Managementul utilizatorilor și grupurilor locale - rețele IMM-uri

Indice general al seriei: Rețele de calculatoare pentru IMM-uri: Introducere

Bună ziua prieteni și prieteni!

Acest articol este o continuare a Autentificare Squid + PAM în rețele CentOS 7- SMB.

Sistemele de operare UNIX / Linux oferă un mediu REAL multi-utilizator, în care mulți utilizatori pot lucra simultan pe același sistem și pot partaja resurse precum procesoare, hard disk-uri, memorie, interfețe de rețea, dispozitive inserate în sistem etc.

Din acest motiv, administratorii de sistem sunt obligați să gestioneze continuu utilizatorii și grupurile sistemului și să formuleze și să implementeze o bună strategie de administrare.

În continuare vom vedea foarte concis aspectele generale ale acestei activități importante în Administrarea sistemelor Linux.

Uneori este mai bine să oferi Utilitate și apoi Necesitate.

Acesta este un exemplu tipic al acestei ordine. Mai întâi arătăm cum să implementați un serviciu Internet Proxy cu Squid și utilizatorii locali. Acum trebuie să ne întrebăm:

• ¿cum pot implementa servicii de rețea pe o rețea LAN UNIX / Linux de la utilizatorii locali și cu un securitate acceptabilă?.

Nu contează că, în plus, clienții Windows sunt conectați la această rețea. Contează doar nevoia de servicii de care are nevoie rețeaua IMM-urilor și care este cel mai simplu și mai ieftin mod de implementare a acestora.

• ¿Poate că mecanismul de autentificare la nașterea ARPANET, Internet și alte rețele WEID Area NReŃeaua o Llocal Area NReŃeaua inițialele s-au bazat pe LDAP, Directory Service, sau în Microsoft LSASS, sau în Active Directory, sau de Kerberos?, doar pentru a menționa câteva.

O întrebare bună pe care toată lumea ar trebui să-și caute răspunsurile. Vă invit să căutați termenul «autentificare»Pe Wikipedia în limba engleză, care este de departe cea mai completă și consecventă în ceea ce privește conținutul original -în limba engleză-.

Conform Istoriei deja aproximativ vorbind, primul a fost autentificare y Autorizare local, după NIS Sistem de informații de rețea dezvoltat de Sun Microsystem și cunoscut și sub numele de Pagini Aurii o yp, și apoi LDAP Protocol schematic de acces la registru.

Ce ziceti "Securitate acceptabilă»Apare pentru că de multe ori ne facem griji cu privire la securitatea rețelei noastre locale, în timp ce accesăm Facebook, Gmail, Yahoo etc. - pentru a menționa doar câteva - și ne confidențialitatea. Și uitați-vă la numărul mare de articole și documentare care privesc Fără confidențialitate pe internet ele există

Notă despre CentOS și Debian

CentOS / Red Hat și Debian au propria lor filozofie cu privire la modul de implementare a securității, ceea ce nu este fundamental diferit. Cu toate acestea, afirmăm că ambele sunt foarte stabile, sigure și fiabile. De exemplu, în CentOS contextul SELinux este activat în mod implicit. În Debian trebuie să instalăm pachetul selinux-de bază, ceea ce indică faptul că putem folosi și SELinux.

În CentOS, FreeBSD, și alte sisteme de operare, se creează grupul -sistem- roată pentru a permite accesul ca rădăcină numai utilizatorilor de sistem care aparțin grupului respectiv. Citit /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Și /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian nu încorporează un grup roată.

Fișiere principale și comenzi

înregistrări

Principalele fișiere legate de gestionarea utilizatorilor locali într-un sistem de operare Linux sunt:

CentOS și Debian

• / Etc / passwd: informații despre contul de utilizator.
• / etc / shadow- Informații de securitate pentru conturile de utilizator.
• / etc / group: informații despre cont de grup.
• / etc / gshadow- Informații de securitate pentru conturile de grup.
• / etc / implicit / useradd: valori implicite pentru crearea contului.
• / etc / skel /: director care conține fișierele implicite care vor fi incluse în directorul HOME al noului utilizator.
• /etc/login.defs- Suită de configurare a securității parolei.

