Pamamahala ng mga lokal na gumagamit at pangkat - mga network ng SME

fico

21 Minutos

Pangkalahatang index ng serye: Mga Network ng Computer para sa mga SME: Panimula

May-akda: Federico Antonio Valdes Toujague
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Kamusta mga kaibigan at kaibigan!

Ang artikulong ito ay isang pagpapatuloy ng Squid + Pagpapatotoo ng PAM sa CentOS 7- SMB Networks.

Ang mga operating system ng UNIX / Linux ay nag-aalok ng isang TUNAY na multi-user na kapaligiran, kung saan maraming mga gumagamit ang maaaring gumana nang sabay-sabay sa parehong system at magbahagi ng mga mapagkukunan tulad ng mga processor, hard drive, memorya, mga interface ng network, mga aparato na ipinasok sa system, at iba pa.

Para sa kadahilanang ito, kinakailangan ng Mga Administrator ng System na patuloy na pamahalaan ang mga gumagamit at pangkat ng system at upang bumuo at magpatupad ng isang mahusay na diskarte sa pangangasiwa.

Susunod makikita natin nang napakaikli ang mga pangkalahatang aspeto ng mahalagang aktibidad na ito sa Pangangasiwa ng Linux Systems.

Minsan mas mahusay na mag-alok ng Utility at pagkatapos ay Kailangan.

Ito ay isang tipikal na halimbawa ng utos na iyon. Ipinapakita muna namin kung paano ipatupad ang isang serbisyo sa Internet Proxy sa Squid at mga lokal na gumagamit. Ngayon dapat nating tanungin ang ating sarili:

  • ¿paano ko maipapatupad ang mga serbisyo sa network sa isang UNIX / Linux LAN mula sa mga lokal na gumagamit at may a katanggap-tanggap na seguridad?.

Hindi mahalaga na, bilang karagdagan, ang mga kliyente ng Windows ay konektado sa network na ito. Mahalaga lamang ang pangangailangan para sa kung aling mga serbisyo ang kailangan ng SME Network at kung ano ang pinakasimpleng at pinakamurang paraan upang maipatupad ang mga ito.

Isang magandang katanungan na dapat maghanap ang bawat isa ng kanilang mga sagot. Inaanyayahan kita na hanapin ang term na «authentication»Sa Wikipedia sa English, na kung saan ay ang pinaka-kumpleto at magkakaugnay sa mga tuntunin ng orihinal na nilalaman -sa Ingles-.

Ayon na sa History magaspang, una ay ang Pagpapatunay y Pahintulot lokal, pagkatapos NIS Sistema ng Impormasyon sa Network binuo ng Sun Microsystem at kilala rin bilang Yellow Pages o ypat pagkatapos LDAP Magaang Directory Access Protocol.

Paano kung "Katanggap-tanggap na Seguridad»Dumating dahil maraming beses na nag-aalala tayo tungkol sa seguridad ng aming lokal na network, habang ina-access namin ang Facebook, Gmail, Yahoo, atbp. - upang banggitin lamang ang ilan- at binibigyan namin ang aming Privacy sa kanila. At tingnan ang malaking bilang ng mga artikulo at dokumentaryo na patungkol sa Walang Pagkapribado sa Internet umiiral

Tandaan sa CentOS at Debian

Ang CentOS / Red Hat at Debian ay may sariling pilosopiya sa kung paano ipatupad ang seguridad, na kung saan ay hindi naiiba sa panimula. Gayunpaman, tiniyak namin na ang pareho ay napaka-matatag, ligtas at maaasahan. Halimbawa, sa CentOS ang konteksto ng SELinux ay pinagana bilang default. Sa Debian dapat nating i-install ang package pangunahing kaalaman sa Linux, na nagpapahiwatig na maaari din naming magamit ang SELinux.

Sa CentOS, FreeBSD, at iba pang mga operating system, ang -system- group ay nilikha gulong upang payagan ang pag-access bilang ugat sa mga gumagamit lamang ng system na kabilang sa pangkat na iyon. Basahin /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, At /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Hindi isinasama ni Debian ang isang pangkat gulong.

Pangunahing mga file at utos

Records

Ang mga pangunahing file na nauugnay sa pamamahala ng mga lokal na gumagamit sa isang operating system ng Linux ay:

CentOS at Debian

  • / etc / passwd: impormasyon ng account ng gumagamit.
  • / etc / anino- Impormasyon sa seguridad para sa mga account ng gumagamit.
  • / atbp / pangkat: impormasyon ng account ng pangkat.
  • / etc / gshadow- Impormasyon sa seguridad para sa mga account ng pangkat.
  • / etc / default / useradd: default na mga halaga para sa paglikha ng mga account.
  • / etc / skel /: direktoryo na naglalaman ng mga default na file na isasama sa direktoryo sa HOME ng bagong gumagamit.
  • /etc/login.defs- Ang suite ng pagsasaayos ng seguridad ng password.

