды үйрөнүүгө жана тереңдетүүгө болгон кызыгуудан көз каранды болот. Бул макалалардын катарында иштеп чыккан бардык аспектилерибиз менен бирдей SME Networks. Ушул сыяктуу эле, сиз да ушул версияны pdf-де көрө аласыз бул жерде

Кийинки жеткирүү

Жергиликтүү колдонуучуларга каршы аутентификация менен кызматтарды ишке ашырууну улантабыз. Андан соң программанын негизинде ыкчам кабарлашуу кызматын орнотобуз Просодия.

Жакында көрүшкөнчө!


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

4 комментарий, өзүңүздүкүн калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   HO2GI ал мындай деди:

    Салам, сонун макала, мен сизден суранам, мен кайда иштейм, принтерлер көп бөлүшөт, көйгөй чөйчөктөрдө, кээде илинип калат жана мен басып чыгара албайм, анткени мен аларды кайра баштоого уруксат бере алам (анткени биз көпчүлүк учурда иштеп жатабыз Сырсөздүн тамырын бербестен, белгилүү бир колдонуучу аны өчүрүп-күйгүзүшү үчүн, аны өзгөртүү жолу таптым.
    Буга чейин чоң рахмат.

    1.    Federico ал мындай деди:

      Салам HO2GI!. Мисалы, колдонуучу дейли леголалар албетте, буйрукту колдонуп, ага CUPS кызматын гана өчүрүп-күйгүзүүгө уруксат бергиңиз келет Sudo, орнотулган болушу керек:
      [root @ linuxbox ~] # visudo

      Cmnd псевдоними

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups кайра башталат

      Колдонуучунун артыкчылык өзгөчөлүгү

      root ALL = (ALL: ALL) ALL
      legolas ALL = RESTARTCUPS

      Файлга киргизилген өзгөртүүлөрдү сактаңыз жемпир. Колдонуучу катары кирүү леголалар:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid reload
      [sudo] legolas үчүн сыр сөз:
      Кечиресиз, колдонуучунун леголаларына '/etc/init.d/postfix reload' linuxbox.fromlinux.fan сайтында root катары аткарууга тыюу салынат.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups кайра башталат
      [sudo] legolas үчүн сыр сөз:
      [ok] Жалпы Unix Басып чыгаруу тутумун өчүрүп-күйгүзүү: cupsd.

      Эгер CentOS тутуму башкача болсо, мени кечирип коюңуз, анткени мен Debian Wheezy программасында жасаган иш-аракетимди жетекчиликке алдым. ;-). Азыр мен турган жерде менин колумда бир дагы CentOS жок.

      Башка жагынан алганда, эгер сиз башка Тутум Колдонуучуларын толук CUPS Администратору катары кошууну кааласаңыз - алар аны туура эмес конфигурациялашса болот - сиз аларды топтун мүчөсү кыласыз lpadmin, сиз CUPS орнотуп жатканда түзүлөт.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI ал мындай деди:

        Миң Фикого чоң рахмат, мен аны азыр байкап көрөм.

  2.   Federico ал мындай деди:

    HO2GI, CentOS / Red -Бул мындай болмок:

    [root @ linuxbox ~] # visudo

    кызмат

    Cmnd_Alias ​​RESTARTCUPS = / usr / bin / systemctl кайра башталуучу чөйчөктөр, / usr / bin / systemctl статус кубоктору

    Тамырга каалаган буйруктарды каалаган жерде иштетүүгө уруксат бериңиз

    root ALL = (ALL) ALL
    legolas ALL = RARTARTCUPS

    Өзгөрүүлөрдү сактоо

    [root @ linuxbox ~] # чыгуу

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    legolas @ linuxbox паролу:

    [legolas @ linuxbox ~] $ sudo systemctl кайра башталгычтар

    Жергиликтүү тутумдан кадимкидей лекция алганыңызга ишенебиз
    Администратор. Адатта, ушул үч нерсеге байланыштуу:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] legolas үчүн сыр сөз:
    [legolas @ linuxbox ~] $ sudo systemctl статус чыны
    ● cups.service - CUPS Басып чыгаруу кызматы
    Жүктөлгөн: жүктөлгөн (/usr/lib/systemd/system/cups.service; иштетилген; сатуучунун алдын-ала орнотулган: иштетилген)
    Активдүү: жигердүү (иштеп жатат) 2017-04-25 22:23:10 EDT; 6s мурун
    Негизги PID: 1594 (cupsd)
    CGroup: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [legolas @ linuxbox ~] $ sudo systemctl squid.service өчүрүп күйгүзүңүз
    Кечиресиз, колдонуучунун леголаларына '/ bin / systemctl өчүрүп squid.service'ти линуксбоксунда root катары жүргүзүүгө тыюу салынат.
    [legolas @ linuxbox ~] $ чыгуу