Menaxhimi lokal i përdoruesit dhe grupit - Rrjetet e NVM-ve

Indeksi i përgjithshëm i serisë: Rrjetet kompjuterike për NVM-të: Hyrje

Përshëndetje miq dhe miq!

Ky artikull është një vazhdim i Vërtetimi i Squid + PAM në CentOS 7- Rrjetet SMB.

Sistemet operative UNIX / Linux ofrojnë një mjedis REAL me shumë përdorues, në të cilin shumë përdorues mund të punojnë njëkohësisht në të njëjtin sistem dhe të ndajnë burime të tilla si procesorë, disqe të ngurta, memorje, ndërfaqe rrjeti, pajisje të futura në sistem, etj.

Për këtë arsye, Administratorët e Sistemit janë të detyruar të menaxhojnë vazhdimisht përdoruesit dhe grupet e sistemit dhe të formulojnë dhe zbatojnë një strategji të mirë administrimi.

Më tej do të shohim shumë koncize aspektet e përgjithshme të kësaj veprimtarie të rëndësishme në Administrimin e Sistemeve Linux.

Ndonjëherë është më mirë të ofrosh Utility dhe pastaj Nevojë.

Ky është një shembull tipik i këtij rendi. Së pari tregojmë si të implementoni një shërbim Proxy në Internet me Squid dhe përdoruesit lokalë. Tani duhet ta pyesim veten:

  • ¿si mund të implementoj shërbimet e rrjetave në një LAN UNIX / Linux nga përdoruesit lokalë dhe me një siguri e pranueshme?.

Nuk ka rëndësi që, përveç kësaj, klientët e Windows janë të lidhur në këtë rrjet. Vetëm nevoja për të cilat shërbime ka nevojë Rrjeti i NVM-ve dhe cila është mënyra më e thjeshtë dhe më e lirë për t'i zbatuar ato ka rëndësi.

Një pyetje e mirë që të gjithë duhet të kërkojnë përgjigjet e tyre. Unë ju ftoj të kërkoni termin «vërtetim»Në Wikipedia në anglisht, e cila është deri tani më e plotë dhe e qëndrueshme për sa i përket përmbajtjes origjinale-në anglisht-.

Sipas Historisë tashmë afërsisht, së pari ishte vërtetim y Autorizimi lokal, pas NIS Sistemi i informacionit të rrjetit zhvilluar nga Sun Microsystem dhe i njohur gjithashtu si Faqet e Verdha o yp, dhe pastaj LDAP Protokolli i qasjes së lehtë në drejtori.

Po për "Siguria e pranueshme»Vie sepse shumë herë shqetësohemi për sigurinë e rrjetit tonë lokal, ndërsa kemi qasje në Facebook, Gmail, Yahoo, etj - për të përmendur vetëm disa - dhe ne japim Privatësinë Tonë në to. Dhe shikoni në numrin e madh të artikujve dhe dokumentarëve që kanë të bëjnë me Asnjë privatësi në internet ato ekzistojnë

Shënim për CentOS dhe Debian

CentOS / Red Hat dhe Debian kanë filozofinë e tyre se si të zbatojnë sigurinë, e cila nuk është krejtësisht e ndryshme. Sidoqoftë, ne pohojmë se të dy janë shumë të qëndrueshëm, të sigurt dhe të besueshëm. Për shembull, në CentOS konteksti SELinux është aktivizuar si parazgjedhje. Në Debian duhet të instalojmë paketën bazat e selinux-it, gjë që tregon se mund të përdorim edhe SELinux.

Në CentOS, FreeBSD, dhe sisteme të tjera operative, krijohet grupi -system rrotë për të lejuar hyrjen si rrënjë vetëm për përdoruesit e sistemit që i përkasin atij grupi. Lexoni /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Dhe /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian nuk përfshin një grup rrotë.

Skedarët dhe komandat kryesore

të dhëna

Skedarët kryesorë në lidhje me menaxhimin e përdoruesve lokalë në një sistem operativ Linux janë:

CentOS dhe Debian

  • / Etc / passwd: informacioni i llogarisë së përdoruesit.
  • / etj / hije- Informacioni i sigurisë së llogarisë së përdoruesit.
  • / etj / grupi: informacioni i llogarisë në grup.
  • / etj / hije- Informacione sigurie për llogaritë e grupeve.
  • / etj / parazgjedhur / përdorues: vlerat e paracaktuara për krijimin e llogarisë.
  • / etj / skel /: direktoria që përmban skedarët e parazgjedhur që do të përfshihen në direktorinë HOME të përdoruesit të ri.
  • /etj/login.defs- Paketa e konfigurimit të sigurisë së fjalëkalimit.