Debian

  • /etc/adduser.conf: default na mga halaga para sa paglikha ng mga account.

Mga utos sa CentOS at Debian

[root @ linuxbox ~] # chpasswd -h # I-update ang mga password sa mode ng batch
Usage mode: chpasswd [options] Mga pagpipilian: -c, --crypt-method METHOD ang crypt method (isa sa NONE DES MD5 SHA256 SHA512) -e, --nag-encrypt ang mga ibinigay na password ay naka-encrypt -h, ipinakita ito ng tulong tulungan prompt at tapusin -m, --md5 naka-encrypt ang password sa malinaw gamit ang MD5 algorithm -R, --root CHROOT_DIR direktoryo upang chroot sa -s, --sha-bilog na bilang ng mga SHA pag-ikot para sa mga algorithm ng pag-encrypt ng SHA * # pulutong- Isagawa ang mga utos kapag pinapayagan ang pag-load ng system. Sa madaling salita # kapag ang average na pagkarga ay bumaba sa ibaba 0.8 o ang tinukoy na halaga sa pamamagitan ng pag-uusap ng # utos ng utos. Karagdagang informasiyon lalaki batch.

[root @ linuxbox ~] # gpasswd -h # Ipahayag ang Mga Administrator sa / etc / group at / etc / gshadow
Paano gamitin ang: gpasswd [mga pagpipilian] Mga Pagpipilian ng GROUP: -a, --add Nagdagdag ang USER ng USER sa GROUP -d, - tinatanggal ng USER ang USER mula sa GROUP -h, ipinapakita ng tulong ang mensahe ng tulong na ito at nagtatapos -Q, - -root na direktoryo ng CHROOT_DIR upang mag-chroot sa -r, - alisin ang password na alisin ang password ng GROUP -R, - Pinaghihigpitan ang pag-access sa GROUP sa mga kasapi nito -M, --members USER, ... itinakda ang listahan ng mga miyembro ng Ang GROUP -A, --mga administrador na ADMIN, ... ay nagtatakda ng listahan ng mga administrator ng GROUP Maliban sa mga pagpipilian na -A at -M, ang mga pagpipilian ay hindi maaaring pagsamahin.

[root @ linuxbox ~] # groupadd -h    # Lumikha ng isang bagong pangkat
Paano gamitin ang: groupadd [options] GROUP Mga Pagpipilian: -f, --pilitin na wakasan kung mayroon nang pangkat, at kanselahin -g kung ang GID ay ginagamit na -g, --gid GID gamit ang GID para sa bagong pangkat - h, --help ipinapakita ang mensahe ng tulong na ito at nagtatapos -K, --key KEY = VALUE ay napatong ang mga default na halaga ng "/etc/login.defs" -o, --non-natatanging pinapayagan kang lumikha ng mga pangkat na may mga GID (hindi natatangi ) duplicate -p, --password PASSWORD gamitin ang naka-encrypt na password para sa bagong pangkat -r, --system lumikha ng isang system account -R, --root CHROOT_DIR direktoryo upang i-chroot sa

[root @ linuxbox ~] # pangkat del -h # Tanggalin ang isang mayroon nang pangkat
Paano gamitin ang: groupdel [mga pagpipilian] Mga Pagpipilian ng GROUP: -h, --help ipakita ang mensahe ng tulong na ito at wakasan ang -R, --root ng direktoryo ng CHROOT_DIR upang i-chroot sa

[root @ linuxbox ~] # mga groupmem -h # Ipahayag ang Mga Administrator sa pangunahing pangkat ng isang gumagamit
Paano gamitin ang: groupmems [options] [action] Mga pagpipilian: -g, --group GROUP baguhin ang pangalan ng pangkat sa halip na grupo ng gumagamit (maaari lamang gawin ng administrator) -R, --root ang direktoryo ng CHROOT_DIR upang i-chroot sa Mga Pagkilos: -a, --add Nagdagdag si USER ng USER sa mga kasapi ng pangkat -d, - tinatanggal ng USER ang USER mula sa listahan ng mga miyembro ng pangkat -h, - ipinapakita ng tulong ang mensahe ng tulong na ito at tinatapos -p, - purge purge lahat ng myembro ng pangkat -l, - listahan ng mga miyembro ng pangkat

