ځایی کارن او د ډلې مدیریت - د SME شبکې

د لړۍ عمومي شاخصونه: د SMEs لپاره د کمپیوټر شبکې: پیژندنه

لیکوال: فیډریکو انتونیو ویلډس توجګ
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

سلام ملګرو او ملګرو!

دا مقاله دوام لري په سکټوس 7- SMB شبکې کې سکویډ + PAM تصدیق.

د UNIX / لینکس عملیاتي سیسټمونه د یو څو کثیر کارونکي چاپیریال وړاندې کوي ، په کوم کې چې ډیری کاروونکي کولی شي په ورته سیسټم کې په ورته وخت کې کار وکړي او سرچینې شریک کړي لکه پروسیسرونه ، هارډ ډرایوز ، حافظه ، د شبکې انٹرفیسونه ، سیسټم کې داخل شوي وسیلې او داسې نور.

د دې دلیل لپاره ، د سیسټم مدیران مکلف دي چې په دوامداره توګه د سیسټم کارونکي او ډلې اداره کړي او د ښې ادارې ستراتیژي جوړه او پلي کړي.

ورپسې به موږ د لینکس سیسټمونو په اداره کې د دې مهم فعالیت عمومي اړخونه په دقت سره وینو.

ځینې ​​وختونه دا غوره ده چې یوتیلیز وړاندې کړئ او بیا اړتیا ورته ومومئ.

دا د دې ترتیب ځانګړی مثال دی. لومړی موږ ښیو د سکویډ او ځایی کاروونکو سره د انټرنیټ پراکسي خدمت پلي کولو څرنګوالی. اوس موږ باید خپل ځان وپوښتو:

  • ¿زه څنګه کولی شم د سیمه ایزو کاروونکو څخه په یونیکس / لینکس LAN کې د شبکې خدمتونه پلي کړم او د منل شوی امنیت?.

دا مسله نده چې ، سربیره پردې ، د وینډوز پیرودونکي پدې شبکې پورې تړلي دي. یوازې د اړتیا لپاره د کومو خدماتو لپاره د SME شبکې اړتیا لري او د دوی پلي کولو لپاره اسانه او ارزانه لاره څه ده.

یو ښه پوښتنه چې هرڅوک باید د دوی ځوابونه ومومي. زه تاسو ته د ټیم لټون کولو لپاره بلنه درکوم «د اعتبارWikipedia په انګلیسي کې د ویکیپیډیا په اړه ، کوم چې د اصلي مینځپانګې - انګلیسي کې شرایطو کې ترټولو بشپړ او مطابقت لري.

دمخه د تاریخ په وینا څه ناڅه، لومړی و اعتبارول y واک ورکول سيمه ييزوروسته ، NIS د شبکې د معلوماتو سیسټم د لمر مایکرو سیسټم لخوا رامینځته شوی او همدارنګه ورته پیژندل شوی زرغون پاڼې o ypاو بیا LDAP د لټیټ ډایرکټیر لاسرسی پروتوکول.

په اړه "د منلو وړ امنیتup راپورته کیږي ځکه چې ډیری وختونه موږ د خپلې سیمه ایز شبکې امنیت په اړه اندیښنه لرو ، پداسې حال کې چې موږ فیسبوک ، جی میل ، یاهو ، او نورو ته لاسرسی لرو - ترڅو یوازې یو څو یادونه وکړو - او موږ په هغوی کې زموږ محرمیت راکړو. او په لویه کچه مقالې او مستند فلمونه وګورئ چې د په انټرنیټ هیڅ راز محرمیت نشته دوی شتون لري

په CentOS او Deban کې یادداشت کړئ

سینټوس / ریډ هټ او ډیبیان د امنیت پلي کولو څرنګوالي په اړه خپل فلسفه لري ، کوم چې اساسا توپیر نلري. په هرصورت ، موږ تاکید کوو چې دواړه خورا باثباته ، خوندي او د باور وړ دي. د مثال په توګه ، په CentOS کې د SELinux شرایط د ډیفالټ لخوا فعال شوي. په دیبیان کې موږ باید کڅوړه نصب کړو د سیلینکس اساسات، کوم چې په ګوته کوي چې موږ کولی شو SELinux هم وکاروو.

په CentOS کې ، FreeBSD، او نور عملیاتي سیسټمونه ، سیستم - ګروپ رامینځته شوی څرخ د لاسرسي اجازه لکه څنګه چې د ريښي یوازې د دې ګروپ پورې اړوند سیسټم کاروونکو ته. ولولئ /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlاو /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. دیبیان یوه ډله نه شامله کوي څرخ.

اصلي فایلونه او حکمونه

آرشیفونه

د لینکس عملیاتي سیسټم کې د ځایی کاروونکو اداره کولو پورې اړوند اصلي فایلونه دا دي:

سینټوس او دیبیان

  • / etc / passwd: د کارونکي حساب معلومات.
  • / وغيره / سیوري- د کارونکي حساب امنیت معلومات.
  • / وغيره / ډله: د ګروپ حساب معلومات.
  • / etc / ګشادو- د ګروپ حسابونو لپاره امنیتي معلومات.
  • / etc / default / useraddد ګ accountون جوړولو لپاره ډیفالټ ارزښتونه.
  • / نور / سکیل /: لارښود چې ډیفالټ فایلونه لري چې د نوي کارونکي په کور لارښود کې به شامل شي.
  • /etc/login.defs- د شفر امنیت تشکیلاتو سویټ.

