Vietējo lietotāju un grupu pārvaldība - MVU tīkli

Sērijas vispārējais indekss: Datoru tīkli MVU: Ievads

Sveiki draugi un draugi!

Šis raksts ir turpinājums Kalmārs + PAM autentifikācija CentOS 7 - SMB tīklos.

UNIX / Linux operētājsistēmas piedāvā REAL vairāku lietotāju vidi, kurā daudzi lietotāji vienlaikus var strādāt vienā un tajā pašā sistēmā un koplietot resursus, piemēram, procesorus, cietos diskus, atmiņu, tīkla saskarnes, sistēmā ievietotas ierīces utt.

Šī iemesla dēļ sistēmas administratoriem ir pienākums nepārtraukti pārvaldīt sistēmas lietotājus un grupas, kā arī izstrādāt un ieviest labu administrēšanas stratēģiju.

Tālāk mēs ļoti īsi redzēsim šīs svarīgās darbības vispārīgos aspektus Linux Systems Administration.

Dažreiz labāk ir piedāvāt Utility un pēc tam Need.

Tas ir tipisks šīs kārtības piemērs. Vispirms mēs parādām kā ieviest interneta starpniekserveri ar Squid un vietējiem lietotājiem. Tagad mums jājautā sev:

  • ¿Kā es varu ieviest tīkla pakalpojumus UNIX / Linux LAN no vietējiem lietotājiem un ar pieņemama drošība?.

Nav svarīgi, ka turklāt šim klientam ir pievienoti arī Windows klienti. Svarīga ir tikai vajadzība pēc kādiem pakalpojumiem MVU tīklam un kāds ir vienkāršākais un lētākais veids, kā tos ieviest.

Labs jautājums, uz kuru ikvienam jāmeklē atbildes. Es aicinu jūs meklēt terminu «autentifikācija»Vikipēdijā angļu valodā, kas līdz šim ir vispilnīgākā un sakarīgākā, ciktāl tas attiecas uz oriģinālo saturu - angļu valodā.

Saskaņā ar Vēsturi jau rupji, pirmais bija Autentifikācija y Atļauja vietējais, pēc NIS Tīkla informācijas sistēma ko izstrādājusi Sun Microsystem un kas pazīstama arī kā Yellow Pages o ypun tad LDAP Viegls direktorijas piekļuves protokols.

Par ko "Pieņemama drošība»Nāk klajā, jo daudzas reizes mēs uztraucamies par mūsu vietējā tīkla drošību, kamēr mēs piekļūstam Facebook, Gmail, Yahoo utt., Lai pieminētu tikai dažus, un mēs tajos piedāvājam mūsu konfidencialitāti. Un apskatiet lielo rakstu un dokumentālo filmu skaitu, kas attiecas uz Nav privātuma internetā tie pastāv

Piezīme par CentOS un Debian

CentOS / Red Hat un Debian ir sava filozofija par drošības ieviešanu, kas principā neatšķiras. Tomēr mēs apstiprinām, ka abi ir ļoti stabili, droši un uzticami. Piemēram, CentOS SELinux konteksts ir iespējots pēc noklusējuma. Debian mums ir jāinstalē pakotne selinux-pamati, kas norāda, ka mēs varam izmantot arī SELinux.

CentOS FreeBSDun citām operētājsistēmām tiek izveidota -sistēmas grupa stūre atļaut piekļuvi kā sakne tikai sistēmas lietotājiem, kas pieder šai grupai. Lasīt /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Un /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian neietver grupu stūre.

Galvenie faili un komandas

ieraksti

Galvenie faili, kas saistīti ar vietējo lietotāju pārvaldīšanu Linux operētājsistēmā, ir:

CentOS un Debian

  • / etc / passwd: informācija par lietotāja kontu.
  • / etc / shadow- Informācija par lietotāja konta drošību.
  • / etc / group: grupas konta informācija.
  • / etc / gshadow- Grupu kontu drošības informācija.
  • / etc / default / useradd: noklusējuma vērtības konta izveidei.
  • / etc / skel /: direktorija, kurā ir noklusējuma faili, kas tiks iekļauti jaunā lietotāja HOME direktorijā.
  • /etc/login.defs- Paroles drošības konfigurācijas komplekts.