Debian

  • /etj/adduser.conf: vlerat e paracaktuara për krijimin e llogarisë.

Komandat në CentOS dhe Debian

[root @ linuxbox ~] # chpasswd -h # Përditësoni fjalëkalimet në modalitetin grumbull
Mënyra e përdorimit: chpasswd [opsionet] Opsionet: -c, --crypt-method METHOD metoda e kriptës (njëra nga NONE DES MD5 SHA256 SHA512) -e, --kriptohen fjalëkalimet e dhëna janë të koduara -h, --help tregon këtë ndihmoni për të shpejtë dhe përfunduar -m, --md5 kripton fjalëkalimin në mënyrë të pastër duke përdorur algoritmin MD5 -R, --rrënjë CHROOT_DIR drejtoria për të ndryshuar në -s, - sha-rrumbullakos numrin e raundeve SHA për algoritmet e kriptimit SHA * # grumbull- Ekzekutoni komandat kur lejon ngarkesa e sistemit. Me fjalë të tjera # kur ngarkesa mesatare bie nën 0.8 ose vlerën e specifikuar duke thirrur # komandën atd. Më shumë informacion grumbull njeriu.

[root @ linuxbox ~] # gpasswd -h # Shpalleni Administratorët në / etc / group dhe / etc / gshadow
Si të përdorni: gpasswd [opsionet] Opsionet e GRUPIT: -a, - shtoni USER shton USER në GROUP -d, --shlyer USER heq USER nga GROUP -h, --help tregon këtë mesazh ndihme dhe mbaron -Q, - - rrënja e drejtorisë CHROOT_DIR për të ndryshuar në -r, --shlye-fjalëkalimin hiqni fjalëkalimin e GRUPIT -R, --kufizoni kufizimin e hyrjes në GROUP për anëtarët e saj -M, --përdoruesit e anëtarëve, ... përcakton listën e anëtarëve të A, - administratorët ADMIN, ... përcakton listën e administratorëve të GRUPIT Përveç opsioneve -A dhe -M, opsionet nuk mund të kombinohen.

[root @ linuxbox ~] # i grupuar -h    # Krijoni një grup të ri
Si të përdorni: groupadd [opsionet] Opsionet e GRUPIT: -f, - forca përfundojë nëse grupi ekziston tashmë, dhe anuloni -g nëse GID është tashmë në përdorim -g, --gid GID përdor GID për grupin e ri - h, - help shfaq këtë mesazh ndihme dhe mbaron -K, --key KEY = VALUE mbishkruan vlerat e paracaktuara të "/etc/login.defs" -o, --non-unique ju lejon të krijoni grupe me GID (jo unike) dublikatat -p, - fjalëkalimi PASSWORD përdorni këtë fjalëkalim të koduar për grupin e ri -r, - sistemi krijoni një llogari të sistemit -R, --root CHROOT_DIR drejtoria për t'u zhvendosur në

[root @ linuxbox ~] # grupi -h # Fshi një grup ekzistues
Si të përdorni: groupdel [opsionet] Opsionet e GRUPIT: -h, --ndihmoni shfaqjen e këtij mesazhi ndihme dhe përfundimin e -R, --root CHROOT_DIR drejtoria për t'u zhvendosur

[root @ linuxbox ~] # grupet -h # Deklaroni Administratorët në grupin kryesor të një përdoruesi
Si të përdorni: groupmems [opsionet] [veprim] Opsionet: -g, --group GROUP ndryshon emrin e grupit në vend të grupit të përdoruesit (mund të bëhet vetëm nga administratori) -R, --root CHROOT_DIR drejtoria në chroot në Veprimet: -a, - shtoni USER shton USER në anëtarët e grupit -d, --shlye USER heq USER nga lista e anëtarëve të grupit -h, --help tregon këtë mesazh ndihme dhe mbaron -p, - spastroni spastrimin të gjithë anëtarët e grupit - l, - listoni anëtarët e grupit të listës

[root @ linuxbox ~] # grupi i modës -h # Modifikoni përkufizimin e një grupi
Si të përdorni: groupmod [opsionet] Opsionet e GRUPIT: -g, --gid GID ndryshon identifikuesin e grupit në GID -h, --ndihma tregon këtë mesazh ndihme dhe mbaron -n, - new-name NEW_Group ndryshon emrin një NEW_GROUP -o, --non-unique lejon përdorimin e një GID-je kopjuese (jo unike) -p, - fjalëkalimi PASSWORD ndryshon fjalëkalimin në PASSWORD (i koduar) -R, --root CHROOT_DIR drejtoria për të copëtuar në