Debian

  • /etc/adduser.confد ګ accountون جوړولو لپاره ډیفالټ ارزښتونه.

په سینټوس او ډیبیان کې قومانده

[روټ @ لینکس باکس ~] # chpasswd -h # پاسورډ په بیچ اکر کې تازه کړئ
د کارولو څرنګوالی: chpasswd [اختیارات] اختیارونه: -c ، --crypt-method د کریپټ میتود METHOD (د NONE DES MD5 SHA256 SHA512 څخه یو) -e ، - چمتو شوي شفرونه کوډ شوي --h ، --help دا ښیې د ایم ایم al الګوریتم -R ، --root CHROOT_DIR لارښود په کارولو سره - -Sشا - د SHA راډونو شمیره د SHA انکرپشن الګوریتمونو لپاره د SHA دورې شمیره په کارولو سره په لنډ ډول د --m ، --md5 کوډونو پا passwordو په نښه کولو کې مرسته وکړي ټوټه- امرونه اجرا کړئ کله چې د سیسټم بار اجازه ورکوي. په نورو ټکو کې # کله چې اوسط وزن د 0.8،XNUMX څخه ښکته راشي یا د # atd کمانډ په کارولو سره مشخص شوي ارزښت. نور مالومات سړی ډله.

[روټ @ لینکس باکس ~] # gpasswd -ه # په / etc / ګروپ او / etc / gshadow کې د مدیرانو اعالن
د کارولو څرنګوالی: gpasswd [اختیارات] GROUP اختیارونه: -a ، --add USER په GROUP -d کې USER اضافه کوي ، - بشپړ USER USER له GROUP -h څخه لرې کوي ، --help دا مرسته پیغام ښیې او پای - کی - ، - د روټ CHROOT_DIR لارښود - - ته chroot ته - ډلیټ - پاسورډ د GROUP پټنوم لرې کړئ -R ، - ریسټریک GROUP ته خپلو غړو ته لاسرسی محدودوي -M ، - غړیو USER ، ... د GROUP غړو غړو لیست ټاکي - A ، - اداري مدیران ، ... د GROUP مدیرانو لیست ټاکي د -A او - M اختیارونو پرته ، اختیارونه نه شي یوځای کیدی.

[روټ @ لینکس باکس ~] # ګروپ -h    # نوې ډله جوړه کړئ
د کارولو څرنګوالی: ګروپډډ [اختیارات] ګروپ اختیارونه: -f، --for ټرمینټ که ګروپ لا دمخه شتون لري ، او -g لغوه کړئ که GID لا دمخه په استعمال کې وي -g، --gid GID د نوي ګروپ لپاره GID وکاروي - h ، --help دا مرستې پیغام ښیې او پای پای ته رسوي - K ، Kkey KEY = VALUE د "/etc/login.defs" ډیفالټ ارزښتونه له سره تنظیم کوي - اونن - تاسو ته اجازه درکوي د GIDs سره ډلې رامینځته کړئ (ځانګړي ندي ) عکسونه --p ، - پاسورډ PASSWORD د نوي ګروپ لپاره دا کوډ شوی رمز کاروي -r ، - سیستم د سیسټم حساب جوړوي -R ، --root CHROOT_DIR ډایرکټري

[روټ @ لینکس باکس ~] # ګروپ -h # موجوده ډله حذف کړئ
د کارولو څرنګوالی: ګروپډیل [اختیارات] GROUP اختیارونه: -h ، --help دا مرستې پیغام ښیې او پای ته رسوي - R ، --root CHROOT_DIR ډایرکټرۍ ته Chroot ته

[روټ @ لینکس باکس ~] # ګروپونه -h # د کارونکي لومړني ګروپ کې د مدیرانو اعلان
د کارولو څرنګوالی: ګروپ مینیم [اختیارونه] [عمل] اختیارونه: -g ، --group GROUP د کارونکي ډلې پرځای د ډلې نوم بدلوي (یوازې د مدیر لخوا ترسره کیدی شي) -R ، --roro CHROOT_DIR لارښود chroot ته په عملونو کې: --a ، --add USER د ګروپ غړو ته USER اضافه کوي -d ، - بشپړ USER USER د ګروپ غړو لیست څخه لرې کوي -h ، - مرستې د مرستې مرستې ښیې او پای ته رسوي -p ، - purge purge all ډلې غړي - l ، - لیست ګروپ غړي

[روټ @ لینکس باکس ~] # ګروپ جوړول -h # د ډلې تعریف تعریف کړئ
د کارولو څرنګوالی: ګروپموډ [اختیارونه] GROUP اختیارونه: -g، --gid GID د ګروپ پیژندونکي GID -h ته بدلوي ، --help دا مرسته رسوي پیغام پای او پای ته رسیدلی --Ne_-NEW_Group نوم بدلوي a NEW_GROUP -o ، --non-منفرد اجازه ورکوي چې ورته نسخه GID وکاروي (بې ساري نه) -p ، - پاسورډ PASSWORD پاسورډ PASSWORD (کوډ شوی) -R ته بدلوي ، --root CHROOT_DIR لارښود ته chroot ته