Debian

  • /etc/adduser.conf: noklusējuma vērtības konta izveidei.

Komandas CentOS un Debian

[root @ linuxbox ~] # chpasswd -h # Atjauniniet paroles pakešrežīmā
Lietošanas režīms: chpasswd [opcijas] Opcijas: -c, --crypt-method METHOD - kriptēšanas metode (viena no NONE DES MD5 SHA256 SHA512) -e, --šifrētās norādītās paroles tiek šifrētas -h, --help to parāda palīdzība ātri izbeigt un pārtraukt -m, --md5 skaidri šifrē paroli, izmantojot MD5 algoritmu -R, --root CHROOT_DIR direktoriju, lai sakrustotu -s, --sha-SHA šifrēšanas algoritmu SHA kārtu skaits * # partijas- Izpildiet komandas, kad sistēmas slodze to atļauj. Citiem vārdiem sakot, # kad vidējā slodze nokrītas zem 0.8 vai vērtība, kas norādīta, izsaucot komandu # atd. Vairāk informācijas cilvēka partija.

[root @ linuxbox ~] # gpasswd -h # Deklarēt administratorus mapēs / etc / group un / etc / gshadow
Kā lietot: gpasswd [options] GROUP Options: -a, --add USER pievieno USER grupai -d, --delete USER noņem lietotāju USER no grupas -h, --help parāda šo palīdzības ziņojumu un beidzas -Q, - -root CHROOT_DIR direktorijā, lai sakrustotos -r, --delete-password noņemtu GROUP paroli -R, --restrict ierobežo piekļuvi grupai GROUP tikai tās biedriem -M, --members USER, ... nosaka grupas locekļu sarakstu GROUP -A, --administrators ADMIN, ... nosaka GROUP administratoru sarakstu. Izņemot opcijas -A un -M, opcijas nevar apvienot.

[root @ linuxbox ~] # pievienojiet grupu -h    # Izveidojiet jaunu grupu
Kā lietot: groupadd [opcijas] GROUP opcijas: -f, - Force pārtraukt, ja grupa jau pastāv, un atcelt -g, ja GID jau tiek izmantots -g, --gid GID izmantot GID jaunai grupai - h, - palīdzība parāda šo palīdzības ziņojumu un beidzas -K, --key KEY = VALUE pārraksta noklusējuma vērtības "/etc/login.defs" -o, --nn-unikāls ļauj izveidot grupas ar GID (nav unikāls) dublikāti -p, - parole PASSWORD izmanto šo šifrēto paroli jaunajai grupai -r, --system izveido sistēmas kontu -R, --root CHROOT_DIR direktoriju, lai sakņotu

[root @ linuxbox ~] # groupdel -h # Dzēst esošu grupu
Kā lietot: groupdel [opcijas] GROUP opcijas: -h, --help parādīt šo palīdzības ziņojumu un izbeigt direktoriju -R, --root CHROOT_DIR, lai iesakņotos

[root @ linuxbox ~] # grupas dalībnieki -h # Deklarēt administratorus lietotāja primārajā grupā
Kā izmantot: groupmems [opcijas] [darbība] Opcijas: -g, --grupa GROUP maina grupas nosaukumu lietotāja grupas vietā (to var izdarīt tikai administrators) -R, --root CHROOT_DIR direktorijs uz chroot uz darbībām: -a, --add USER pievieno lietotāju USER grupas dalībniekiem -d, --delete USER noņem lietotāju USER no grupas dalībnieku saraksta -h, --help parāda šo palīdzības ziņojumu un pārtrauc -p, - purge purge visus grupas dalībniekus - l, --list uzrāda grupas dalībniekus

[root @ linuxbox ~] # grupas mod -h # Mainīt grupas definīciju
Kā lietot: groupmod [options] GROUP Options: -g, --gid GID maina grupas identifikatoru uz GID -h, --help parāda šo palīdzības ziņojumu un beidzas -n, --new-name NEW_Group maina nosaukumu NEW_GROUP -o, --non-unikāls ļauj izmantot GID dublikātu (nav unikāls) -p, - parole PASSWORD maina paroli uz PASSWORD (šifrēts) -R, --root CHROOT_DIR direktoriju, lai sakņotu

