Vietinis vartotojų ir grupių valdymas - MVĮ tinklai

Bendras serijos indeksas: Kompiuteriniai tinklai MVĮ: įvadas

Sveiki draugai ir draugai!

Šis straipsnis yra tęsinys Kalmarai + PAM autentifikavimas „CentOS 7“ - SMB tinkluose.

UNIX / Linux operacinės sistemos siūlo TIKRĄ kelių vartotojų aplinką, kurioje daugelis vartotojų vienu metu gali dirbti toje pačioje sistemoje ir dalytis ištekliais, tokiais kaip procesoriai, standieji diskai, atmintis, tinklo sąsajos, į sistemą įdėti įrenginiai ir pan.

Dėl šios priežasties sistemos administratoriai yra įpareigoti nuolat valdyti sistemos vartotojus ir grupes bei suformuluoti ir įgyvendinti gerą administravimo strategiją.

Toliau labai glaustai pamatysime bendruosius šios svarbios veiklos aspektus „Linux Systems Administration“.

Kartais geriau pasiūlyti „Utility“, o tada „Need“.

Tai tipiškas tos tvarkos pavyzdys. Pirmiausia parodome kaip įdiegti interneto tarpinio serverio paslaugą su „Squid“ ir vietiniais vartotojais. Dabar turime savęs paklausti:

• ¿kaip aš galiu įdiegti tinklo paslaugas UNIX / Linux LAN iš vietinių vartotojų ir priimtinas saugumas?.

Nesvarbu, kad, be to, „Windows“ klientai yra prijungti prie šio tinklo. Svarbu tik tai, kokių paslaugų reikia MVĮ tinklui ir koks yra paprasčiausias ir pigiausias būdas jas įgyvendinti.

• ¿Galbūt tapatybės nustatymo mechanizmas gimstant ARPANET, Internetas ir kiti tinklai Wmeknė ARea NEtwork o Lakių spalva ARea NEtwork inicialai buvo paremti LDAP, Katalogų tarnyba, arba „Microsoft LSASS“, arba "Active Directory"arba Kerberos?, tik paminėsiu keletą.

Geras klausimas, į kurį kiekvienas turėtų ieškoti savo atsakymų. Kviečiu ieškoti termino «autentifikavimas»Vikipedijoje anglų kalba, kuri yra visiškai išsami ir nuosekliausia kalbant apie originalų turinį - anglų kalba.

Pagal Istoriją jau grubiai, pirmasis buvo Autentifikavimas y Leidimas vietinis, po NNV Tinklo informacinė sistema sukūrė „Sun Microsystem“ ir taip pat žinomas kaip Geltonieji puslapiai o yp, ir tada LDAP Lengvas katalogų prieigos protokolas.

O kaip apie "Priimtinas saugumas»Ateina todėl, kad daug kartų nerimaujame dėl savo vietinio tinklo saugumo, o mes prieiname prie„ Facebook “,„ Gmail “,„ Yahoo “ir kt., Norėdami paminėti tik keletą, ir juose pateikiame savo privatumą. Pažvelkite į daugybę straipsnių ir dokumentinių filmų, susijusių su Jokio privatumo internete jie egzistuoja

Pastaba apie „CentOS“ ir „Debian“

„CentOS“ / „Red Hat“ ir „Debian“ turi savo filosofiją, kaip įgyvendinti saugumą, kuris iš esmės nesiskiria. Tačiau mes patvirtiname, kad abu yra labai stabilūs, saugūs ir patikimi. Pavyzdžiui, „CentOS“ kontekste SELinux yra įjungtas pagal numatytuosius nustatymus. Debian sistemoje turime įdiegti paketą selinux-pagrindai, o tai rodo, kad mes taip pat galime naudoti SELinux.

„CentOS“ FreeBSD, ir kitose operacinėse sistemose, sukuriama -sistemos grupė ratas leisti prieigą kaip šaknis tik sistemos vartotojams, priklausantiems tai grupei. Perskaityk /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlIr /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. „Debian“ nėra grupės ratas.