[root @ linuxbox ~] # pangkat mod -h # Baguhin ang kahulugan ng isang pangkat
Paano gamitin ang: groupmod [options] GROUP Opsyon: -g, --gid ng GID binago ang identifier ng pangkat sa GID -h, ipinapakita ng tulong ang mensahe ng tulong na ito at nagtatapos -n, --Bagong pangalan ng NEW_Group ang nagbabago ng pangalan isang NEW_GROUP -o, --non-natatanging pinapayagan na gumamit ng isang duplicate na GID (hindi natatangi) -p, --password PASSWORD binabago ang password sa PASSWORD (naka-encrypt) -R, --root ang direktoryo ng CHROOT_DIR upang mag-chroot sa

[root @ linuxbox ~] # grpck -h # Suriin ang integridad ng isang file ng pangkat
Paano gamitin ang: grpck [options] [group [gshadow]] Mga Pagpipilian: -h, --help ipakita ang mensahe ng tulong na ito at lumabas sa -r, - mga error lamang sa display at babala lamang ang mabasa ngunit huwag baguhin ang mga file -R, - -root CHROOT_DIR direktoryo upang mag-chroot sa -s, - pag-uri-uriin ang mga entry sa pag-uuri ng UID

[root @ linuxbox ~] # grpconv
# Mga nauugnay na utos: pwconv, pwuncov, grpconv, grpunconv
# Ginamit upang mai-convert sa at mula sa mga password at pangkat ng anino
# Ang apat na utos ay nagpapatakbo sa mga file / etc / passwd, / etc / group, / etc / anino, 
# at / etc / gshadow. Para sa karagdagang impormasyon tao grpconv.

[root @ linuxbox ~] # sg -h # Ipatupad ang isang utos na may ibang pangkat ng ID o GID
Paano gamitin: sg pangkat [[-c] order]

[root @ linuxbox ~] # newgrp -h # Baguhin ang kasalukuyang GID sa panahon ng isang pag-login
Paano gamitin: newgrp [-] [group]

[root @ linuxbox ~] # bagong gumagamit -h # I-update at lumikha ng mga bagong gumagamit sa mode ng batch
Usage mode: newusers [options] Opsyon: -c, --crypt-method METHOD ang crypt na pamamaraan (isa sa NONE DES MD5 SHA256 SHA512) -h, --help ipakita ang mensahe ng tulong na ito at lumabas sa -r, --system lumikha ng mga system account -R, --root ng direktoryo ng CHROOT_DIR upang mag-chroot sa -s, --sha-Round number ng mga SHA round para sa mga algorithm ng pag-encrypt ng SHA *

[root @ linuxbox ~] # pwck -h # Suriin ang integridad ng mga file ng password
Paano gamitin: pwck [options] [passwd [shadow]] Mga Pagpipilian: -h, --help ipakita ang mensahe ng tulong na ito at exit -q, - mga error sa ulat ng quiet lamang -r, - mga error sa display lamang na read at babala ngunit huwag baguhin ang mga file -R, --root ang direktoryo ng CHROOT_DIR upang mag-chroot sa mga -s, - pag-uri-uriin ang mga entry ng UID

[root @ linuxbox ~] # useradd -h # Lumikha ng isang bagong gumagamit o i-update ang default # impormasyon ng bagong gumagamit
Paano gamitin ang: useradd [options] USER useradd -D useradd -D [options] Mga pagpipilian: -b, --base-dir BAS_DIR base direktoryo para sa direktoryo ng bahay ng bagong account -c, - field ng COMment GECOS ng komentaryo ng bagong account -d, --home-dir PERSONAL_DIR direktoryo ng bagong account -D, --mga default na nai-print o binago ang default na setting ng useradd -e, --expiredate EXPIRY_DATE expiration date of new account -f, - hindi aktibo na Panahon ng hindi aktibo ng password ng bagong account
delgroup
  -g, --gid na pangalan ng GROUP o identifier ng pangunahing pangkat ng bagong account -G, --group GROUPS listahan ng mga pandagdag na grupo ng bagong account -h, ipinapakita ng tulong ang mensahe ng tulong na ito at nagtatapos -k, - Gumagamit ang skel DIR_SKEL ng kahaliling direktoryang "kalansay" na -K, --key KEY = VALUE ay napatong ang mga default na halaga ng "/etc/login.defs" -l, --no-log-init ay hindi nagdaragdag ng gumagamit sa mga database mula sa lastlog at faillog -m, - Lumilikha ang home-home ng direktoryo ng home ng user -M, --no-create-home ay hindi lumilikha ng direktoryo sa bahay ng user -N, --no-user-group ay hindi lumilikha ng isang pangkat na may ang parehong pangalan ng gumagamit -o, --non-natatanging nagbibigay-daan sa paglikha ng mga gumagamit na may duplicate (hindi natatanging) mga pagkakakilala (UID) -p, --password PASSWORD naka-encrypt na password ng bagong account -r, - Lumilikha ang system ng isang account ng system -R, --root CHROOT_DIR direktoryo upang mag-chroot sa -s, --shell CONSOLE console na pag-access ng bagong account -u, --didagdag ng pagkakakilanlan ng UID ng gumagamit ng bagong account -U, Lumikha ng -user groupisang pangkat na may parehong pangalan tulad ng user -Z, --selinux-user na USER_SE ay gumagamit ng tinukoy na gumagamit para sa gumagamit ng SELinux