Debian

• /etc/adduser.conf: valori implicite pentru crearea contului.

Comenzi pe CentOS și Debian

[root @ linuxbox ~] # chpasswd -h # Actualizați parolele în modul batch
Mod de utilizare: chpasswd [opțiuni] Opțiuni: -c, --crypt-method METODĂ metoda criptă (una dintre NONE DES MD5 SHA256 SHA512) -e, --criptate parolele furnizate sunt criptate -h, --help arată acest lucru ajutați să solicitați și să terminați -m, --md5 criptează parola în clar folosind algoritmul MD5 -R, --root director CHROOT_DIR pentru a chroot în -s, --sha-rounds numărul de runde SHA pentru algoritmii de criptare SHA * # lot- Executați comenzi atunci când încărcarea sistemului permite. Cu alte cuvinte # atunci când sarcina medie scade sub 0.8 sau valoarea specificată atunci când se invocă # comanda atd. Mai multe informatii om lot.

[root @ linuxbox ~] # gpasswd -h # Declarați administratorii din / etc / group și / etc / gshadow
Cum se folosește: gpasswd [opțiuni] GROUP Opțiuni: -a, --add USER adaugă USER la GROUP -d, --delete USER elimină USER din GROUP -h, --help afișează acest mesaj de ajutor și se termină -Q, - -root director CHROOT_DIR pentru a chroot în -r, --delete-parola elimina parola GROUP -R, - restriction restricționează accesul la GROUP pentru membrii săi -M, --members USER, ... setează lista membrilor GROUP -A, --administrators ADMIN, ... setează lista administratorilor GROUP Cu excepția opțiunilor -A și -M, opțiunile nu pot fi combinate.

[root @ linuxbox ~] # groupadd -h    # Creați un grup nou
Cum se folosește: groupadd [opțiuni] GROUP Options: -f, --force terminați dacă grupul există deja și anulați -g dacă GID este deja utilizat -g, --gid GID utilizați GID pentru grupul nou - h, --help afișează acest mesaj de ajutor și se termină -K, --key KEY = VALUE suprascrie valorile implicite ale „/etc/login.defs” -o, --non-unique vă permite să creați grupuri cu GID (nu unic) ) dublează -p, --password PASSWORD utilizează această parolă criptată pentru noul grup -r, --system creează un cont de sistem -R, --root director CHROOT_DIR pentru a chroot în

[root @ linuxbox ~] # grupdel -h # Ștergeți un grup existent
Cum se folosește: groupdel [opțiuni] Opțiuni GROUP: -h, --help afișează acest mesaj de ajutor și termină -R, --root directorul CHROOT_DIR pentru a-l chroot

[root @ linuxbox ~] # meme de grup -h # Declarați administratorii din grupul principal al unui utilizator
Cum se folosește: groupmems [opțiuni] [acțiune] Opțiuni: -g, --group GROUP schimbă numele grupului în loc de grupul utilizatorului (se poate face doar de către administrator) -R, --root director CHROOT_DIR pentru a chroot în Acțiuni: -a, --add USER adaugă USER la membrii grupului -d, --delete USER elimină USER din lista membrilor grupului -h, --help afișează acest mesaj de ajutor și se termină -p, - purge purge toți membrii grupului -l, --list lista membrilor grupului

[root @ linuxbox ~] # grup mod -h # Modificați definiția unui grup
Cum se folosește: groupmod [opțiuni] GROUP Options: -g, --gid GID schimbă identificatorul grupului în GID -h, --help afișează acest mesaj de ajutor și se termină -n, --new-name NEW_Group schimbă numele un NEW_GROUP -o, --non-unique permite utilizarea unui duplicat GID (nu unic) -p, --password PASSWORD schimbă parola în PASSWORD (criptat) -R, --root CHROOT_DIR director pentru a chroot în