[root @ linuxbox ~] # grpck -h # Kontrolloni integritetin e një skedari grupi
Si të përdorni: grpck [opsionet] [grupi [gshadow]] Opsionet: -h, --ndihmoni shfaqjen e këtij mesazhi ndihme dhe daljen -r, - Gabimet dhe paralajmërimet e ekranit vetëm për lexim por mos i ndryshoni skedarët -R, - - rrënjosni drejtorinë CHROOT_DIR për të vendosur në –s, - renditni shënimet e renditjes nga UID

[root @ linuxbox ~] # grpconv
# Komandat e shoqëruara: pwconv, pwunconv, grpconv, grpunconv
# Përdoret për të kthyer në dhe nga fjalëkalimet dhe grupet në hije
# Katër komandat veprojnë në skedarë / etj / passwd, / etj / grup, / etj / hije, 
# dhe / etj / hije. Për më shumë informacion njeri grpconv.

[root @ linuxbox ~] # sg -h # Ekzekutoni një komandë me një ID të grupit ose GID
Si të përdorni: porosia e grupit sg [[-c]

[root @ linuxbox ~] # newgrp -h # Ndryshoni GID-in aktual gjatë një identifikimi
Si të përdorni: newgrp [-] [grup]

[root @ linuxbox ~] # të sapoardhurit -h # Azhurnoni dhe krijoni përdorues të rinj në modalitetin grumbull
Mënyra e përdorimit: newusers [opsionet] Opsionet: -c, --crypt-method METHOD metoda e kriptës (njëra nga NONE DES MD5 SHA256 SHA512) -h, --ndihmoni tregoni këtë mesazh ndihme dhe dilni -r, - krijoni sistemin e sistemit llogaritë -R, --root CHROOT_DIR drejtoria për të ndryshuar në -s, --sha-rrumbullakos numrin e raundeve SHA për algoritmet e kriptimit SHA *

[root @ linuxbox ~] # pupla -h # Kontrolloni integritetin e skedarëve të fjalëkalimeve
Si të përdorni: pwck [opsionet] [passwd [hija]] Opsionet: -h, --ndihmoni shfaqjen e këtij mesazhi ndihme dhe daljen -q, - vetëm gabimet e raportimit të qetë -r, - gabimet e ekranit vetëm lexoni dhe paralajmërimet, por mos ndryshoni skedarët -R, --root CHROOT_DIR drejtoria për të chroot në -s, - renditni shënimet e renditjes nga UID

[root @ linuxbox ~] # përdorues -h # Krijoni një përdorues të ri ose azhurnoni # informacionin e paracaktuar të përdoruesit të ri
Si të përdorni: useradd [opsionet] USER useradd -D useradd -D [opsionet] Opsionet: -b, --base-dir BAS_DIR direktoria bazë për direktorinë kryesore të llogarisë së re -c, - koment Komentin FUSHA GECOS e fushës llogari e re -d, - shtëpi-dir PERSONAL_DIR direktoria kryesore e llogarisë së re -D, - parazgjedh shtypjen ose ndryshimin e cilësimit të parazgjedhur të useradd -e, - skadon EXPIRY_DATE data e skadimit të llogarisë së re -f, - periudha joaktive joaktive e fjalëkalimin e llogarisë së re
grupi
  -g, --gid emrin e GRUPIT ose identifikuesin e grupit primar të llogarisë së re -G, --grupset GRUPI listën e grupeve plotësuese të llogarisë së re -h, --ndihma tregon këtë mesazh ndihme dhe mbaron -k, - skel DIR_SKEL përdor këtë direktori alternative "skelet" -K, --key KEY = VALUE mbishkruan vlerat e paracaktuara të "/etc/login.defs" -l, --no-log-init nuk shton përdoruesin në bazat e të dhënave nga lastlog dhe faillog -m, --create-home krijon direktorinë kryesore të përdoruesit -M, --no-create-home nuk krijon direktorinë kryesore të përdoruesit -N, --no-user-group nuk krijon një grup me të njëjtin emër si përdoruesi -o, - jo-unik lejon krijimin e përdoruesve me identifikues të kopjuar (jo-unikë) (UID) -p, - fjalëkalim fjalëkalim të koduar të koduar PASSWORD të llogarisë së re -r, - sistemi krijon një llogari e sistemit -R, --rrënjë CHROOT_DIR drejtoria për të zhvendosur në -s, --shell qasja konsol CONSOLE e llogarisë së re -u, - identifikuesin e përdoruesit UID të llogarisë së re -U, - grupi i përdoruesit krijojnjë grup me të njëjtin emër si përdoruesi -Z, --selin-user USER_SE përdor përdoruesin e specifikuar për përdoruesin e SELinux