Pagrindiniai failai ir komandos

įrašų

Pagrindiniai failai, susiję su vietinių vartotojų valdymu „Linux“ operacinėje sistemoje, yra šie:

„CentOS“ ir „Debian“

• / etc / passwd: vartotojo abonemento informacija.
• / etc / shadow- Vartotojo abonemento saugos informacija.
• / etc / group: grupės sąskaitos informacija.
• / etc / gshadow- Grupių sąskaitų saugos informacija.
• / etc / default / useradd: numatytosios paskyros kūrimo vertės.
• / etc / skel /: katalogas, kuriame yra numatytieji failai, kurie bus įtraukti į naujojo vartotojo HOME katalogą.
• /etc/login.defs- Slaptažodžio saugumo konfigūracijos rinkinys.

debian

• /etc/adduser.conf: numatytosios paskyros kūrimo vertės.

„CentOS“ ir „Debian“ komandos

[root @ linuxbox ~] # chpasswd -h # Atnaujinkite slaptažodžius paketiniu režimu
Naudojimo režimas: chpasswd [parinktys] Parinktys: -c, --crypt-method METODAS crypt method (vienas iš NONE DES MD5 SHA256 SHA512) -e, --šifruoti pateikti slaptažodžiai yra užšifruoti -h, --help rodo šią pagalbą eilutė ir pabaiga -m, --md5 užšifruoja slaptažodį aiškiai naudodamas MD5 algoritmą -R, --root CHROOT_DIR katalogą, norėdamas suskirstyti į -s, - SHA-apvalina SHA šifravimo algoritmų skaičių SHA * # partija- Vykdykite komandas, kai leidžia sistemos apkrova. Kitaip tariant, # kai vidutinė apkrova nukrenta žemiau 0.8 arba reikšmė nurodyta nurodant komandą # atd. Daugiau informacijos vyro partija.

[root @ linuxbox ~] # gpasswd -h # Paskelbkite administratorius aplankuose / etc / group ir / etc / gshadow
Kaip naudoti: gpasswd [parinktys] GRUPĖS parinktys: -a, --add VARTOTOJAS prideda VARTOTOJĄ prie GROUP -d, --delete USER pašalina USER iš grupės -h, --help rodo šį pagalbos pranešimą ir baigiasi -Q, - - šakninis CHROOT_DIR katalogas į chronometrą į -r, --delete-password pašalina GROUP slaptažodį -R, --restrict apriboja prieigą prie GROUP prie jos narių -M, --members USER, ... nustato GROUP narių sąrašą - A, --administrators ADMIN, ... nustato GROUP administratorių sąrašą. Išskyrus parinktis -A ir -M, parinkčių negalima derinti.

[root @ linuxbox ~] # grup -h    # Sukurkite naują grupę
Kaip naudoti: groupadd [parinktys] GROUP parinktys: -f, - Force nutraukti, jei grupė jau yra, ir atšaukti -g, jei GID jau naudojamas -g, --gid GID naudoti GID naujai grupei - h, - Pagalba rodo šį pagalbos pranešimą ir baigiasi -K, --key KEY = VALUE perrašo numatytąsias reikšmes "/etc/login.defs" -o, --non-unikali leidžia kurti grupes su GID (ne unikalus) dublikatai -p, --password PASSWORD naudokite šį šifruotą slaptažodį naujai grupei -r, --sistema sukuria sistemos abonementą -R, --root CHROOT_DIR katalogą, į kurį norite patekti

[root @ linuxbox ~] # grupė del -h # Ištrinti esamą grupę
Kaip naudoti: groupdel [parinktys] GROUP parinktys: -h, --help parodyti šį pagalbos pranešimą ir nutraukti katalogą -R, --root CHROOT_DIR, kad patektumėte į