[root @ linuxbox ~] # grpck -h # Pārbaudiet grupas faila integritāti
Kā lietot: grpck [opcijas] [grupa [gshadow]] Opcijas: -h, --help parādīt šo palīdzības ziņojumu un iziet -r, - Tikai lasāmās kļūdas un brīdinājumi, bet nemaina failus -R, - - saknes direktoriju CHROOT_DIR, lai sakārtotu -s, - kārtot ierakstus pēc UID

[root @ linuxbox ~] # grpconv
# Saistītās komandas: pwconv, pwunconv, grpconv, grpunconv
# Izmanto, lai konvertētu ēnu paroles un grupas un no tām
# Četras komandas darbojas ar failiem / etc / passwd, / etc / group, / etc / shadow, 
# un / etc / gshadow. Lai iegūtu vairāk informācijas cilvēks grpconv.

[root @ linuxbox ~] # sg -h # Izpildiet komandu ar citu grupas ID vai GID
Kā lietot: sg grupa [[-c] secība]

[root @ linuxbox ~] # jaungrp -h # Mainiet pašreizējo GID pieteikšanās laikā
Kā lietot: newgrp [-] [grupa]

[root @ linuxbox ~] # jaunpienācēji -h # Atjauniniet un izveidojiet jaunus lietotājus pakešrežīmā
Lietošanas režīms: newusers [options] Opcijas: -c, --crypt-method METHOD - kriptēšanas metode (viena no NONE DES MD5 SHA256 SHA512) -h, --help parādīt šo palīdzības ziņojumu un iziet -r, --system izveidojiet sistēmas kontus -R, --root CHROOT_DIR direktoriju, lai sakņotos -s, --sha-SHA šifrēšanas algoritmu SHA kārtu skaits *

[root @ linuxbox ~] # pwck -h # Pārbaudiet paroles failu integritāti
Kā izmantot: pwck [opcijas] [passwd [ēna]] Opcijas: -h, --help parādīt šo palīdzības ziņojumu un iziet -q, --quiet report error only -r, - only read display display kļūdas un brīdinājumi bet nemainiet failus -R, --root CHROOT_DIR direktoriju uz chroot uz -s, - kārtojiet ierakstus pēc UID

[root @ linuxbox ~] # lietotāja pievienošana -h # Izveidojiet jaunu lietotāju vai atjauniniet jaunā lietotāja noklusējuma # informāciju
Lietošana: useradd [opcijas] USER useradd -D useradd -D [opcijas] Opcijas: -b, --base-dir BAS_DIR bāzes direktorijs jaunā konta mājas direktorijai -c, --comment COMMENT GECOS laukā jauns konts -d, - home-dir PERSONĀLS_DIR jauna konta mājas direktorijs -D, --defaults izdrukā vai maina lietotājaadd -e noklusējuma iestatījumu, --expiredate EXPIRY_DATE jauna konta derīguma termiņš -f, - neaktīvs Neaktīvs jaunā konta paroles neaktivitātes periods
grupēt
  -g, --gid Jaunā konta primārās grupas GROUP nosaukums vai identifikators -G, --groups GROUPS jaunā konta papildgrupu saraksts -h, --help parāda šo palīdzības ziņojumu un beidzas -k, - skel DIR_SKEL izmanto šo alternatīvo "skeleta" direktoriju -K, --key KEY = VALUE pārraksta noklusējuma vērtības "/etc/login.defs" -l, --nono-log-init nepievieno lietotāju datu bāzēs. no lastlog un faillog -m, --create-home izveido lietotāja -M mājas direktoriju, --no-create-home neveido lietotāja -N mājas direktoriju, --no-user-group nerada grupa ar tādu pašu nosaukumu kā lietotājs -o, --non-unikāls ļauj izveidot lietotājus ar dublētiem (ne-unikāliem) identifikatoriem (UID) -p, - paroles jaunā koda šifrētu paroli -r, sistēmas -R, - root CHROOT_DIR direktorijas konts, lai sakņotos -s, --shell CONSOLE konsoles piekļuve jaunajam kontam -u, --uid UID jaunā konta lietotāja identifikators -U, --user-group izveidotgrupa ar tādu pašu nosaukumu kā lietotājs -Z, --selinux-user USER_SE izmanto norādīto lietotāju SELinux lietotājam