[روټ @ لینکس باکس ~] # grpck -h # د ګروپ فایل بشپړتیا وګورئ
د کارولو څرنګوالی: grpck [اختیارونه] [ډلې [gshadow]] اختیارونه: -h ، --help دا مرستې پیغام او د وتلو --r ښودنه کوي ، - یوازې لوستل غلطۍ او اخطار ښیې مګر فایلونه بدل نه کړئ -R ، - -root CHROOT_DIR لارښود - ته chroot ته - - د UID لخوا دننه ترتیبونه تنظیم کړئ

[روټ @ لینکس باکس ~] # grpconv
# تړل شوي حکمونه: pwconv، pwunconv، grpconv، grpunconv
# د سیوري رمزونو او ګروپونو څخه د بدلولو لپاره
# څلور کمانډونه په فایلونو کار کوي / etc / passwd ، / etc / ګروپ ، / نور / سیوري, 
# او / نور / ګشادو. د نورو معلوماتو لپاره سړی grpconv.

[روټ @ لینکس باکس ~] # sg -h # د مختلف ګروپ ID یا GID سره کمانډ اجرا کړئ
د کارولو څرنګوالی: ساګ ګروپ [[-c] امر]

[روټ @ لینکس باکس ~] # newgrp -h # د ننوتلو پرمهال اوسني GID بدل کړئ
د کارولو څرنګوالی: newgrp [-] [ډله]

[روټ @ لینکس باکس ~] # نوي کارونکي -h # په بیچ حالت کې نوي کاروونکي نوي او تازه کړئ
د کارولو حالت: نوي کارونکي [اختیارونه] اختیارونه: -c ، --crypt-પદ્ધતિ د کریپټ میتود (د NONE DES MD5 SHA256 SHA512 څخه یو) -h ، - د مرستې مرستې ښیې او وتلو-r ، - سیسټم رامینځته کول سیسټم حسابونه - R ، --roro CHROOT_DIR ډایرکټرۍ ته chroot ته ، - د SHA راډونو شمیره د SHA انکرپشن الگوریتمونو لپاره د SHA دورې *

[روټ @ لینکس باکس ~] # pwck -h # د رمز فایلونو بشپړتیا وګورئ
د کارولو څرنګوالی: pwck [اختیارونه] [passwd [سیوري]] اختیارونه: -h ، --help دا مرستې پیغام ښیې او وتنه -q ، --quiet راپور غلطی یوازې -r ، - لوستل یوازې خطاګانې او اخطارونه ښیې فایلونه -R ، --roro CHROOT_DIR ډایرکټري ته Chroot ته -s ته بدل نه کړئ - د UID لخوا د ترتیباتو ډولونه ترتیب کړئ

[روټ @ لینکس باکس ~] # کارول شوی -h # نوی کارن جوړ کړئ یا د نوي کارونکي ډیفالټ # معلومات تازه کړئ
د کارولو څرنګوالی: useradd [اختیارات] USER useradd -D useradd -D [اختیارات] اختیارونه: -b، --base-dir BAS_DIR د نوي حساب کور کور لارښود لپاره اساس ډایریکټری --c ، --comment COMMENT GECOS د ساحې نوی ګ -ون -d ، --home-dir PERSONAL_DIR د نوي ګ'sون کور لارښود -D ، - ډیفالټ د کارونېډ -e ډیفالټ ترتیب چاپ کړي یا بدل کړي - - بې وسیله EXPIRY_DATE د نوي حساب پای ته رسیدو نیټه --f ، - غیر فعال غیر فعال دوره د نوي حساب رمز
ډلبندي
  -g ، --gid GROUP نوم یا د نوي حساب د ابتدايي ډلې پیژندونکی -G ، - د ګروپ GROUPS د نوي حساب د تکمیلي ډلو لیست -h ، - مرستې د مرستې پیغام ښیې او پای - K ، - اسکیل DIR_SKEL دا بدیل "کنکال" لارښود کاروي -K ، --key KEY = VALUE د "/etc/login.defs" -l ډیفالټ ارزښتونه له سره تنظیم کوي ، --no-log-init کارنان ډیټابیس ته نه اضافه کوي له وروستلوګ او فایلګ - م څخه ، --create - کور د کارونکي -M کور لارښود رامینځته کوي ، --no-create-home د کارونکي -N کور لارښود نه جوړوي ، --no-user-group د دې سره ګروپ نه جوړوي. ورته نوم د کارن -o ، --نن - ځانګړتیا د کاروونکي د ډپلیکټ (غیر ځانګړي) پیژندونکو (UIDs) -p ، --password PASSWORD کوډ سره د نوي حساب -r کوډ شوی رمز --سیسټم د حساب جوړوي سیسټم - آر ، --روټ CHROOT_DIR لارښود - -s ته chroot ته ، - د نوي اکاونټ ته CSSONLE کنسول لاسرسی - ، ، د نوي حساب حساب UID کارونکي پیژندونکی --U ، --user-group جوړیوه ډله د ورته نوم سره کارونکي -Z ، --selinux-user USER_SE د SELinux کارونکي لپاره ټاکل شوی کارونکی کاروي