[root @ linuxbox ~] # grupės nariai -h # Paskelbti administratorius pirminėje vartotojo grupėje
Kaip naudoti: groupmems [parinktys] [veiksmas] Parinktys: -g, --group GROUP pakeičia grupės pavadinimą vietoj vartotojo grupės (tai gali padaryti tik administratorius) -R, --root CHROOT_DIR katalogas, į kurį norite patekti Veiksmai: -a, --add USER prideda USER prie grupės narių -d, --delete USER pašalina USER iš grupės narių sąrašo -h, --help rodo šį pagalbos pranešimą ir nutraukia -p, - valymas išvalo visus grupės narius -l , - sąrašas nurodo grupės narius

[root @ linuxbox ~] # grupės mod -h # Pakeiskite grupės apibrėžimą
Kaip naudoti: groupmod [parinktys] GROUP parinktys: -g, --gid GID pakeičia grupės identifikatorių į GID -h, --help rodo šį pagalbos pranešimą ir baigiasi -n, --new-name NEW_Group keičia pavadinimą NEW_GROUP -o, --non unikalus leidžia naudoti pasikartojantį GID (ne unikalų) -p, - slaptažodis PASSWORD pakeičia slaptažodį į PASSWORD (užšifruotą) -R, --root CHROOT_DIR katalogą, kad būtų galima chrootuoti į

[root @ linuxbox ~] # grpck -h # Patikrinkite grupės failo vientisumą
Kaip naudoti: grpck [parinktys] [grupė [gshadow]] Parinktys: -h, --help parodyti šį pagalbos pranešimą ir išeiti iš -r, - Tik skaityti rodomos klaidos ir įspėjimai, bet failai nekeičiami -R, - - šakninis CHROOT_DIR katalogas, norėdamas patekti į -s, - rūšiuokite įrašus pagal UID

[root @ linuxbox ~] # grpconv
# Susietos komandos: pwconv, pwunconv, grpconv, grpunconv
# Naudojamas konvertuoti į šešėlinius slaptažodžius ir grupes
# Keturios komandos veikia failuose / etc / passwd, / etc / group, / etc / shadow, 
# ir / etc / gshadow. Daugiau informacijos vyras grpconv.

[root @ linuxbox ~] # sg -h # Vykdykite komandą naudodami kitą grupės ID arba GID
Kaip naudotis: sg group [[-c] order]

[root @ linuxbox ~] # newgrp -h # Prisijungimo metu pakeiskite dabartinį GID
Kaip naudoti: newgrp [-] [grupė]

[root @ linuxbox ~] # naujokų -h # Atnaujinkite ir sukurkite naujus vartotojus paketiniu režimu
Naudojimo režimas: nauji vartotojai [parinktys] Parinktys: -c, --crypt-method METODAS kriptos metodas (vienas iš NONE DES MD5 SHA256 SHA512) -h, --help parodyti šį pagalbos pranešimą ir išeiti iš -r, --system sukurti sistemą sąskaitos -R, --root CHROOT_DIR katalogas, kad būtų galima perkelti į -s, --sha-SHA šifravimo algoritmų SHA turų skaičius *

[root @ linuxbox ~] # pwck -h # Patikrinkite slaptažodžių failų vientisumą
Kaip naudoti: pwck [parinktys] [passwd [šešėlis]] Parinktys: -h, --help rodyti šį pagalbos pranešimą ir išeiti iš -q, - tik tylios pranešimo klaidos -r, - tik skaityti rodomos klaidos ir įspėjimai, bet nekeisti failų -R, --root CHROOT_DIR į chroot į -s, - rūšiuoti įrašus pagal UID