[root @ linuxbox ~] # grpck -h # Verificați integritatea unui fișier de grup
Cum se folosește: grpck [opțiuni] [grup [gshadow]] Opțiuni: -h, --help afișează acest mesaj de ajutor și ieșire -r, - numai citire afișează erori și avertismente, dar nu modifică fișierele -R, - -root CHROOT_DIR director pentru a chroot în -s, - ordonați intrările de sortare după UID

[root @ linuxbox ~] # grpconv
# Comenzi asociate: pwconv, pwunconv, grpconv, grpunconv
# Folosit pentru a converti la și de la parole și grupuri shadow
# Cele patru comenzi operează pe fișiere / etc / passwd, / etc / group, / etc / shadow, 
# și / etc / gshadow. Pentru mai multe informații om grpconv.

[root @ linuxbox ~] # sg -h # Executați o comandă cu un alt ID de grup sau GID
Cum se folosește: sg group [[-c] order]

[root @ linuxbox ~] # nougrp -h # Schimbați GID-ul curent în timpul unei autentificări
Cum se folosește: newgrp [-] [group]

[root @ linuxbox ~] # noi utilizatori -h # Actualizați și creați utilizatori noi în modul batch
Mod de utilizare: noi utilizatori [opțiuni] Opțiuni: -c, --crypt-method METODĂ metoda criptă (una dintre NONE DES MD5 SHA256 SHA512) -h, --help afișează acest mesaj de ajutor și ieși din -r, --system creați conturi de sistem -R, --root director CHROOT_DIR pentru a chroot în -s, --sha-rounds numărul de runde SHA pentru algoritmi de criptare SHA *

[root @ linuxbox ~] # pwck -h # Verificați integritatea fișierelor cu parole
Cum se folosește: pwck [opțiuni] [passwd [umbră]] Opțiuni: -h, --help afișează acest mesaj de ajutor și părăsește -q, --quiet raportează numai erorile -r, - erori de afișare numai în citire dar nu modificați fișierele -R, --root director CHROOT_DIR pentru a chroot în -s, --sort sortare intrări după UID

[root @ linuxbox ~] # useradd -h # Creați un nou utilizator sau actualizați # informațiile implicite ale noului utilizator
Cum se folosește: useradd [opțiuni] USER useradd -D useradd -D [opțiuni] Opțiuni: -b, --base-dir BAS_DIR director de bază pentru directorul principal al noului cont -c, --comment COMENTARIU GECOS câmp din cont nou -d, --home-dir PERSONAL_DIR directorul principal al contului nou -D, --defaults tipărește sau modifică setarea implicită a useradd -e, --expiredate EXPIRY_DATE data de expirare a contului nou -f, - inactiv INACTIV perioada de inactivitate a parolei noului cont
delgroup
  -g, --gid Nume GRUP sau identificator al grupului primar al noului cont -G, --groups Lista GRUPURI a grupurilor suplimentare ale noului cont -h, --help afișează acest mesaj de ajutor și se termină -k, - skel DIR_SKEL folosește acest director alternativ „schelet” -K, --key KEY = VALUE suprascrie valorile implicite ale „/etc/login.defs” -l, --no-log-init nu adaugă utilizatorul la bazele de date din lastlog și faillog -m, --create-home creează directorul home al utilizatorului -M, --no-create-home nu creează directorul home al utilizatorului -N, --no-user-group nu creează un grup cu același nume ca și utilizatorul -o, --non-unique permite crearea utilizatorilor cu identificatori duplicat (non-unici) (UID) -p, --password parola criptată PASSWORD a noului cont -r, --system creează un cont system -R, --root directorul CHROOT_DIR pentru a chroot în -s, --shell CONSOLE acces la consola noului cont -u, --uid identificator de utilizator UID al noului cont -U, --user-group createun grup cu același nume ca utilizator -Z, --selinux-utilizator USER_SE utilizează utilizatorul specificat pentru utilizatorul SELinux