[روټ @ لینکس باکس ~] # یوزرډیل -h # د کارونکي حساب او اړوند فایلونه حذف کړئ
د کارولو حالت: د کارډیل [اختیارات] د USER اختیارونه: -f ، --for ځینې کړنې دې ته مجبوروي چې ناکامه شي د بیلګې په توګه د لاهم په نښه شوي یا فایلونو څخه د کارونکي لرې کول ، حتی که د کارونکي ملکیت نه وي ، --help دا پیغام څرګندوي مرسته کوي او پای - آر ، - د کور لارښود او میل باکس باکس لرې کړئ -R ، --root CHROOT_DIR لارښود - -Z ته chroot ته --selinux-user کارونکي لپاره د SELinux کارن کولو نقشه له مینځه یوسي

[روټ @ لینکس باکس ~] # کارن -h # د کارونکي حساب ته تغیر ورکول
د کارولو څرنګوالی: د کارونې موډ [اختیارات] د USER اختیارونه: -c ، --comment د GECOS ساحې نوې ارزښت -d ، --home PERSONAL_DIR د نوي کارونکي کور کور لارښود --e ، - EXPIRED_DATE د پای نیټه نیټه ټاکي حساب ته EXPIRED_DATE --f ، - غیر فعال غیر فعاله غیر فعال وخت تنظیموي کله چې حساب غیر فعال -g ته ختم شي ، --gid GROUP د نوي کارونکي حساب لپاره GROUP کاروي -G ، - ګروپ GROUPS لیست ضمیمې ډلې - الف ، - ضمیمه کونکي ضمیمه GROUPS ته ضمیمه کړئ - د GG اختیار لخوا ذکر شوي پرته له هغه چې د هغې / نورو ډلو څخه لیرې کړي --h ، - د مرستې پیغام ښیې او بند یې کړئ - ایل ، - بیاګلیون NAME د کارونکي -L لپاره نوم ، - لاک کولور کارن-حساب ته لاک کوي ، - د کور لارښود مینځپانګې مینځپانګې نوي لارښود ته (یوازې د -d سره په ګډه استعمال کړئ) -o ، --نن - د کارولو اجازه ورکوي د UIDs ډپلیکټ (ځانګړی نه دی) -p ، د پاسورډ PASSWORD د نوي حساب لپاره کوډ شوی رمز کارول -R ، --root CHR د OOT_DIR لارښود - -s ته chroot کولو لپاره ، - د کارونکي حساب لپاره CONSOLE نوي لاسرسي کنسول -u ، --UID د نوي کارونکي حساب لپاره UID کاروي UU ، - کارن اکرنټ خلاصوي -Z ، --selinux-user SEUSER نوی SELinux کارونکي د کارونکي حساب لپاره نقشه کول

په دیبیان کې حکمونه

دبیان ترمنځ توپیر لري کارول شوی y اضافوونکی. وړاندیز کوي چې د سیسټم مدیران وکاروي اضافوونکی.

روټ @ سیسادمین: / کور / ژیون # اضافوونکی -h # سیسټم کې یو کارن اضافه کړئ
روټ @ سیسادمین: / کور / ژیون # جمع ډله -h # سیسټم کې یوه ډله اضافه کړئ
Adduser [--home DIRECTORY] [- Shell Shell] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup ګروپ | --gid ID] [- - غیر فعال شوی - رمز] [USER - د سیستم فعال کول یو عام کارونکی اضافه کونکی - سیسټم [- کور DIRECTORY] [- شیل وپلوري] [- نه - جوړ-کور] [ --uid ID] [--gecos GECOS] [--group | --ingroup GROUP | --gid ID] [--disabled-password] [--disabled-login] USER د سیسټم adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP د کارونکي ګروپ addgroup اضافه کړئ --s systemm [--gid ID] GROUP د سیسټم اضافه کونکي ګروپ اضافه کړي USER GROUP یو موجود کارونکي په موجوده ډلې عمومي اختیارونو کې اضافه کړئ: --quiet | -q د معیاري محصول په اړه د پروسې معلومات نه ښیې - ځواک - بد نوم د کاروونکي نومونو ته اجازه ورکوي چې د ترتیب متغیر سره سمون ونه خوري NAME_REGEX --help | -h د کارولو پیغام - حالت | -v نسخه شمیره او د کاپي حق --conf | --c فایل د شکل فایل په توګه د فایل کارول

روټ @ سیسادمین: / کور / ژیون # ډیزاین -h # له سیسټم څخه عادي کارن لرې کړئ
روټ @ سیسادمین: / کور / ژیون # ډلبندي -h # له سیسټم څخه یوه عادي ډله لرې کړئ
ډیلزور USER د سیسټم مثال څخه عادي کارونکي لرې کوي: دیلزر مګیویل - ریمو - کور د کارونکي کور لارښود او د میل لیکه لرې کوي. - د ریموین-آل فایلونه د کارونکي ملکیت ټولې فایلونه لرې کوي. --backup د حذف کولو دمخه د فایلونو ملاتړ کوي. --backup-to د شاتړ لپاره د منزل لارښود. اوسنی ډایرکټري د تلواله لخوا کارول کیږي. - سیسټم یوازې لرې کوي که تاسو د سیسټم کاروونکي یاست. د ډلی ګروپ ګروپ ډلیزور - ګروپ ګروپ د سیسټم څخه یوه ډله لرې کوي د مثال په توګه: دیلزر - ګروپ زده کونکي - سیسټم یوازې لرې کوي که چیرې دا د سیسټم څخه یوه ډله وي. - یوازې - که-خالي یوازې لرې کړئ که دوی نور غړي نلري. دیلزر USER GROUP کارونکي د ګروپ مثال څخه لرې کوي: دیلزر مهاجر زده کونکي عمومي انتخابونه: --quiet | -q په stdout --help | کې د پروسې معلومات مه ورکوئ -h د کارولو پیغام - حالت | -v نسخه شمیره او د کاپي حق --conf | --c فایل د شکل فایل په توګه د فایل کارول