[root @ linuxbox ~] # userdel -h # Dzēst lietotāja kontu un saistītos failus
Lietošanas režīms: userdel [opcijas] USER Opcijas: -f, - Force piespiež dažas darbības, kuras citādi neizdodas, piemēram, joprojām reģistrēta lietotāja vai failu noņemšana, pat ja tas nepieder lietotājam -h, --help parāda šo ziņojumu Palīdzība un pabeigšana -r, --remove noņemt mājas direktoriju un pastkasti -R, --root CHROOT_DIR direktoriju, lai sakrustotos -Z, --selinux-user noņemtu visus lietotāja SELinux lietotāja kartējumus

[root @ linuxbox ~] # usermod -h # Mainīt lietotāja kontu
Lietošanas veids: usermod [opcijas] LIETOTĀJA iespējas: -c, --komentēt COMMENT jaunā GECOS lauka vērtība -d, --home PERSONAL_DIR jaunā lietotāja jaunā personīgā direktorija -e, --expiredate EXPIR_DATE nosaka derīguma termiņa kontu līdz EXPIRED_DATE -f, - inactive INACTIVE iestata dīkstāves laiku, kad konta derīguma termiņš ir INACTIVE -g, --gid GROUP piespiež GROUP lietot jaunu lietotāju kontu -G, --groups GROUPS papildu grupu saraksts -a, --append append lietotājs papildu GRUPĀM, ko minēja opcija -G, nenoņemot viņu no citām grupām -h, --help parādīt šo palīdzības ziņojumu un pārtraukt -l, --login NAME atkal vārds lietotājam -L, --lock locks lietotāja konts -m, --move-home pārvietot mājas direktorijas saturu uz jaunu direktoriju (izmantot tikai kopā ar -d) -o, --non-unikāls ļauj izmantot dublikātus (nav unikāli) UIDs -p, - parole Parole jaunam kontam -R, --root CHR izmanto šifrētu paroli OOT_DIR direktorijā, lai ieslēgtos -s, --shell CONSOLE jaunā piekļuves konsole lietotāja kontam -u, --uid UID piespiež lietot UID jaunam lietotāja kontam -U, --unlock atbloķē lietotāja kontu -Z, --selinux-user SEUSER jauna SELinux lietotāja kartēšana lietotāja kontam

Komandas Debian

Debian atšķir lietotāja pievienošana y adduser. Iesaka izmantot sistēmas administratoriem adduser.

root @ sysadmin: / home / xeon # adduser -h # Pievienojiet lietotāju sistēmai
root @ sysadmin: / home / xeon # pievienošanas grupa -h # Pievienojiet grupai sistēmu
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--grupa GRUPA | --gid ID] [--disabled-password] [--disabled-login] LIETOTĀJS Pievienojiet parastu lietotāja pievienotāju --sistēma [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--grupa | --grupa GRUPA --gid ID] [--disabled-password] [--disabled-login] LIETOTĀJS Pievienojiet lietotāju no sistēmas adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP Pievienojiet lietotāju grupu addgroup --system [--gid ID] GROUP Sistēmas grupas pievienošana adduser GROUP USER Pievienojiet esošu lietotāju esošai grupai vispārīgas opcijas: --klusa | -q neparāda procesa informāciju standarta izvadā - force-badname atļauj lietotājvārdus, kas neatbilst konfigurācijas mainīgajam NAME_REGEX --help | -h lietošanas ziņojums --versija | -v versijas numurs un autortiesības --conf | -c FILE kā konfigurācijas failu izmanto FILE