[root @ linuxbox ~] # vartotojo adresas -h # Sukurkite naują vartotoją arba atnaujinkite numatytąją # naujo vartotojo informaciją
Kaip naudoti: useradd [parinktys] USER useradd -D useradd -D [options] Parinktys: -b, --base-dir BAS_DIR bazinis katalogas naujos paskyros namų katalogui -c, --comment COMMENT GECOS lauke. Nauja paskyra -d, --home-dir naujos paskyros slaptažodį
grupuoti
  -g, --gid Naujosios paskyros pirminės grupės GROUP pavadinimas arba identifikatorius -G, --groups GROUPS naujos paskyros papildomų grupių sąrašas -h, --help rodo šį pagalbos pranešimą ir baigiasi -k, - skel DIR_SKEL naudoja šį pakaitinį katalogą „skeletas“ -K, --key KEY = VALUE perrašo numatytąsias reikšmes „/etc/login.defs“ -l, --nono-log-init neprideda vartotojo prie duomenų bazių iš lastlog ir faillog -m, --create-home sukuria vartotojo -M namų katalogą, --no-create-home nesukuria vartotojo -N namų katalogo, --no-user-group nesukuria grupė tuo pačiu vardu kaip ir vartotojas -o, --non-unikali leidžia kurti vartotojus su pasikartojančiais (ne unikaliais) identifikatoriais (UID) -p, - slaptažodžio PASSWORD šifruotu naujos paskyros slaptažodžiu -r, sistemos -R, --root CHROOT_DIR katalogo abonementas, skirtas patekti į -s, --shell CONSOLE konsolės prieiga prie naujos paskyros -u, --uid UID naujos paskyros vartotojo identifikatorius -U, --user-group sukurtigrupė tuo pačiu pavadinimu kaip vartotojas -Z, --selinux-user USER_SE naudoja nurodytą vartotoją SELinux vartotojui

[root @ linuxbox ~] # userdel -h # Ištrinti vartotojo abonementą ir susijusius failus
Naudojimo režimas: userdel [parinktys] VARTOTOJO parinktys: -f, - force priverčia atlikti kai kuriuos veiksmus, kurių nepavyktų pasiekti, kitaip, pvz., Vis dar prisijungusio vartotojo ar failų pašalinimas, net jei jis nepriklauso vartotojui -h, --help rodo šį pranešimą ir baigti -r, --remove pašalinti namų katalogą ir pašto dėžutę -R, --root CHROOT_DIR katalogą, kad patektumėte į -Z, --selinux-user pašalintų bet kurį vartotojo SELinux vartotojo susiejimą

[root @ linuxbox ~] # vartotojo mod -h # Keisti vartotojo abonementą
Kaip naudoti: usermod [parinktys] VARTOTOJO parinktys: -c, --komentuoti COMMENT naują GECOS lauko reikšmę -d, --home PERSONAL_DIR naujas asmeninis naujo vartotojo katalogas -e, --expiredate EXPIR_DATE nustato galiojimo pabaigos datą iki EXPIRED_DATE -f, --ineaktyvus Neaktyvus nustato prastovos laiką pasibaigus sąskaitos galiojimo laikui INACTIVE -g, --gid GROUP priverčia GROUP naudoti naują vartotojo abonementą -G, --groups GROUPS papildomų grupių sąrašas -a, --append append vartotojas į papildomas GRUPES, kurias paminėjo parinktis -G, neištrindamas jo iš kitų grupių -h, - padėkite parodyti šį pagalbos pranešimą ir nutraukti -l, --login NAME vėl įveskite vartotojo vardą -L, --lock lockks vartotojo paskyra -m, --move-home namų katalogo turinį perkelkite į naują katalogą (naudokite tik kartu su -d) -o, --non-unikali leidžia naudoti pasikartojančius (ne unikalius) UIDs -p, - slaptažodis Slaptažodis naudokite užšifruotą slaptažodį naujai paskyrai -R, --root CHR OOT_DIR katalogas, norėdamas patekti į -s, --shell CONSOLE nauja prieigos konsolė vartotojo abonementui -u, --uid UID priverčia naudoti UID naujai vartotojo abonementui -U, --unlock atrakina vartotojo abonementą -Z, --selinux-user „SEUSER“ naujas „SELinux“ vartotojo susiejimas su vartotojo paskyra