پالیسۍ

دلته دوه ډوله پالیسۍ شتون لري چې موږ یې باید په پام کې نیولو پر مهال وکاروو:

  • د کارونکي حساب پالیسۍ
  • د پټنوم د زوړ تګلارې

د کارونکي حساب پالیسۍ

په عمل کې ، بنسټیز برخې چې د کارونکي حساب پیژني دا دي:

  • د کارونکي حساب نوم - کارن د ننه کیدل، نوم او تخلص نه.
  • کارن نوم - UID.
  • اصلي ډله چې پورې اړه لري - G.I.D..
  • رمز - رمز.
  • د لاسرسي جواز - اجازې ته اجازه.

اصلي فاکتورونه باید په پام کې ونیول شي کله چې د کارونکي حساب رامینځته کول دي:

  • د وخت اوږدوالی چې کارونکي به د فایل سیسټم او سرچینو ته لاسرسی ولري.
  • د وخت اندازه چیرې چې کاروونکي باید خپل پټنوم په وخت په وخت - د امنیتي دلایلو لپاره بدل کړي.
  • د وخت اوږدوالی چې ننوتل-لاګین- به فعال پاتې وي.

سربیره پردې ، کله چې یو کاروونکي ته د هغه ټاکل UID y رمز، موږ باید په پام کې ونیسو چې:

  • د عدد ارزښت UID دا باید ځانګړی وي او نه منفي.
  • El رمز دا باید کافی اندازه او پیچلتیا ولري ، نو له دې امله د پریکړې کولو ستونزمن کیږي.

د پټنوم د زوړ تګلارې

په لینکس سیسټم کې رمز د کاروونکي وخت د تمدید وخت پای ته نه دی سپارل شوی. که موږ د پاسورډ عمر لرونکي تګلارې وکاروو ، موږ کولی شو ډیفالټ چلند بدل کړو او کله چې کاروونکي رامینځته کړو نو ټاکل شوې پالیسۍ به په پام کې ونیول شي.

په عمل کې ، دوه فاکتورونه شتون لري چې په پام کې ونیول شي کله چې د پاسورډ عمر تنظیم کړئ:

  • امنیت
  • د کاروونکي اسانتیا.

یو پټنوم د لنډ وخت لنډ موده خوندي وي. د نورو کارونکو لپاره د دې د لیک ایستلو لږ خطر شتون لري.

د پټنوم ضعیف تګلارې رامینځته کولو لپاره ، موږ کولی شو کمانډ وکاروو چج:

[روټ @ لینکس باکس ~] # چج
د کارولو حالت: چج [اختیارات] د USER اختیارونه: -d ، --lastday LAST_DAY LAST_DAY -E ته د وروستي پاسورډ بدلولو ورځ ټاکي ، - متناسب CAD_DATE د نیټې نیټه CAD_DATE -h ټاکي ، --help دا مرستې پیغام ښیې او پای - I ، - غیر فعال غیر فعال حساب له ختمیدو نیټې څخه د INACTIVE ورځو څخه وروسته غیر فعال کړي - لیست د حساب عمر عمر ښیې --m ، - د مینیډیس MINDAYS MIN_DAYS -M ته د پاسورډ بدلولو دمخه لږترلږه شمیره ټاکي. --maxdays MAX_DAYS د MAX_DAYS -R ته د رمز له بدلولو دمخه اعظمي شمیرې ټاکي ، --root CHROOT_DIR ډایرکټرۍ ته chroot ته -W کې --WarNDAY WARNING_DAYS DAYS_NOTICE ته د ختمیدو خبرتیا ورځې ټاکي

په تیرو مقالو کې موږ د مثال په توګه څو کاروونکي رامینځته کړي. که موږ غواړو سره د کارونکي حساب عمر ارزښتونه وپیژنو د ننه کیدل ګالادریل:

[روټ @ لینکسبکس ~] # چج - لیست ګالډریل
د پاسورډ وروستی تغیر: د اپریل 21 ، 2017 پاسورډ پای ته رسیدلی: هیڅکله غیر فعاله پټنوم: هیڅکله حساب نه تیریږي: هیڅکله د رمز تغیر تر مینځ لږترلږه شمیره: 0 د پاسورډ تغیر ترمینځ د ورځو اعظمي شمیر: 99999 دمخه د یادداشتونو ورځو شمیر رمز پای ته رسي:.