root @ sysadmin: / home / xeon # deluser -h # Noņemiet parastu lietotāju no sistēmas
root @ sysadmin: / home / xeon # grupēt -h # Izņemiet no sistēmas parasto grupu
deluser USER noņem parastu lietotāju no sistēmas piemēra: deluser miguel --remove-home noņem lietotāja mājas direktoriju un pasta rindu. --remove-all-files noņem visus lietotājam piederošos failus. - Backup dublē failus pirms dzēšanas. - rezerves kopija galamērķa direktorija dublējumkopijām. Pēc noklusējuma tiek izmantots pašreizējais katalogs. --system noņemt tikai tad, ja esat sistēmas lietotājs. delgroup GROUP deluser --grupa GROUP noņem grupu no sistēmas piemēra: deluser --group students --sistēma tiek noņemta tikai tad, ja tā ir grupa no sistēmas. - tikai-ja-tukšs noņemt tikai tad, ja viņiem nav vairāk dalībnieku. maldinātājs LIETOTĀJU GRUPA noņem lietotāju no grupas piemēra: maldinošu studentu vispārējās iespējas: --klusa | -q nedodiet procesa informāciju par stdout --help | -h lietošanas ziņojums --versija | -v versijas numurs un autortiesības --conf | -c FILE kā konfigurācijas failu izmanto FILE

Politika

Veidojot lietotāju kontus, mums jāņem vērā divu veidu politikas:

  • Lietotāja konta politikas
  • Paroļu novecošanas politika

Lietotāja konta politikas

Praksē galvenie komponenti, kas identificē lietotāja kontu, ir:

  • Lietotāja konta nosaukums - lietotājs LOGIN, nevis vārdu un uzvārdus.
  • Lietotāja ID - UID.
  • Galvenā grupa, kurai tā pieder - GID.
  • Parole - parole.
  • Piekļuves atļaujas - piekļuves atļaujas.

Galvenie faktori, kas jāņem vērā, veidojot lietotāja kontu, ir:

  • Laika ilgums, kurā lietotājam būs piekļuve failu sistēmai un resursiem.
  • Laiks, kurā lietotājam drošības apsvērumu dēļ periodiski jāmaina parole.
  • Laiks, cik ilgi pieteikšanās-pieteikšanās paliks aktīva.

Turklāt, piešķirot lietotājam viņa UID y parole, mums jāņem vērā, ka:

  • Vesels skaitlis UID tam jābūt unikālam un negatīvam.
  • El parole tam jābūt pietiekami garam un sarežģītam, lai to būtu grūti atšifrēt.

Paroļu novecošanas politika

Linux sistēmā parole lietotājam nav piešķirts noklusējuma derīguma termiņš. Ja izmantojam paroļu novecošanas politikas, mēs varam mainīt noklusējuma uzvedību, un, veidojot lietotājus, definētās politikas tiks ņemtas vērā.

Praksē, nosakot paroles vecumu, jāņem vērā divi faktori:

  • Drošība
  • Lietotāja ērtības.

Parole ir drošāka, jo īsāks ir tās derīguma termiņš. Ir mazāks risks, ka tas tiks nopludināts citiem lietotājiem.

Lai iestatītu paroles novecošanas politiku, mēs varam izmantot komandu niknums:

[root @ linuxbox ~] # ķilda
Lietošanas režīms: chage [options] USER Options: -d, --lastday LAST_DAY pēdējās paroles maiņas dienu iestata LAST_DAY -E, --expiredate CAD_DATE derīguma termiņu iestata CAD_DATE -h, --help parāda šo palīdzības ziņojumu un beidzas -I, - neaktīvs Neaktīvs atspējo kontu pēc INACTIVE dienām no derīguma termiņa -l, - saraksts parāda konta informāciju par vecumu -m, --pusdienas MIN_DAYS nosaka minimālo dienu skaitu pirms paroles maiņas uz MIN_DAYS -M, --maxdays MAX_DAYS nosaka maksimālo dienu skaitu, pirms parole tiek mainīta uz MAX_DAYS -R, --root CHROOT_DIR direktoriju uz chroot uz -W, --warndays WARNING_DAYS iestata paziņojuma par derīguma termiņa beigām DAYS_NOTICE

Iepriekšējā rakstā mēs izveidojām vairākus lietotājus kā piemēru. Ja mēs vēlamies uzzināt lietotāja konta vecuma vērtības ar LOGIN galadriel:

[root @ linuxbox ~] # chage - saraksts galadriel
Pēdējā paroles maiņa: 21. gada 2017. aprīlī Paroles derīguma termiņš: nekad Neaktīva parole: nekad Konta derīguma termiņš: nekad Minimālais dienu skaits starp paroles maiņu: 0 Maksimālais dienu skaits starp paroles maiņu: 99999 Paziņojumu dienu skaits pirms paroles derīguma termiņa beigām: 7