[root @ linuxbox ~] # userdel -h # Fshi llogarinë e një përdoruesi dhe skedarët e lidhur
Mënyra e përdorimit: userdel [opsionet] OPSIONET E PERRDORUESIT: -f, --forconi me forcë disa veprime që do të dështonin përndryshe p.sh. heqja e përdoruesit që është akoma i regjistruar ose skedarët, edhe nëse nuk është në pronësi të përdoruesit -h, - help tregon këtë mesazh Ndihmë dhe përfundo -r, - hiqe heq direktorinë e shtëpisë dhe kutinë postare -R, --rrënjos drejtorinë CHROOT_DIR për t'u zhvendosur në -Z, - përdoruesi -selinux heq çdo model të përdoruesit të SELinux për përdoruesin

[root @ linuxbox ~] # modaliteti i përdoruesit -h # Modifikoni një llogari përdoruesi
Mënyra e përdorimit: usermod [opsionet] Opsionet e përdoruesit: -c, - koment KOMENT Vlera e re e fushës GECOS -d, - shtëpi PERSONAL_DIR direktoria e re e shtëpisë e përdoruesit të ri -e, - skadojë EXPIRED_DATE përcakton datën e skadimit të llogaria në EXPIRED_DATE -f, --aktiv INACTIVE vendos kohën e papunë pasi llogaria skadon në INACTIVE -g, --gid forcat e GRUPIT përdorin GRUPIN për llogari të re të përdoruesit -G, --grupset GRUPI lista e grupeve shtesë -a, - shtoj shtojeni përdoruesin te GRUPET shtesë të përmendura nga opsioni -G pa e hequr atë nga grupet e tjera -h, --ndihmoni shfaqjen e këtij mesazhi ndihme dhe përfundimin e -l, - hyrja NAME përsëri emri për përdoruesin -L, --lock kyç llogarinë e përdoruesit - m, - lëviz në shtëpi zhvendos përmbajtjen e direktorisë kryesore në një direktori të re (përdor vetëm në lidhje me -d) -o, - jo unike lejon të përdorësh UID të Dublikatës (jo unike) - p, - Fjalëkalimi i fjalëkalimit përdorni fjalëkalimin e koduar për llogarinë e re -R, --ro CHR Direktoria OOT_DIR për të ndryshuar në -s, --shell CONSOLE qasje të re të hyrjes për llogarinë e përdoruesit -u, --Uid forca UID përdor përdorimin e UID për llogarinë e përdoruesit të ri -U, - zhbllokon zhbllokimin e llogarisë së përdoruesit -Z, --selinux-përdorues SEUSER hartëzimi i ri i përdoruesit SELinux për llogarinë e përdoruesit

Komandon në Debian

Debian bën dallimin midis përdorues y adduser. Rekomandon që administratorët e sistemit të përdorin adduser.

root @ sysadmin: / home / xeon # adduser -h # Shto një përdorues në sistem
root @ sysadmin: / home / xeon # grupi shtesë -h # Shto një grup në sistem
aduser [- direktoria e shtëpisë] [--shell SHELL] [- no-create-home] [- ID e plotë] [- ID e parë] [- ID e lashtë] [- gecos GECOS] [- grupi GRUPI | --gid ID] [--disabled-password] [--disabled-login] USER Shto një përdorues normal përdorues --system [--hRECTORY home] [--shell SHELL] [--no-create-home] [ - ID e plotë] [--gecos GECOS] [--grupi | - GRUPI I GRUPIT | --gid ID] [--disabled-password] [--disabled-login] USER Shto një përdorues nga shtuesi i sistemit --group [--gid ID] GROUP addgroup [--gid ID] GRUP Shto një grup përdoruesish addgroup --system [--gid ID] GRUPI Shtoni një grup sistemi shtues GRUPI PERRDORUES Shtoni një përdorues ekzistues në një grup ekzistues opsionet e përgjithshme: --quiet | -q nuk shfaq informacionin e procesit në daljen standarde - forca-badname lejon emrat e përdoruesve që nuk përputhen me ndryshoren e konfigurimit NAME_REGEX --ndihmë | -h mesazhi i përdorimit --version | -v numri i versionit dhe e drejta e kopjimit - konfor | -c FILE përdorni FILE si skedar konfigurimi