دا هغه ډیفالټ ارزښتونه و چې سیسټم یې درلود کله چې موږ د ګرافیکي ادارې افادیت "کارونکي او ډلې" کارولو سره د کارونکي حساب رامینځته کړ:

 

د پټنوم د زوړ عمر تثبیت بدلولو لپاره ، د فایل سمولو سپارښتنه کیږي /etc/login.defs y موږ د اړتیاو ارزښتونو لږترلږه اندازه بدله کړئ. په هغه دوتنه کې موږ به لاندې لاندې ارزښتونه بدل کړو:

# د شفر د عمر کنټرولونه: # # PASS_MAX_DAYS د ورځو ورځو تعداد باید د رمز څخه کار واخیستل شي. # PASS_MIN_DAYS د پټنوم د بدلونونو تر منځ د لږترلږه ورځو ورځو اجازه. د لږترلږه منلو وړ پاسورډ اوږدوالی. # PASS_WARN_AGE د ورځو ورځو خبردارۍ ورکول د مخه د پټنوم له ختمیدو مخکې ورکول کیږي. # PASS_MAX_DAYS 99999 # له 273 کلونو څخه ډیر! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

د هغه ارزښتونو لپاره چې موږ زموږ د معیارونو او اړتیاو سره سم غوره کړي:

PASS_MAX_DAYS 42 # 42 پرله پسې ورځې چې تاسو یې کارولی شئ رمز
PASS_MIN_DAYS 0 # رمز په هر وخت کې بدلیدلی شي PASS_MIN_LEN 8 # د شفر لږترلږه اوږدوالی PASS_WARN_AGE 7 # د ورځو شمیره چې سیستم تاسو ته خبرداری ورکوي # د رمز له تمدید دمخه د پاسورډ بدلولو ته.

موږ پاتې فایل لکه څنګه چې وو پریږدو او موږ وړاندیز کوو چې نور پیرامیټونه بدل نه کړو تر هغه چې موږ پوهه شو چې څه کوو.

نوي ارزښتونه به په پام کې ونیول شي کله چې موږ نوي کاروونکي رامینځته کړو. که موږ د دمخه جوړ شوي کارن رمز بدل کړو ، د لږترلږه رمز اوږدوالي ارزښت به درناوی وشي. که موږ کمانډ وکاروو پاسورډ د ګرافیکي افادیت پرځای او موږ لیکو چې پټنوم به «لیګولاس 17«، سیسټم د ګرافیک وسیلې« کارونکي او ډلې like په څیر شکایت کوي او ځواب یې ورکوي چې «په یو څه ډول پټنوم کارن نوم لولي»که څه هم په پای کې زه دا ضعیف رمز ومومم.

[روټ @ لینکسبکس ~] # پاسود لیګولاس
د لیګلاس کارونکي رمز بدلول. نوئ پټ نوم: ګولکیپر               # له 7 حروف څخه کم دی
د ناسم پاسورډ: پټنوم له 8 حروف څخه کم دی نوی رمز تکرار کړئ: لیګولاس 17
پاسورډونه سمون نه خوري               # منطقي سم؟
نوی رمز لیګولاس 17
د ناسم پاسورډ: په یو څه ډول پټنوم د کارونکي نوم ولولي نوی پاسورډ بیا ټایپ کړئ: لیګولاس 17
تېر شو: د اعتبار ټول توکونه په بریالیتوب سره نوي شوي.

موږ د پټنوم د اعلانولو "ضعف" بولو چې پکې شامل دي د ننه کیدل د کارونکي دا یو غیر وړاندیز شوی عمل دی. سمه لار به دا وي:

[روټ @ لینکسبکس ~] # پاسود لیګولاس
د لیګلاس کارونکي رمز بدلول. نوئ پټ نوم: لوړ غرونه 01
نوی پټنوم بیا ولیکئ: لوړ غرونه 01
تېر شو: د اعتبار ټول توکونه په بریالیتوب سره نوي شوي.

د ختمیدو ارزښتونو ته بدلون لپاره رمز de ګالادریل، موږ د چج کمانډ کاروو ، او موږ باید یوازې د ارزښت بدلون وکړو PASS_MAX_DAYS له 99999 څخه تر 42 پورې:

[روټ @ لینکس باکس ~] # چج - ایم 42 ګالډریل
[روټ @ لینکسبکس ~] # چج - ایل ګالډریل
د پاسورډ وروستی تغیر: د اپریل 21 ، 2017 پاسورډ پای ته رسیدلی: جون 02 ، 2017 غیر فعال پټنوم: هیڅکله حساب نه تیریږي: هیڅکله د رمز تغیر تر مینځ د ورځو لږترلږه شمیره: 0 د پاسورډ بدلولو تر منځ د ورځو اعظمي شمیر: 42
د پټنوم له ختمیدو دمخه د خبرتیا د ورځو شمیر: 7

او همداسې ، موږ کولی شو د مخکې لخوا رامینځته شوي کارونکي رمزونه او د دوی میشته شوي ارزښتونه په لاسي ډول بدل کړو ، د ګرافیکي اوزار using کارونکي او ډلې using په کارولو سره ، یا سکریپټ په کارولو سره - سکرېپټ چې ځینې غیر متقابل کار اتومات کړي.

  • پدې توګه ، که چیرې موږ د سیسټم ځایی کاروونکي په داسې طریقه رامینځته کړو چې د امنیت په اړه د ډیری عام عملونو لخوا وړاندیز شوی نه وي ، نو موږ کولی شو د PAM پراساس نورو خدماتو پلي کولو دمخه دا چلند بدل کړو..