Šīs bija sistēmas noklusējuma vērtības, kad mēs izveidojām lietotāja kontu, izmantojot grafiskās administrēšanas utilītu "Lietotāji un grupas":

 

Lai mainītu paroles novecošanas noklusējumus, ieteicams rediģēt failu /etc/login.defs y modificēt mums nepieciešamo minimālo vērtību daudzumu. Šajā failā mēs mainīsim tikai šādas vērtības:

# Paroles novecošanas vadīklas: # # PASS_MAX_DAYS Maksimālais dienu skaits, kad var izmantot paroli. # PASS_MIN_DAYS Minimālais dienu skaits, kas atļauts starp paroles izmaiņām. # PASS_MIN_LEN Minimālais pieļaujamais paroles garums. # PASS_WARN_AGE dienu skaits, kas brīdināts pirms paroles derīguma termiņa beigām. # PASS_MAX_DAYS 99999 #! Vairāk nekā 273 gadi! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

vērtībām, kuras mēs izvēlamies atbilstoši mūsu kritērijiem un vajadzībām:

PASS_MAX_DAYS 42 # 42 nepārtrauktas dienas varat izmantot parole
PASS_MIN_DAYS 0 # paroli var mainīt jebkurā laikā PASS_MIN_LEN 8 # minimālais paroles garums PASS_WARN_AGE 7 # dienu skaits, kad sistēma jūs brīdina # jums ir jāmaina parole, pirms tā beidzas.

Atlikušo failu mēs atstājam tādu, kāds tas bija, un mēs iesakām nemainīt citus parametrus, kamēr mēs nezinām, ko mēs darām.

Jaunās vērtības tiks ņemtas vērā, veidojot jaunus lietotājus. Ja mēs mainīsim jau izveidota lietotāja paroli, tiks ievērota minimālā paroles garuma vērtība. Ja mēs izmantojam komandu passwd grafiskās lietderības vietā un mēs rakstām, ka parole būs «legolas17«, Sistēma sūdzas kā grafiskais rīks« Lietotāji un grupas », un tā atbild, ka«Kaut kā parole nolasa lietotājvārdu»Lai gan beigās es piekrītu šai vājajai parolei.

[root @ linuxbox ~] # passwd legolas
Legolas lietotāja paroles maiņa. Jauna parole: vārtsargs               # ir mazāks par 7 rakstzīmēm
NEPAREIZA PAROLE: Parolē ir mazāk par 8 rakstzīmēm. Atkārtoti ievadiet jauno paroli: legolas17
Paroles nesakrīt.               # Loģiski vai ne?
Jaunā parole: legolas17
NEPAREIZI PAROLE: kaut kā parole nolasa lietotāja vārdu Atkārtoti ievadiet jauno paroli: legolas17
passwd: visi autentifikācijas marķieri tika veiksmīgi atjaunināti.

Mums rodas "vājums", paziņojot paroli, kurā ir LOGIN lietotājs. Tā nav ieteicama prakse. Pareizais veids būtu:

[root @ linuxbox ~] # passwd legolas
Legolas lietotāja paroles maiņa. Jauna parole: AltosMontes01
Atkārtoti ievadiet jauno paroli: AltosMontes01
passwd: visi autentifikācijas marķieri tika veiksmīgi atjaunināti.

Lai mainītu parole de galadriel, mēs izmantojam komandu chage, un mums ir jāmaina tikai PASS_MAX_DAYS no 99999 līdz 42:

[root @ linuxbox ~] # vaļā -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Pēdējā paroles maiņa: 21. gada 2017. aprīlis Paroles derīguma termiņš: 02. gada 2017. jūnijs Neaktīva parole: nekad Konta derīguma termiņš: nekad Minimālais dienu skaits starp paroles maiņu: 0 Maksimālais dienu skaits starp paroles maiņu: 42
Paziņojumu dienu skaits pirms paroles derīguma termiņa beigām: 7

Un tā tālāk mēs varam manuāli mainīt jau izveidoto lietotāju paroles un to derīguma termiņus, izmantojot grafisko rīku «Lietotāji un grupas» vai izmantojot skriptu - scenārijs kas automatizē daļu no neinteraktīvā darba.