„Debian“ komandos

Debian išskiria vartotojo adresas y adduser. Rekomenduoja naudoti sistemos administratorius adduser.

root @ sysadmin: / home / xeon # adduser -h # Pridėkite vartotoją prie sistemos
root @ sysadmin: / home / xeon # papildoma grupė -h # Pridėkite grupę prie sistemos
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--grupė GRUPĖ | --gid ID] [--disabled-password] [--disabled-login] VARTOTOJAS Pridėkite įprastą vartotojo adduser --sistema [--home Katalogas] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--grupė | --grupės grupė --gid ID] [--disabled-password] [--disabled-login] VARTOTOJAS Pridėti vartotoją iš sistemos adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP Pridėti vartotojo grupės addgroup --system [--gid ID] GROUP Pridėti grupę iš sistemos vartotojo USER GROUP Pridėti esamą vartotoją prie esamos grupės bendrosios parinktys: --quiet | -q nerodo proceso informacijos standartinėje išvestyje - force-badname leidžia vartotojo vardams, kurie neatitinka konfigūracijos kintamojo NAME_REGEX --pagalba | -h naudojimo pranešimas --versija | -v versijos numeris ir autorių teisės --conf | -c FILE naudokite FILE kaip konfigūracijos failą

root @ sysadmin: / home / xeon # deluser -h # Pašalinkite įprastą vartotoją iš sistemos
root @ sysadmin: / home / xeon # grupuoti -h # Pašalinkite įprastą grupę iš sistemos
deluser USER pašalina įprastą vartotoją iš sistemos pavyzdžio: deluser miguel --remove-home pašalina vartotojo namų katalogą ir pašto eilę. --remove-all-files pašalina visus vartotojui priklausančius failus. - Backup sukuria atsarginę failų kopiją prieš ištrindami. - atsarginė kopija paskirties katalogas atsarginėms kopijoms kurti. Pagal numatytuosius nustatymus naudojamas dabartinis katalogas. --sistema pašalinama tik tuo atveju, jei esate sistemos vartotojas. delgroup GROUP deluser --group GROUP pašalina grupę iš sistemos pavyzdžio: deluser --group students --sistema pašalinama tik tuo atveju, jei tai yra grupė iš sistemos. - tik jei tuščias pašalinkite tik tada, jei jie neturi daugiau narių. deluser USER GROUP pašalina vartotoją iš grupės pavyzdžio: deluser miguel students bendrosios parinktys: --quiet | -q nesuteikite proceso informacijos apie stdout --help | -h naudojimo pranešimas --versija | -v versijos numeris ir autorių teisės --conf | -c FILE naudokite FILE kaip konfigūracijos failą

Politika

Kurdami vartotojo abonementus turime atsižvelgti į dviejų tipų politiką:

• Vartotojo paskyros politika
• Slaptažodžių senėjimo politika

Vartotojo paskyros politika

Praktiškai pagrindiniai komponentai, identifikuojantys vartotojo paskyrą, yra šie:

• Vartotojo abonemento vardas - vartotojas PRISIJUNGTI, o ne vardas ir pavardės.
• Vartotojo ID - UID.
• Pagrindinė grupė, kuriai ji priklauso - GID.
• Slaptažodis - slaptažodis.
• Prieigos leidimai - prieigos leidimus.

Pagrindiniai veiksniai, į kuriuos reikia atsižvelgti kuriant vartotojo abonementą, yra šie:

• Kiek laiko vartotojas turės prieigą prie failų sistemos ir išteklių.
• Kiek laiko vartotojas saugumo sumetimais turi periodiškai pakeisti savo slaptažodį.
• Kiek laiko prisijungimas išliks aktyvus.