root @ sysadmin: / home / xeon # deluser -h # Hiqni një përdorues normal nga sistemi
root @ sysadmin: / home / xeon # grupi -h # Hiq një grup normal nga sistemi
deluser USER heq një përdorues normal nga shembulli i sistemit: deluser miguel --remove-home heq direktorinë e përdoruesit dhe radhën e postës. --remove-all-files heq të gjitha skedarët në pronësi të përdoruesit. - rezervimi rezervon skedarët para se të fshini. - kopje rezervë direktoria e destinacionit për kopje rezervë. Drejtoria aktuale përdoret si parazgjedhje. --Sistemi hiqet vetëm nëse jeni përdorues i sistemit. delgroup GRUPI deluser --group GROUP heq një grup nga shembulli i sistemit: deluser --group studentët - sistemi heq vetëm nëse është një grup nga sistemi. - vetëm-nëse-bosh hiqni vetëm nëse nuk kanë më anëtarë. mashtrim GRUPI I PERRDORUESIT e largon përdoruesin nga shembulli i grupit: studentët e zhgënjyer miguel opsionet e përgjithshme: - qetësia | -q mos jep informacione për procesin në stdout - ndihmo | -h mesazhi i përdorimit --version | -v numri i versionit dhe e drejta e kopjimit - konfor | -c FILE përdorni FILE si skedar konfigurimi

politikat

Ekzistojnë dy lloje të politikave që duhet të marrim parasysh kur krijojmë llogari të përdoruesve:

  • Politikat e llogarisë së përdoruesit
  • Politikat e plakjes së fjalëkalimit

Politikat e llogarisë së përdoruesit

Në praktikë, përbërësit themelorë që identifikojnë një llogari përdoruesi janë:

  • Emri i llogarisë së përdoruesit - përdoruesi LOGIN, jo emri dhe mbiemrat.
  • ID e përdoruesit - UID.
  • Grupi kryesor të cilit i përket - GID.
  • Fjalëkalimi - Fjalëkalimi.
  • Lejet e hyrjes - lejet e hyrjes.

Faktorët kryesorë që duhet të merren parasysh kur krijoni një llogari përdoruesi janë:

  • Sasia e kohës që përdoruesi do të ketë qasje në sistemin e skedarëve dhe burimet.
  • Sasia e kohës në të cilën përdoruesi duhet të ndryshojë fjalëkalimin e tij - në mënyrë periodike - për arsye sigurie.
  • Koha që hyrja - hyrja - do të mbetet aktive.

Për më tepër, kur caktoni një përdorues të tijin UID y Fjalëkalimi, ne duhet të marrim parasysh se:

  • Vlera e plotë UID duhet të jetë unik dhe jo negativ.
  • El Fjalëkalimi duhet të jetë me gjatësi dhe kompleksitet adekuat, në mënyrë që të jetë e vështirë të deshifrohet.

Politikat e plakjes së fjalëkalimit

Në një sistem Linux, Fjalëkalimi i një përdoruesi nuk i është caktuar një kohë e paracaktuar e skadimit. Nëse përdorim politika të plakjes së fjalëkalimit, mund të ndryshojmë sjelljen e paracaktuar dhe kur krijojmë përdorues, politikat e përcaktuara do të merren parasysh.

Në praktikë, ka dy faktorë që duhet të merren parasysh kur vendosni moshën e një fjalëkalimi:

  • Siguria.
  • Lehtësia e përdoruesit.

Një fjalëkalim është më i sigurt sa më i shkurtër të jetë afati i skadimit. Ekziston më pak rrezik që të zbulohet tek përdoruesit e tjerë.

Për të vendosur politika të plakjes së fjalëkalimit, ne mund të përdorim komandën goditje:

[root @ linuxbox] # dridhje
Modaliteti i përdorimit: hidhni [opsionet] Opsionet e PERRDORUESIT: -d, --dita e fundit LAST_DAY vendos ditën e ndryshimit të fundit të fjalëkalimit në LAST_DAY -E, - skadimi CAD_DATE vendos datën e skadimit në CAD_DATE -h, - ndihma shfaq këtë mesazh ndihme dhe mbaron -I, --NACIONI joaktiv çaktivizon llogarinë pas ditëve INACTIVE nga data e skadimit -l, - lista tregon informacionin e moshës së llogarisë -m, - të hënave MINDAYS vendos numrin minimal të ditëve para se të ndryshojë fjalëkalimin në MIN_DAYS -M, --maxdays MAX_DAYS cakton numrin maksimal të ditëve para se të ndryshojë fjalëkalimin në MAX_DAYS -R, --rrënjos drejtorinë CHROOT_DIR në chroot në -W, --dhjetë ditë WARNING_DAYS cakton ditët e njoftimit të skadimit në DAYS_NOTICE

Në artikullin e mëparshëm kemi krijuar disa përdorues si shembull. Nëse duam të dimë vlerat e moshës së llogarisë së përdoruesit me LOGIN galadriel:

[root @ linuxbox] # chage --list galadriel
Ndryshimi i fundit i fjalëkalimit: 21 Prill 2017 Skadon fjalëkalimi: asnjëherë Fjalëkalimi joaktiv: asnjëherë skadon llogaria: kurrë Numri minimal i ditëve ndërmjet ndryshimit të fjalëkalimit: 0 Numri maksimal i ditëve ndërmjet ndryshimit të fjalëkalimit: 99999 Numri i ditëve të njoftimit para skadimit të fjalëkalimit: 7