  • Tādā veidā, ja vietējos sistēmas lietotājus izveidojam tā, kā to neiesaka izplatītākā prakse attiecībā uz drošību, mēs varam mainīt šo uzvedību, pirms turpinām ieviest vairāk uz PAM balstītus pakalpojumus..

Ja mēs izveidojam lietotāju anduīns ar LOGIN «anduīns»Un parole«ElPassword»Mēs iegūsim šādu rezultātu:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Lietotāja anduin paroles maiņa. Jauna parole: ElPassword
NEPAREIZA PAROLE: Parole neiztur vārdnīcas verifikāciju - tās pamatā ir vārds vārdnīcā. Atkārtoti ievadiet jauno paroli: ElPassword
passwd - visi autentifikācijas marķieri tika veiksmīgi atjaunināti.

Citiem vārdiem sakot, sistēma ir pietiekami radoša, lai norādītu paroles vājās vietas.

[root @ linuxbox ~] # passwd anduin
Lietotāja anduin paroles maiņa. Jauna parole: AltosMontes02
Atkārtoti ievadiet jauno paroli: AltosMontes02
passwd - visi autentifikācijas marķieri tika veiksmīgi atjaunināti.

Politikas kopsavilkums

  • Skaidrs, ka paroles sarežģītības politika, kā arī minimālais 5 rakstzīmju garums pēc noklusējuma ir iespējots CentOS. Debianā sarežģītības pārbaude darbojas parastajiem lietotājiem, kad viņi mēģina mainīt paroli, izsaucot komandu passwd. Lietotājam sakne, nav noklusējuma ierobežojumu.
  • Ir svarīgi zināt dažādas iespējas, kuras mēs varam deklarēt failā /etc/login.defs izmantojot komandu vīrietis login.defs.
  • Pārbaudiet arī failu saturu / etc / default / useradd, un arī Debian /etc/adduser.conf.

Sistēmas lietotāji un grupas

Operētājsistēmas instalēšanas laikā tiek izveidota vesela virkne lietotāju un grupu, kuras vienā literatūrā tiek saukti par standarta lietotājiem, bet citi par sistēmas lietotājiem. Mēs vēlamies tos saukt par sistēmas lietotājiem un grupām.

Parasti sistēmas lietotājiem ir UID <1000 un jūsu kontus izmanto dažādas operētājsistēmas lietojumprogrammas. Piemēram, lietotāja konts «kalmārs"To izmanto programma Squid, savukārt kontu" lp "izmanto drukāšanai no vārdu vai teksta redaktoriem.

Ja mēs vēlamies uzskaitīt šos lietotājus un grupas, mēs to varam izdarīt, izmantojot komandas:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # cat / etc / group

Vispār nav ieteicams modificēt sistēmas lietotājus un grupas. 😉

Svarīguma dēļ mēs atkārtojam, ka CentOS FreeBSDun citām operētājsistēmām tiek izveidota -sistēmas grupa stūre atļaut piekļuvi kā sakne tikai sistēmas lietotājiem, kas pieder šai grupai. Lasīt /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Un /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian neietver grupu stūre.

Lietotāju un grupu kontu pārvaldīšana

Labākais veids, kā uzzināt, kā pārvaldīt lietotāju un grupu kontus, ir:

  • Praktizējot iepriekš uzskaitīto komandu izmantošanu, vēlams virtuālajā mašīnā un pirms grafisko rīku izmantošanu.
  • Iepazīšanās ar rokasgrāmatām vai man lapas pirms jebkuras citas informācijas meklēšanas internetā.

Prakse ir labākais patiesības kritērijs.