[root @ linuxbox ~] # userdel -h # Ștergeți contul unui utilizator și fișierele conexe
Mod de utilizare: userdel [opțiuni] Opțiuni UTILIZATOR: -f, --forțează forțarea unor acțiuni care ar eșua altfel, de exemplu, eliminarea utilizatorului încă conectat sau a fișierelor, chiar dacă nu sunt deținute de utilizator -h, --help afișează acest mesaj Ajutor și finalizare -r, - eliminați eliminarea directorului de acasă și a căsuței poștale -R, --root director CHROOT_DIR pentru a chroot în -Z, --selinux-user eliminați orice mapare SELinux utilizator pentru utilizator

[root @ linuxbox ~] # utilizator mod -h # Modificați un cont de utilizator
Cum se folosește: usermod [opțiuni] Opțiuni UTILIZATOR: -c, --comment COMENTĂ nouă valoare a câmpului GECOS -d, --home PERSONAL_DIR nou director personal al noului utilizator -e, --expiredate EXPIR_DATE setează data expirării account to EXPIRED_DATE -f, --inactive INACTIVE setează timpul de repaus după expirarea contului la INACTIVE -g, --gid GROUP forțează utilizarea GROUP pentru noul cont de utilizator -G, --groups lista GRUPURI de grupuri suplimentare -a, --Append adăugați utilizatorul la GRUPURILE suplimentare menționate de opțiunea -G fără a-l elimina din alte grupuri -h, --help afișează acest mesaj de ajutor și terminați -l, - conectați-vă din nou la NAME nume pentru utilizator -L, --lock blochează contul de utilizator -m, --move-home mută conținutul directorului home în directorul nou (se utilizează numai împreună cu -d) -o, - non-unic permite utilizarea UID-uri duplicate (non-unice) -p, --password PASSWORD utilizați parola criptată pentru noul cont -R, --root CHR Director OOT_DIR pentru a chroot în -s, --shell CONSOLE consola de acces nouă pentru contul de utilizator -u, --uid UID forțează utilizarea UID pentru noul cont de utilizator -U, - deblocare deblochează contul de utilizator -Z, --selinux-user SEUSER nouă mapare a utilizatorului SELinux pentru contul de utilizator

Comenzi în Debian

Debian diferențiază între useradd y Adăugați utilizator. Recomandă utilizarea administratorilor de sistem Adăugați utilizator.

root @ sysadmin: / home / xeon # Adăugați utilizator -h # Adăugați un utilizator la sistem
root @ sysadmin: / home / xeon # Adăugare grup -h # Adăugați un grup la sistem
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup GRUP | --gid ID] [--disabled-password] [--disabled-login] USER Adaugă un utilizator normal adduser --sistem [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ --Uid ID] [--gecos GECOS] [--group | --grup GRUP | --gid ID] [--disabled-password] [--disabled-login] USER Adăugați un utilizator din sistemul adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP Adăugați un grup de utilizatori addgroup --system [--gid ID] GROUP Adăugați un grup din sistemul adduser USER GROUP Adăugați un utilizator existent la un grup existent opțiuni generale: --quiet | -q nu afișează informații despre proces la ieșirea standard --force-badname permite numele utilizatorilor care nu se potrivesc cu variabila de configurare NAME_REGEX --help | -h mesaj de utilizare --versiune | -v numărul versiunii și drepturile de autor --conf | -c FILE utilizează FILE ca fișier de configurare