Këto ishin vlerat e paracaktuara që sistemi kishte kur krijuam llogarinë e përdoruesit duke përdorur programin e administrimit grafik "Përdoruesit dhe grupet":

 

Për të ndryshuar parazgjedhjet e plakjes së fjalëkalimit, rekomandohet të redaktoni skedarin /etj/login.defs y modifikoni sasinë minimale të vlerave që na duhen. Në atë skedar ne do të ndryshojmë vetëm vlerat e mëposhtme:

# Kontrollet e plakjes së fjalëkalimit: # # PASS_MAX_DAYS Numri maksimal i ditëve që mund të përdoret një fjalëkalim. # PASS_MIN_DAYS Numri minimal i ditëve të lejuara ndërmjet ndryshimeve të fjalëkalimit. # PASS_MIN_LEN Gjatësia minimale e pranueshme e fjalëkalimit. # PASS_WARN_AGE Numri i paralajmërimeve të ditëve të dhëna para skadimit të një fjalëkalimi. # PASS_MAX_DAYS 99999 #! Më shumë se 273 vjet! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

për vlerat që kemi zgjedhur sipas kritereve dhe nevojave tona:

PASS_MAX_DAYS 42 # 42 ditë të vazhdueshme që mund të përdorni Fjalëkalimi
PASS_MIN_DAYS 0 # fjalëkalimi mund të ndryshohet në çdo kohë PASS_MIN_LEN 8 # gjatësia minimale e fjalëkalimit PASS_WARN_AGE 7 # Numri i ditëve që sistemi ju paralajmëron # duhet të ndryshoni fjalëkalimin para se të skadojë.

Ne e lëmë pjesën tjetër të skedarit siç ishte dhe ne rekomandojmë që të mos ndryshojmë parametra të tjerë derisa të dimë se çfarë po bëjmë.

Vlerat e reja do të merren parasysh kur krijojmë përdorues të rinj. Nëse ndryshojmë fjalëkalimin e një përdoruesi të krijuar tashmë, vlera e gjatësisë minimale të fjalëkalimit do të respektohet. Nëse përdorim komandën passwd në vend të programit grafik dhe shkruajmë se fjalëkalimi do të jetë «legola17«, Sistemi ankohet si mjeti grafik« Përdoruesit dhe grupet »dhe përgjigjet se«Disi fjalëkalimi lexon emrin e përdoruesit»Edhe pse në fund e pranoj atë fjalëkalim të dobët.

[rrënja @ linuxbox] # legjislat e kaluara
Ndryshimi i fjalëkalimit të përdoruesit të legolas. Fjalëkalim i ri: portier               # është më pak se 7 karaktere
Fjalëkalim i pasaktë: Fjalëkalimi është më pak se 8 karaktere Përsëritni fjalëkalimin e ri: legola17
Fjalëkalimet nuk përputhen.               # E drejta logjike?
Fjalëkalimi i ri: legola17
Fjalëkalim i pasaktë: Disi fjalëkalimi lexon emrin e përdoruesit Rishtypni fjalëkalimin e ri: legola17
passwd: të gjitha argumentet e vërtetimit u azhurnuan me sukses.

Ne kemi "dobësinë" e deklarimit të një fjalëkalimi që përfshin LOGIN të përdoruesit. Kjo është një praktikë e pa rekomanduar. Mënyra e saktë do të ishte:

[rrënja @ linuxbox] # legjislat e kaluara
Ndryshimi i fjalëkalimit të përdoruesit të legolas. Fjalëkalim i ri: malet e larta01
Rishkruaj fjalëkalimin e ri: malet e larta01
passwd: të gjitha argumentet e vërtetimit u azhurnuan me sukses.

Për të ndryshuar vlerat e skadimit të Fjalëkalimi de galadriel, ne përdorim komandën chage, dhe duhet të ndryshojmë vetëm vlerën e PASS_MAX_DITË nga 99999 në 42:

[root @ linuxbox] # chage -M 42 galadriel
[root @ linuxbox] # chage -l galadriel
Ndryshimi i fundit i fjalëkalimit: 21 Prill 2017 Skadon fjalëkalimi: 02 Qershor 2017 Fjalëkalimi joaktiv: asnjëherë skadon llogaria: kurrë Numri minimal i ditëve ndërmjet ndryshimit të fjalëkalimit: 0 Numri maksimal i ditëve ndërmjet ndryshimit të fjalëkalimit: 42
Numri i ditëve të njoftimit para skadimit të fjalëkalimit: 7

Dhe kështu me radhë, ne mund të ndryshojmë fjalëkalimet e përdoruesve të krijuar tashmë dhe vlerat e skadimit të tyre manualisht, duke përdorur mjetin grafik "Përdoruesit dhe grupet", ose duke përdorur një skenar - dorëshkrim që automatizon disa nga punët jo-ndërvepruese.