Be to, priskiriant vartotoją jo UID y slaptažodis, turime atsižvelgti į tai, kad:

• Sveiko skaičiaus reikšmė UID jis turi būti unikalus, o ne neigiamas.
• El slaptažodis jis turi būti pakankamo ilgio ir sudėtingumo, kad jį būtų sunku iššifruoti.

Slaptažodžių senėjimo politika

Linux sistemoje slaptažodis vartotojo nenurodytas numatytasis galiojimo laikas. Jei naudosime slaptažodžio senėjimo politiką, galime pakeisti numatytąją elgseną ir kurdami vartotojus bus atsižvelgiama į apibrėžtą politiką.

Praktiškai nustatant slaptažodžio amžių reikia atsižvelgti į du veiksnius:

• Saugumas.
• Vartotojo patogumas.

Slaptažodis yra saugesnis, tuo trumpesnis jo galiojimo laikas. Yra mažesnė rizika, kad ji nutekės kitiems vartotojams.

Norėdami nustatyti slaptažodžio senėjimo politiką, galime naudoti komandą skandalas:

[root @ linuxbox ~] # chage
Naudojimo režimas: chage [parinktys] VARTOTOJO parinktys: -d, --lastday LAST_DAY nustato paskutinio slaptažodžio keitimo dieną į LAST_DAY -E, --expiredate CAD_DATE nustato galiojimo datą į CAD_DATE -h, --help rodo šį pagalbos pranešimą ir baigiasi -I, - neaktyvus Neaktyvus išjungia paskyrą po NEVEIKLŲ dienų nuo galiojimo pabaigos datos -l, --list rodo paskyros amžiaus informaciją -m, --pirmadieniai MINDAYS nustato minimalų dienų skaičių prieš pakeisdami slaptažodį į MIN_DAYS -M, --maxdays MAX_DAYS nustato maksimalų dienų skaičių iki slaptažodžio pakeitimo į MAX_DAYS -R, --root CHROOT_DIR katalogą į chrootą į -W, --warndays WARNING_DAYS nustato pranešimo apie galiojimo pabaigą dienas į DAYS_NOTICE

Ankstesniame straipsnyje mes sukūrėme kelis vartotojus kaip pavyzdį. Jei norime sužinoti vartotojo paskyros amžiaus vertes PRISIJUNGTI galadrielis:

[root @ linuxbox ~] # chage --list galadriel
Paskutinis slaptažodžio keitimas: 21 m. Balandžio 2017 d. Slaptažodis nebegalioja: niekada Neaktyvus slaptažodis: niekada Paskyros galiojimo laikas nepasibaigęs: niekada Mažiausias dienų skaičius tarp slaptažodžio keitimo: 0 Maksimalus dienų skaičius nuo slaptažodžio keitimo: 99999 Pranešimų dienų skaičius iki slaptažodžio galiojimo pabaigos: 7

Tai buvo numatytosios reikšmės, kurias sistema turėjo, kai sukūrėme vartotojo abonementą naudodami grafinio administravimo įrankį „Vartotojai ir grupės“:

Norėdami pakeisti numatytąsias senstančio slaptažodžio vertes, rekomenduojama redaguoti failą /etc/login.defs y modifikuoti mažiausią mums reikalingų verčių kiekį. Tame faile pakeisime tik šias reikšmes:

# Slaptažodžio senėjimo valdikliai: # # PASS_MAX_DAYS Maksimalus dienų, kada gali būti naudojamas slaptažodis, skaičius. # PASS_MIN_DAYS Mažiausias leidžiamas dienų skaičius tarp slaptažodžio keitimo. # PASS_MIN_LEN Mažiausias priimtinas slaptažodžio ilgis. # PASS_WARN_AGE dienų, kai įspėjimas pateiktas iki slaptažodžio galiojimo pabaigos, skaičius. # PASS_MAX_DAYS 99999 #! Daugiau nei 273 metai! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

vertėms, kurias pasirinkome pagal savo kriterijus ir poreikius:

PASS_MAX_DAYS 42 # 42 nepertraukiamos dienos, kuriomis galite naudotis slaptažodis
PASS_MIN_DAYS 0 # slaptažodį galima bet kada pakeisti PASS_MIN_LEN 8 # minimalus slaptažodžio ilgis PASS_WARN_AGE 7 # Dienų, kai sistema perspėja jus # pakeisti slaptažodį, kol pasibaigia jo galiojimo laikas.