root @ sysadmin: / home / xeon # deluser -h # Eliminați un utilizator normal din sistem
root @ sysadmin: / home / xeon # delgroup -h # Eliminați un grup normal din sistem
deluser USER elimină un utilizator normal din exemplul sistemului: deluser miguel --remove-home elimină directorul de acasă al utilizatorului și coada de e-mail. --remove-all-files elimină toate fișierele deținute de utilizator. - Backup face backup pentru fișiere înainte de ștergere. - backup-to director de destinație pentru copii de rezervă. Directorul curent este utilizat în mod implicit. --sistemul elimină numai dacă sunteți utilizator al sistemului. delgroup GROUP deluser --group GROUP elimină un grup din exemplu de sistem: deluser --group students --sistemul elimină numai dacă este un grup din sistem. - only-if-goal eliminați numai dacă nu mai au membri. deluser USER GROUP elimină utilizatorul din exemplul grupului: deluser miguel students opțiuni generale: --quiet | -q nu oferă informații despre proces pe stdout --help | -h mesaj de utilizare --versiune | -v numărul versiunii și drepturile de autor --conf | -c FILE utilizează FILE ca fișier de configurare

Politicile

Există două tipuri de politici pe care trebuie să le luăm în considerare atunci când creăm conturi de utilizator:

• Politicile contului utilizatorului
• Politici privind îmbătrânirea parolei

Politicile contului utilizatorului

În practică, componentele fundamentale care identifică un cont de utilizator sunt:

• Nume cont utilizator - utilizator LOGIN, nu numele și prenumele.
• Numele de utilizator - UID.
• Grupul principal căruia îi aparține - GID.
• Parola - parola.
• Permise de acces - permisiuni de acces.

Principalii factori de luat în considerare la crearea unui cont de utilizator sunt:

• Durata de timp în care utilizatorul va avea acces la sistemul de fișiere și la resurse.
• Timpul în care utilizatorul trebuie să-și schimbe parola - periodic - din motive de securitate.
• Durata de timp în care autentificarea -login- va rămâne activă.

De asemenea, atunci când atribuiți un utilizator al său UID y parola, trebuie să ținem cont de faptul că:

• Valoarea întregului UID trebuie să fie unic și nu negativ.
• El parola trebuie să aibă o lungime și o complexitate adecvate, astfel încât să fie greu de descifrat.

Politici privind îmbătrânirea parolei

Pe un sistem Linux, parola unui utilizator nu i se atribuie un timp de expirare implicit. Dacă folosim politici de îmbătrânire a parolei, putem schimba comportamentul implicit și la crearea utilizatorilor, politicile definite vor fi luate în considerare.

În practică, există doi factori de luat în considerare la stabilirea vârstei unei parole:

• Securitate.
• Comoditatea utilizatorului.

O parolă este mai sigură cu cât perioada de expirare este mai scurtă. Există un risc mai mic ca acesta să fie scurs către alți utilizatori.

Pentru a stabili politici de îmbătrânire a parolei, putem folosi comanda Schimbare:

[root @ linuxbox ~] # chage
Mod de utilizare: chage [opțiuni] Opțiuni UTILIZATOR: -d, --lastday LAST_DAY setează ziua ultimei modificări a parolei la LAST_DAY -E, --expiredate CAD_DATE setează data de expirare la CAD_DATE -h, --help afișează acest mesaj de ajutor și se termină -I, --inactive INACTIVE dezactivează contul după INACTIVE zile de la data expirării -l, --list arată informațiile despre vârsta contului -m, --mindays MINDAYS setează numărul zile minime înainte de schimbarea parolei în MIN_DAYS -M, --maxdays MAX_DAYS setează numărul maxim de zile înainte de schimbarea parolei în MAX_DAYS -R, --root directorul CHROOT_DIR pentru a se transforma în -W, --warndays WARNING_DAYS setează zile de preaviz până la DAYS_NOTICE

În articolul precedent am creat mai mulți utilizatori ca exemplu. Dacă dorim să cunoaștem valorile de vârstă ale contului utilizatorului cu LOGIN Galadriel:

[root @ linuxbox ~] # chage --list galadriel
Ultima modificare a parolei: 21 aprilie 2017 Parola expiră: niciodată Parolă inactivă: niciodată Contul expiră: niciodată Numărul minim de zile între schimbarea parolei: 0 Numărul maxim de zile între schimbarea parolei: 99999 Numărul de zile de preaviz înainte parola expiră: 7

Acestea au fost valorile implicite pe care le avea sistemul atunci când am creat contul de utilizator folosind utilitarul de administrare grafică „Utilizatori și grupuri”:

Pentru a modifica valorile implicite de îmbătrânire a parolei, este recomandat să editați fișierul /etc/login.defs y modificați cantitatea minimă de valori de care avem nevoie. În acel fișier vom modifica doar următoarele valori:

# Comenzi pentru îmbătrânirea parolei: # # PASS_MAX_DAYS Numărul maxim de zile în care poate fi utilizată o parolă. # PASS_MIN_DAYS Numărul minim de zile permise între modificările parolei. # PASS_MIN_LEN Lungimea minimă acceptabilă a parolei. # PASS_WARN_AGE Numărul de zile de avertisment dat înainte de expirarea parolei. # PASS_MAX_DAYS 99999 #! Mai mult de 273 de ani! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

pentru valorile pe care le-am ales în funcție de criteriile și nevoile noastre:

PASS_MAX_DAYS 42 # 42 zile continue pe care le puteți utiliza parola
PASS_MIN_DAYS 0 # parola poate fi schimbată în orice moment PASS_MIN_LEN 8 # lungimea minimă a parolei PASS_WARN_AGE 7 # Numărul de zile în care sistemul vă avertizează # trebuie să modificați parola înainte ca aceasta să expire.

Lăsăm restul fișierului așa cum a fost și vă recomandăm să nu modificați alți parametri până nu știm ce facem.

Noile valori vor fi luate în considerare atunci când creăm noi utilizatori. Dacă schimbăm parola unui utilizator deja creat, valoarea lungimii minime a parolei va fi respectată. Dacă folosim comanda passwd în loc de utilitarul grafic și scriem că parola va fi «legolas17«, Sistemul se plânge ca instrumentul grafic« Utilizatori și grupuri »și răspunde că«Cumva parola citește numele de utilizator»Deși până la urmă accept acea parolă slabă.

[root @ linuxbox ~] # passwd legolas
Schimbarea parolei utilizatorului legolas. Parolă Nouă: portar               # are mai puțin de 7 caractere
PAROLĂ INCORECTĂ: Parola are mai puțin de 8 caractere Reintroduceți parola nouă: legolas17
Parolele nu se potrivesc.               # Logică nu?
Parolă nouă: legolas17
PAROLĂ INCORECTĂ: Cumva, parola citește numele de utilizator Reintroduceți noua parolă: legolas17
passwd: toate jetoanele de autentificare au fost actualizate cu succes.

Incurajăm „slăbiciunea” declarării unei parole care include fișierul LOGIN a utilizatorului. Aceasta este o practică nerecomandată. Modul corect ar fi:

[root @ linuxbox ~] # passwd legolas
Schimbarea parolei utilizatorului legolas. Parolă Nouă: highmountains01
Rescrie noua parola: highmountains01
passwd: toate jetoanele de autentificare au fost actualizate cu succes.

Pentru a modifica valorile de expirare ale parola de Galadriel, folosim comanda chage și trebuie doar să schimbăm valoarea lui PASS_MAX_DAYS de la 99999 la 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Ultima modificare a parolei: 21 aprilie 2017 Parola expiră: 02 iunie 2017 Parolă inactivă: niciodată Contul expiră: niciodată Numărul minim de zile între schimbarea parolei: 0 Numărul maxim de zile între schimbarea parolei: 42
Numărul de zile de preaviz înainte de expirarea parolei: 7

Și așa mai departe, putem schimba manual parolele utilizatorilor deja creați și valorile expirării acestora manual, folosind instrumentul grafic «Utilizatori și grupuri» sau folosind un script - scenariu care automatizează unele dintre lucrările non-interactive.