  • Në këtë mënyrë, nëse krijojmë përdoruesit lokalë të sistemit në një mënyrë që nuk rekomandohet nga praktikat më të zakonshme në lidhje me sigurinë, mund ta ndryshojmë atë sjellje përpara se të vazhdojmë të zbatojmë më shumë shërbime të bazuara në PAM..

Nëse krijojmë përdoruesin anduin me LOGIN «anduin»Dhe fjalëkalimi«Fjalëkalimi Elek»Ne do të marrim rezultatin e mëposhtëm:

[root @ linuxbox] # useradd anduin
[root @ linuxbox] # passwd anduin
Ndryshimi i fjalëkalimit të përdoruesit anduin. Fjalëkalim i ri: Fjalëkalimi Elek
Fjalëkalim i pasaktë: Fjalëkalimi nuk kalon në verifikimin e fjalorit - basedshtë i bazuar në një fjalë në fjalor. Rishkruaj fjalëkalimin e ri: Fjalëkalimi Elek
passwd - Të gjitha argumentet e vërtetimit u azhurnuan me sukses.

Me fjalë të tjera, sistemi është mjaft krijues për të treguar dobësitë e një fjalëkalimi.

[root @ linuxbox] # passwd anduin
Ndryshimi i fjalëkalimit të përdoruesit anduin. Fjalëkalim i ri: malet e larta02
Rishkruaj fjalëkalimin e ri: malet e larta02
passwd - Të gjitha argumentet e vërtetimit u azhurnuan me sukses.

Përmbledhje e politikave

  • Shtë e qartë se politika e kompleksitetit të fjalëkalimit, si dhe gjatësia minimale e 5 karaktereve, është aktivizuar si parazgjedhje në CentOS. Në Debian, kontrolli i kompleksitetit funksionon për përdoruesit normalë kur ata përpiqen të ndryshojnë fjalëkalimin e tyre duke thirrur komandën passwd. Për përdoruesin rrënjë, nuk ka kufizime të paracaktuara.
  • Shtë e rëndësishme të njihni opsionet e ndryshme që mund të deklarojmë në skedar /etj/login.defs duke përdorur komandën hyrja e njeriut.defs.
  • Gjithashtu, kontrolloni përmbajtjen e skedarëve / etj / parazgjedhur / përdorues, dhe gjithashtu në Debian /etj/adduser.conf.

Përdoruesit dhe Grupet e Sistemit

Në procesin e instalimit të sistemit operativ, krijohen një seri e tërë përdoruesish dhe grupesh që një literaturë i quan Përdoruesit Standardë dhe një tjetër Përdoruesit e Sistemit. Ne preferojmë t'i quajmë ata Përdoruesit dhe Grupet e Sistemit.

Si rregull, përdoruesit e sistemit kanë një UID <1000 dhe llogaritë tuaja përdoren nga aplikacione të ndryshme të sistemit operativ. Për shembull, llogaria e përdoruesit «kallamar»Përdoret nga programi Squid, ndërsa llogaria« lp »përdoret për procesin e shtypjes nga redaktuesit e fjalëve ose teksteve.

Nëse duam të rendisim ata përdorues dhe grupe, mund ta bëjmë duke përdorur komandat:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox] # cat / etj / grup

Nuk rekomandohet aspak të modifikoni përdoruesit dhe grupet e sistemit. 😉

Për shkak të rëndësisë së tij, përsërisim se në CentOS, FreeBSD, dhe sisteme të tjera operative, krijohet grupi -system rrotë për të lejuar hyrjen si rrënjë vetëm për përdoruesit e sistemit që i përkasin atij grupi. Lexoni /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, Dhe /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Debian nuk përfshin një grup rrotë.

Menaxhimi i llogarive të përdoruesve dhe grupeve

Mënyra më e mirë për të mësuar se si të menaxhoni përdoruesit dhe llogaritë e grupeve është:

  • Praktikimi i përdorimit të komandave të renditura më sipër, mundësisht në një makinë virtuale dhe para të përdorimit të mjeteve grafike.
  • Konsultimi i manualeve ose faqet e njeriut të secilës komandë para se të kërkoni ndonjë informacion tjetër në Internet.

Praktika është kriteri më i mirë i së vërtetës.