Likusią failo dalį paliekame tokią, kokia ji buvo, ir rekomenduojame nekeisti kitų parametrų, kol gerai nežinome, ką darome.

Kuriant naujus vartotojus bus atsižvelgta į naujas vertes. Jei pakeisime jau sukurto vartotojo slaptažodį, bus laikomasi minimalaus slaptažodžio ilgio vertės. Jei naudosime komandą passwd vietoj grafinio įrankio ir rašome, kad slaptažodis bus «legolas17«, Sistema skundžiasi kaip grafinis įrankis« Vartotojai ir grupės »ir ji atsako, kad«Kažkaip slaptažodis nuskaito vartotojo vardą»Nors galų gale aš priimu tą silpną slaptažodį.

[root @ linuxbox ~] # passwd legolas
Legolas vartotojo slaptažodžio keitimas. Naujas Slaptažodis: vartininkas               # yra mažiau nei 7 simboliai
NETEISINGAS PARODAS: Slaptažodis yra mažesnis nei 8 simboliai. Pakartokite naują slaptažodį: legolas17
Slaptažodžiai nesutampa.               # Logiška tiesa?
Naujas slaptažodis: legolas17
NETEISINGAS Slaptažodis: kažkaip slaptažodis nuskaito vartotojo vardą. Įveskite naują slaptažodį dar kartą: legolas17
passwd: visi autentifikavimo žetonai buvo sėkmingai atnaujinti.

Mes turime "silpnumą" deklaruodami slaptažodį, kuriame yra PRISIJUNGTI Vartotojas. Tai nerekomenduojama praktika. Teisingas būdas būtų:

[root @ linuxbox ~] # passwd legolas
Legolas vartotojo slaptažodžio keitimas. Naujas Slaptažodis: aukštikalnai01
Dar kartą įveskite naują slaptažodį: aukštikalnai01
passwd: visi autentifikavimo žetonai buvo sėkmingai atnaujinti.

Norėdami pakeisti slaptažodis de galadrielis, mes naudojame chage komandą ir turime pakeisti tik PASS_MAX_DAYS nuo 99999 iki 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Paskutinis slaptažodžio keitimas: 21 m. Balandžio 2017 d. Slaptažodis baigia galioti: 02 m. Birželio 2017 d. Neaktyvus slaptažodis: niekada Paskyros galiojimo laikas nepasibaigęs: niekada Mažiausias dienų skaičius tarp slaptažodžio keitimo: 0 Maksimalus dienų skaičius tarp slaptažodžio keitimo: 42
Pranešimų dienų skaičius iki slaptažodžio galiojimo pabaigos: 7

Ir taip mes galime pakeisti jau sukurtų vartotojų slaptažodžius ir jų galiojimo laiką rankiniu būdu, naudodami grafinį įrankį «Vartotojai ir grupės» arba naudodami scenarijų - scenarijus kuris automatizuoja neinteraktyvų darbą.

• Tokiu būdu, jei sukursime vietinius sistemos vartotojus tokiu būdu, kurio nerekomenduoja įprasta saugumo praktika, galime tą elgesį pakeisti prieš tęsdami daugiau PAM pagrįstų paslaugų diegimą..

Jei sukursime vartotoją anduinas su PRISIJUNGTI «anduinas»Ir slaptažodis«„ElPassword“»Mes gausime tokį rezultatą:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Vartotojo anduin slaptažodžio keitimas. Naujas Slaptažodis: „ElPassword“
NETEISINGAS Slaptažodis: slaptažodis nepatvirtina žodyno patvirtinimo - jis pagrįstas žodyne esančiu žodžiu. Dar kartą įveskite naują slaptažodį: „ElPassword“
passwd - visi autentifikavimo žetonai buvo sėkmingai atnaujinti.