• În acest fel, dacă creăm utilizatorii locali ai sistemului într-un mod nerecomandat de cele mai comune practici în materie de securitate, putem schimba acel comportament înainte de a continua să implementăm mai multe servicii bazate pe PAM..

Dacă creăm utilizatorul anduin cu LOGIN «anduin»Și parola«Parola»Vom obține următorul rezultat:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Schimbarea parolei utilizatorului anduin. Parolă Nouă: Parola
PAROLĂ INCORECTĂ: Parola nu trece verificarea dicționarului - Se bazează pe un cuvânt din dicționar. Rescrie noua parola: Parola
passwd - Toate jetoanele de autentificare au fost actualizate cu succes.

Cu alte cuvinte, sistemul este suficient de creativ pentru a indica punctele slabe ale unei parole.

[root @ linuxbox ~] # passwd anduin
Schimbarea parolei utilizatorului anduin. Parolă Nouă: highmountains02
Rescrie noua parola: highmountains02
passwd - Toate jetoanele de autentificare au fost actualizate cu succes.

Rezumatul politicii

• Este clar că politica de complexitate a parolei, precum și lungimea minimă de 5 caractere, este activată implicit în CentOS. Pe Debian, verificarea complexității funcționează pentru utilizatorii normali atunci când încearcă să-și schimbe parola invocând comanda passwd. Pentru utilizator rădăcină, nu există limitări implicite.
• Este important să cunoaștem diferitele opțiuni pe care le putem declara în fișier /etc/login.defs folosind comanda om login.defs.
• De asemenea, verificați conținutul fișierelor / etc / implicit / useraddși, de asemenea, în Debian /etc/adduser.conf.

Utilizatori și grupuri de sistem

În procesul de instalare a sistemului de operare, sunt create o serie întreagă de utilizatori și grupuri pe care, o literatură le numește Utilizatori standard și altul Utilizatori de sistem. Preferăm să le numim Utilizatori și grupuri de sistem.

De regulă, utilizatorii de sistem au un UID <1000 iar conturile dvs. sunt utilizate de diferite aplicații ale sistemului de operare. De exemplu, contul de utilizator «calmar»Este utilizat de programul Squid, în timp ce contul« lp »este utilizat pentru procesul de tipărire de la editori de cuvinte sau text.

Dacă dorim să listăm acei utilizatori și grupuri, o putem face folosind comenzile:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # cat / etc / group

Nu este deloc recomandat să modificați utilizatorii și grupurile de sistem. 😉

Datorită importanței sale, repetăm ​​că în CentOS, FreeBSD, și alte sisteme de operare, se creează grupul -sistem- roată pentru a permite accesul ca rădăcină numai utilizatorilor de sistem care aparțin grupului respectiv. Citit /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Și /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian nu încorporează un grup roată.

Gestionarea conturilor de utilizator și de grup

Cel mai bun mod de a afla cum să gestionați conturile de utilizator și de grup este:

• Practicați utilizarea comenzilor enumerate mai sus, de preferință într-o mașină virtuală și înainte pentru a utiliza instrumente grafice.
• Consultarea manualelor sau man pages din fiecare comandă înainte de a căuta orice alte informații pe Internet.

Practica este cel mai bun criteriu al adevărului.

Rezumat

De departe, un singur articol dedicat gestionării utilizatorilor și grupurilor locale nu este suficient. Gradul de cunoștințe pe care fiecare administrator îl dobândește va depinde de interesul personal de a învăța și de a aprofunda acest subiect și alte subiecte conexe. Este la fel ca la toate aspectele pe care le-am dezvoltat în seria de articole Rețele IMM-uri. În același mod vă puteți bucura de această versiune în pdf aici

Următoarea livrare

Vom continua să implementăm servicii cu autentificare împotriva utilizatorilor locali. Vom instala apoi un serviciu de mesagerie instant bazat pe program Prosodie.

Ne vedem în curând!