Përmbledhje

Deri më tani, një artikull i vetëm kushtuar Menaxhimit të Përdoruesve dhe Grupeve Vendorë nuk është i mjaftueshëm. Shkalla e njohurive që fiton çdo Administrator do të varet nga interesi personal për të mësuar dhe thelluar në lidhje me këtë dhe tema të tjera të ngjashme. Shtë e njëjtë si me të gjitha aspektet që kemi zhvilluar në serinë e artikujve Rrjetet e NVM-ve. Në të njëjtën mënyrë mund ta shijoni këtë version në pdf ketu

Dorëzimi tjetër

Ne do të vazhdojmë të zbatojmë shërbime me vërtetim kundër përdoruesve lokalë. Më pas do të instalojmë një shërbim të mesazheve të menjëhershme bazuar në program Prozodi.

Shihemi se shpejti!


Përmbajtja e artikullit i përmbahet parimeve tona të etika editoriale. Për të raportuar një gabim klikoni këtu.

4 komente, lini tuajën

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet.

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   HO2GI dijo

    Pershendetje, artikull i mrekullueshem, une ju pyes ku punoj, printeret ndahen shume, problemi eshte ne gota, nganjehere varet dhe ata nuk mund te shtypen pasi une mund t'u jap leje ta rifillojne (sepse ne shumicen e kohes po punojme në zona të tjera) pa dhënë rrënjën e fjalëkalimit pasi e vetmja mënyrë që gjeta është ta ndryshoj në mënyrë që një përdorues specifik ta rindezë atë.
    Nga tashmë faleminderit shumë.

    1.    federico dijo

      Përshëndetje HO2GI!. Për shembull, le të themi përdoruesi legola ju doni t'i jepni leje të rindizë vetëm shërbimin CUPS, duke përdorur sigurisht komandën sudo, e cila duhet të instalohet:
      [root @ linuxbox ~] # vizudo

      Specifikimi i pseudonimit Cmnd

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups rinisin

      Specifikimi i privilegjit të përdoruesit

      rrënja ALL: (GJITHA: ALL) ALL
      legolas GJITHA = RISHIKONI

      Ruani ndryshimet e bëra në skedar xhupat. Hyni si përdorues legola:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/ ringarkoni të lëngët
      [sudo] fjalëkalimi për legolas:
      Na vjen keq, përdoruesi legolas nuk lejohet të ekzekutojë '/etc/init.d/postfix reload' si rrënjë në linuxbox.fromlinux.fan.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups rinisni
      [sudo] fjalëkalimi për legolas:
      [ok] Rinisni Sistemin e Përbashkët të Printimit Unix: cupsd.

      Më fal nëse kërkesa ndryshon në CentOS, sepse unë u udhëzova nga ajo që sapo bëra në Debian Wheezy. ;-) Aty ku jam tani, nuk kam asnjë CentOS në dorë.

      Nga ana tjetër, nëse doni të shtoni përdorues të tjerë të sistemit si administratorë të plotë të CUPS - ata mund ta konfigurojnë atë gabim - ju i bëni ata anëtarë të grupit lpadmin, e cila krijohet kur instaloni CUPS.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    HO2GI dijo

        Faleminderit një mijë Fico, do ta provoj tani.

  2.   federico dijo

    HO2GI, në CentOS / Red - Kapelë do të ishte:

    [root @ linuxbox ~] # vizudo

    Sherbimet

    Cmnd_Alias ​​RESTARTTCUPS = / kupat e rifillimit usr / bin / systemctl, / kupat e statusit usr / bin / systemctl

    Lejoni rrënjën të ekzekutojë komandat kudo

    rrënjë ALL / (GJITHA) ALL
    legolas GJITHA = RISHIKONI

    Ruaj ndryshimet

    [root @ linuxbox ~] # dalje

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    fjalëkalimi i legolas @ linuxbox:

    [legolas @ linuxbox] $ sudo systemctl rinisni gota

    Ne besojmë se keni marrë leksionin e zakonshëm nga Sistemi lokal
    Administratori. Zakonisht ulet këtyre tri gjërave:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] fjalëkalimi për legolas:
    [legolas @ linuxbox ~] kupa statusi $ sudo systemctl
    ● gota. Shërbim - Shërbimi i shtypjes CUPS
    Ngarkuar: i ngarkuar (/usr/lib/systemd/system/cups.service; aktivizuar; shitësi i paravendosur: aktivizuar)
    Aktive: aktive (drejtuese) që nga Mars 2017-04-25 22:23:10 EDT; 6 vjet më parë
    PID kryesore: 1594 (cupsd)
    Grupi C: /system.slice/cups.service
    1594 / usr / sbin / cupsd -f

    [legolas @ linuxbox] $ sudo systemctl ristarton kallamarin.shërbim
    Na vjen keq, përdoruesi legolas nuk lejohet të ekzekutojë '/ bin / systemctl restart squid.service' si rrënjë në linuxbox.
    [legolas @ linuxbox ~] $ dalje