Kitaip tariant, sistema yra pakankamai kūrybinga, kad nurodytų slaptažodžio silpnybes.

[root @ linuxbox ~] # passwd anduin
Vartotojo anduin slaptažodžio keitimas. Naujas Slaptažodis: aukštikalnai02
Dar kartą įveskite naują slaptažodį: aukštikalnai02
passwd - visi autentifikavimo žetonai buvo sėkmingai atnaujinti.

Politikos santrauka

• Aišku, kad slaptažodžių sudėtingumo politika, taip pat minimalus 5 simbolių ilgis, pagal numatytuosius nustatymus yra įgalintas „CentOS“. „Debian“ sudėtingumo tikrinimas veikia įprastiems vartotojams, kai jie bando pakeisti savo slaptažodį iškviesdami komandą passwd. Vartotojui šaknis, nėra numatytųjų apribojimų.
• Svarbu žinoti įvairias parinktis, kurias galime deklaruoti byloje /etc/login.defs naudojant komandą vyro prisijungimas.gina.
• Taip pat patikrinkite failų turinį / etc / default / useradd, taip pat „Debian“ /etc/adduser.conf.

Sistemos vartotojai ir grupės

Diegiant operacinę sistemą, sukuriama visa serija vartotojų ir grupių, kurias viena literatūra vadina standartiniais, o kita - sistemos vartotojais. Mes norėtume juos vadinti sistemos vartotojais ir grupėmis.

Paprastai sistemos vartotojai turi UID <1000 ir jūsų sąskaitas naudoja skirtingos operacinės sistemos programos. Pavyzdžiui, vartotojo paskyra «kalmaras»Naudojama„ Squid “programoje, o„ lp “paskyra naudojama spausdinant iš žodžių ar teksto redaktorių.

Jei norime išvardyti tuos vartotojus ir grupes, galime tai padaryti naudodami komandas:

[root @ linuxbox ~] # katė / etc / passwd
[root @ linuxbox ~] # katė / etc / grupė

Visai nerekomenduojama modifikuoti sistemos vartotojų ir vartotojų grupių. 😉

Dėl savo svarbos kartojame, kad „CentOS“ FreeBSD, ir kitose operacinėse sistemose, sukuriama -sistemos grupė ratas leisti prieigą kaip šaknis tik sistemos vartotojams, priklausantiems tai grupei. Perskaityk /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlIr /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. „Debian“ nėra grupės ratas.

Vartotojų ir grupių paskyrų tvarkymas

Geriausias būdas išmokti valdyti vartotojų ir grupių paskyras yra:

• Praktikuokite anksčiau išvardytų komandų naudojimą, pageidautina virtualioje mašinoje ir prieš naudoti grafinius įrankius.
• Peržiūrėkite vadovus arba vyro puslapiai kiekvienos komandos prieš ieškant kitos informacijos internete.

Praktika yra geriausias tiesos kriterijus.

Santrauka

Iki šiol nepakanka vieno straipsnio, skirto vietinių vartotojų ir grupių valdymui. Kiekvieno administratoriaus įgytų žinių laipsnis priklausys nuo asmeninio susidomėjimo mokytis ir gilintis į šią ir kitas susijusias temas. Tai tas pats, kas su visais aspektais, kuriuos išsiaiškinome straipsnių serijoje MVĮ tinklai. Tokiu pačiu būdu galite mėgautis šia versija pdf formatu čia

Kitas pristatymas

Mes ir toliau diegsime autentifikavimo paslaugas vietiniams vartotojams. Tada mes įdiegsime tiesioginių pranešimų paslaugą pagal programą Prozodija.

Greitai pasimatysime!