که موږ کارن جوړ کړو anduin سره د ننه کیدل «anduin»او پټ نوم«د ایل پاسورډwill موږ به لاندې پایلې ترلاسه کړو:

[روټ @ لینکسبکس ~] # کارول شوی او اندین
[روټ @ لینکسبکس ~] # پاسواډ اوینین
د کارونکي anduin پټنوم بدلول. نوئ پټ نوم: د ایل پاسورډ
د ناسم پاسورډ: پاسورډ د قاموس تایید نه تیروي - دا په قاموس کې د یوې کلمې پراساس دی. نوی پټنوم بیا ولیکئ: د ایل پاسورډ
passwd - د تصدیق ټول توکی په بریالیتوب سره نوي شوي.

په بل عبارت ، سیسټم کافي تخلیقی دی چې د پټنوم ضعفونه په ګوته کړي.

[روټ @ لینکسبکس ~] # پاسواډ اوینین
د کارونکي anduin پټنوم بدلول. نوئ پټ نوم: لوړ غرونه 02
نوی پټنوم بیا ولیکئ: لوړ غرونه 02
passwd - د تصدیق ټول توکی په بریالیتوب سره نوي شوي.

د پالیسۍ لنډیز

  • په ښکاره ډول ، د پټنوم پیچلتیا پالیسي ، او همدارنګه د 5 حروف لږترلږه اوږدوالی ، په سینټوس کې د ډیفالټ لخوا فعال شوی. په دیبیان کې ، د پیچلتیا چیک د عادي کاروونکو لپاره کار کوي کله چې دوی د قوماندې په غوښتنه کولو سره د خپل رمز بدلولو هڅه کوي پاسورډ. د کارونکي لپاره د ريښي، دلته هیڅ پخوانی محدودیتونه نشته.
  • دا مهم دي چې بیلابیل اختیارونه وپیژنئ چې موږ یې په فایل کې اعلان کولی شو /etc/login.defs بولۍ کارول سړی login.defs.
  • همچنان ، د فایلونو مینځپانګه وګورئ / etc / default / useradd، او هم په دیبیان کې /etc/adduser.conf.

د سیسټم کارونکي او ډلې

د عامل سیسټم نصبولو په پروسه کې ، د کاروونکو او ډلو بشپړه لړۍ رامینځته کیږي کوم چې یو ادب معیاري کارونکي او بل د سیسټم کاروونکي بولي. موږ غوره ګ themو چې دوی ته د سیسټم کارونکي او ډلې ووایو.

د یوې قاعدې په توګه ، د سیسټم کارونکي لري a UID <1000 او ستاسو حسابونه د عامل سیسټم مختلف غوښتنلیکونو لخوا کارول کیږي. د مثال په توګه ، د کارونکي حساب «ډډSqu د سکویډ برنامې لخوا کارول کیږي ، پداسې حال کې چې word lp »حساب د ټکي یا متن سمون کونکو څخه د چاپ کولو پروسې لپاره کارول کیږي.

که موږ غواړو هغه کاروونکي او ډلې لیست کړئ ، موږ دا د امرونو په کارولو سره ترسره کولی شو:

[روټ @ لینکسبکس ~] # پيشو / وغيره / پاس ډبلیو
[روټ @ لینکسبکس ~] # پیشو / نور / ډله

دا د سپارښتنې وړ نده چې د سیسټم کاروونکي او ډلې بدل کړئ. 😉

د هغې د اهمیت له امله ، موږ دا تکرار کوو چې په CentOS کې ، FreeBSD، او نور عملیاتي سیسټمونه ، سیستم - ګروپ رامینځته شوی څرخ د لاسرسي اجازه لکه څنګه چې د ريښي یوازې د دې ګروپ پورې اړوند سیسټم کاروونکو ته. ولولئ /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.htmlاو /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. دیبیان یوه ډله نه شامله کوي څرخ.

د کارونکي او ډلې حسابونو اداره کول

د کاروونکي او ډلې حسابونو اداره کولو څرنګوالي زده کولو غوره لاره دا ده:

  • د پورته لیست شوي حکمونو کارول تمرین کول ، په غوره توګه په مجازی ماشین کې او مخکې د کښنيز اوزارونو کارول.
  • د لارښودونو مشوره کول یا د انسان مخونه په انټرنیټ کې د نورو معلوماتو لټون کولو دمخه د هرې قوماندې.

تمرین د حق ترټولو غوره معیار دی.

بیا پیل

تر دې دمه ، د سیمه ایزو کاروونکو او ګروپونو اداره کولو لپاره وقف شوی یوه مقاله کافي ندي. د پوهې کچې چې هر مدیر یې ترلاسه کوي د دې او نورو اړونده موضوعاتو په اړه د زده کړې او ژورې کیدو په شخصي ګټو پورې اړه لري. دا د ټولو اړخونو سره ورته دی چې موږ د مقالو په لړ کې رامینځته کړی د SME شبکې. په ورته ډول تاسو کولی شئ دا نسخه په pdf کې خوند واخلئ دلته

بل تحویلي

موږ به د ځایی کاروونکو په وړاندې د اعتبار سره خدماتو پلي کولو ته دوام ورکړو. بیا به موږ د برنامه پراساس د فوري پیغام رسولو خدمت نصب کړو پروسوډی.