Kopsavilkums

Pagaidām nepietiek ar vienu rakstu, kas veltīts vietējai lietotāju un grupu pārvaldībai. Katra Administratora iegūto zināšanu pakāpe būs atkarīga no personīgās intereses mācīties un padziļināt šo un citas saistītās tēmas. Tas ir tāds pats kā ar visiem aspektiem, kurus esam izstrādājuši rakstu sērijā MVU tīkli. Tādā pašā veidā jūs varat izbaudīt šo versiju pdf formātā šeit

Nākamā piegāde

Mēs turpināsim ieviest pakalpojumus ar autentifikāciju vietējiem lietotājiem. Pēc tam mēs instalēsim tūlītējās ziņojumapmaiņas pakalpojumu, pamatojoties uz programmu Prosodija.

Uz drīzu redzēšanos!


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

4 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   HO2GI teica

    Labdien, lielisks raksts, es jums jautāju, kur es strādāju, daudz tiek koplietoti printeri, problēma ir krūzītēs, dažreiz tas karājas un viņi nevar izdrukāt, jo es varu dot viņiem atļauju to restartēt (jo lielākoties mēs strādājam citās jomās), nedodot paroli root, jo vienīgais veids, kā es to atradu, ir mainīt to tā, lai konkrēts lietotājs to varētu restartēt.
    No jau liels paldies.

    1.    Federico teica

      Sveiciens HO2GI! Piemēram, pieņemsim, ka lietotājs Legolas vēlaties piešķirt tai atļauju tikai restartēt CUPS pakalpojumu, protams, izmantojot komandu sudo, kas jāuzstāda:
      [root @ linuxbox ~] # visudo

      Cmnd aizstājvārda specifikācija

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups restart

      Lietotāja privilēģiju specifikācija

      sakne VISI = (VISI: VISI) VISI
      legolas VISI = ATKĀRTOTĀS SĀKUMS

      Saglabājiet failā veiktās izmaiņas sudoers. Piesakieties kā lietotājs legolas:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid reload
      [sudo] parole legolām:
      Atvainojiet, lietotājam legolas nav atļauts izpildīt '/etc/init.d/postfix reload' kā root linuxbox.fromlinux.fan.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups restart
      [sudo] parole legolām:
      [ok] Restartējiet Common Unix drukas sistēmu: cupsd.

      Piedodiet, ja uzvedne CentOS atšķiras, jo es vadījos pēc tā, ko tikko darīju vietnē Debian Wheezy. ;-). Kur es esmu šobrīd, man nav neviena CentOS uz rokas.

      No otras puses, ja vēlaties pievienot citus sistēmas lietotājus kā pilnus CUPS administratorus - viņi to var nepareizi konfigurēt - jūs viņus padarāt par grupas dalībniekiem lpadmin, kas tiek izveidots, instalējot CUPS.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI teica

        Liels paldies tūkstoš Fico, es to izmēģināšu tūlīt.

  2.   Federico teica

    HO2GI, CentOS / Red -Hat formā tas būtu:

    [root @ linuxbox ~] # visudo

    Pakalpojumi

    Cmnd_Alias ​​RESTARTCUPS = / usr / bin / systemctl restartēšanas kausi, / usr / bin / systemctl statusa kausi

    Ļaujiet root palaist jebkuras komandas jebkur

    sakne VISI = (VISI) VISI
    legolas VISI = ATKĀRTOTĀS KOPAS

    Saglabāt izmaiņas

    [root @ linuxbox ~] # izeja

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    legolas @ linuxbox parole:

    [legolas @ linuxbox ~] $ sudo systemctl restartējiet kausi

    Mēs ticam, ka esat saņēmis parasto lekciju no vietējās sistēmas
    Administrators. Parasti tas sastāv no šīm trim lietām:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] parole legolām:
    [legolas @ linuxbox ~] $ sudo systemctl statusa kausi
    ● cups.service - CUPS drukas pakalpojums
    Ielādēts: ielādēts (/usr/lib/systemd/system/cups.service; iespējots; pārdevēja sākotnējais iestatījums: iespējots)
    Aktīvs: aktīvs (darbojas) kopš 2017-04-25 22:23:10 EDT; Pirms 6s
    Galvenais PID: 1594 (cupsd)
    CGroup: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [legolas @ linuxbox ~] $ sudo systemctl restartējiet kalmāru.service
    Atvainojiet, lietotājam legolas nav atļauts izpildīt '/ bin / systemctl restart squid.service' kā sakni linuxbox.
    [legolas @ linuxbox ~] $ izeja