ژر به سره وګورو!


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

4 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   HO2GI dijo

    سلام ، عالي مقاله ، زه له تاسو څخه پوښتنه کوم چې چیرته کار کوم ، چاپګر ډیر شریک شوي ، ستونزه په کپ کې ده ، ځینې وختونه ځړول کیږي او دوی نشی چاپولی ځکه چې زه دوی ته اجازه درکوم چې د دې د بیا پیل کولو لپاره یې ورکړم (ځکه چې ډیری وختونه موږ کار کوو. نورې ساحې) پرته له دې چې د رمز ریښې ورکړم ځکه چې یوازینۍ لاره مې وموندله چې دا بدل کړم ترڅو یو مشخص کاروونکی وکولی شي دا بیا پیل کړي.
    له دمخه له تاسو څخه ډیره مننه.

    1.    فیدوکو dijo

      سلامونه HO2GI !. د مثال په توګه ، راځئ چې کارونکي ووایو لیګلاسونه تاسو غواړئ ورته اجازه ورکړئ یوازې د CUPS خدمت بیا پیل کړئ ، البته د کمانډ کارولو سره سوډو، کوم چې باید نصب شي:
      [روټ @ لینکسبکس ~] # ویسوډو

      سیمیډ عرف توضیحات

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups restart

      د کارونکي امتیاز ځانګړتیا

      ریښه ALL = (ټول: ټول) ټول
      لیګلاس ټول = RESTARTCUPS

      فایل کې شوي بدلونونه خوندي کړئ سوډرونه. د کارونکي په توګه ننوتل لیګلاس:

      لیګولاس @ لینکس باکس: ~ do sudo /etc/init.d/squid بیا رادیو
      [sudo] د لیګلاوس لپاره پاسورډ:
      بښنه غواړو ، کارونکي لیګلاوس ته اجازه نشته چې '/etc/init.d/postfix بیا لوډ کړي' په linuxbox.fromlinux.fan کې د ریښې په توګه اجرا کړي.
      لیګولاس @ لینوکس بوکس: do $ sudo /etc/init.d/cups بیا پیلول
      [sudo] د لیګلاوس لپاره پاسورډ:
      [Ok] د عام یونکس چاپ کولو سیسټم بیا پیلول: کپسډ.

      ما وبخښه که چیرې پروموټ په CentOS باندې توپیر ولري ، ځکه چې زه د هغه څه په واسطه لارښود شوی یم چې ما یوازې په دیبین څیزي باندې کړی. ؛-). چیرته چې زه اوس مهال یم ، زه په لاس کې هیڅ CentOS نلرم.

      له بلې خوا ، که تاسو غواړئ د بشپړ CUPS مدیرانو په توګه د نورو سیسټم کاروونکي اضافه کړئ - دوی کولی شي دا غلط ترتیب کړي - تاسو دوی د ډلې غړي کړئ lpadmin، کوم چې رامینځته کیږي کله چې تاسو CUPS نصب کړئ.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI dijo

        ډیره مننه یو زره فیکو زه به همدا اوس هڅه وکړم.

  2.   فیدوکو dijo

    HO2GI ، په CentOS / ریډ کې - دا به وي:

    [روټ @ لینکسبکس ~] # ویسوډو

    خدمتونه

    Cmnd_Alias ​​RESTARTCUPS = / usr / bin / systemctl د بیا پیوستون کپونه ، / usr / bin / systemctl حالت کپونه

    روټ ته اجازه ورکړئ چیرې چې هرډول आदेशونه پرمخ بوځي

    ریښه ALL = (ټول) ټول
    لیګلاس ټول = RESTARTCUPS

    بدلونونه خوندي کړئ

    [روټ @ لینکسبکس ~] # وتل

    buzz @ sysadmin: ~ sh ssh لیگلاس @ لینکس باکس
    لیګولاس @ لینوکس بوکس

    [لیګولاس @ لینکسبکس ~] $ سوډو سیسټمسټال د بیا پیلیدونکي کپونه

    موږ باور لرو چې تاسو د ځایی سیسټم څخه عادي لیک ترلاسه کړی دی
    اداره کونکی. دا عموما دې دریو شیانو ته ښکته کیږي:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] د لیګلاوس لپاره پاسورډ:
    [لیګولاس @ لینکسبکس ~] $ د سوډو سیسټم سیټل حالت جام
    s cups.service - CUPS د چاپ خدمت
    لوډ شوی: کښل شوی (/usr/lib/systemd/system/cups.service؛ فعال شوی؛ پلورونکی مخکینی: فعال شوی)
    فعاله: فعاله (روانه ده) د مارچ 2017-04-25 22:23:10 EDT؛ 6s مخکې
    اصلي PID: 1594 (cupsd)
    سي ګروپ: /system.slice/cups.service
    └─1594 / usr / sbin / cupsd -f

    [لیګولاس @ لینکسبکس ~] $ sudo systemctl د بیا پیلولو سکویډ.رویس
    بښنه غواړو ، کارونکي لیګلاوس ته اجازه نه ورکول کیږي چې په لینکس باکس کې د ریښې په توګه د '/ bin / systemctl د بیا پیل کولو squid.service' اعدام کړي.
    [لیګولاس @ لینکسبکس ~] $ وتل