[root @ linuxbox ~] # userdel -h # Tanggalin ang account ng isang gumagamit at mga kaugnay na file
Usage mode: userdel [options] USER Mga Pagpipilian: -f, --puwersahin ang ilang mga aksyon na mabibigo kung hindi man hal. Pag-aalis ng gumagamit na naka-log in o mga file, kahit na hindi pag-aari ng gumagamit -h, ipinapakita ng tulong ang mensaheng ito Tulungan at tapusin ang -r, - alisin ang direktoryo ng home at mailbox -R, --root ang direktoryo ng CHROOT_DIR upang mag-chroot sa -Z, - alisin ng gumagamit ng Linux ang anumang pagmamapa ng SELinux user para sa gumagamit

[root @ linuxbox ~] # usermod -h # Baguhin ang isang account ng gumagamit
Paano gamitin ang: usermod [mga pagpipilian] Mga Pagpipilian ng USER: -c, --comment KOMENTO bagong halaga ng patlang na GECOS -d, --home PERSONAL_DIR bagong personal na direktoryo ng bagong user -e, --tinatakda ng expired na EXPIR_DATE ang petsa ng pag-expire account sa EXPIRED_DATE -f, --inaktibo ng INACTIVE ang idle time matapos mag-expire ang account sa INACTIVE -g, --gipipilit ng GROUP ng GRUP ng paggamit ng GROUP para sa bagong account ng gumagamit -G, --group GRUP ng listahan ng mga pandagdag na pangkat -a, - idugtong idugtong ang gumagamit sa mga karagdagang GRUPO na binanggit ng pagpipiliang -G nang hindi siya tinanggal mula sa ibang mga pangkat -h, --tulong ipakita ang mensahe ng tulong na ito at wakasan -l, --login muli ang PANGALAN pangalan para sa gumagamit -L, --lock lock ang account ng gumagamit -m, --milipat ng mga nilalaman ng home Directory sa bagong direktoryo (gamitin lamang kasabay ng -d) -o, --non-natatanging pinapayagan na gamitin Duplicate (hindi natatangi) UIDs -p, --password PASSWORD gumamit ng naka-encrypt na password para sa bagong account -R, --root CHR Ang direktoryo ng OOT_DIR upang mag-chroot sa -s, --saklong MAG-CONSOLE ng bagong access console para sa account ng gumagamit -u, --Uid puwersang ginagamit ng UID ang paggamit ng UID para sa bagong account ng gumagamit -U, - unlock ang account ng gumagamit -Z, --selinux-user SEUSER bagong SELinux user mapping para sa account ng gumagamit

Mga Utos kay Debian

Pinagkakaiba ni Debian useradd y Idagdag ang gumagamit. Inirerekumenda na gamitin ng Mga Administrator ng System Idagdag ang gumagamit.

root @ sysadmin: / home / xeon # Idagdag ang gumagamit -h # Magdagdag ng isang gumagamit sa system
root @ sysadmin: / home / xeon # Magdagdag ng grupo -h # Magdagdag ng isang pangkat sa system
adduser [--home DIRECTORY] [--shell SHELL] [--no-create-home] [--uid ID] [--firstuid ID] [--lastuid ID] [--gecos GECOS] [--ingroup GRUPO | --gid ID] [--disabled-password] [--disabled-login] USER Magdagdag ng isang normal na adduser ng gumagamit --system [--home DIRECTORY] [--shell SHELL] [--no-create-home] [ --uid ID] [--gecos GECOS] [--group | --ingroup GROUP | --gid ID] [--disabled-password] [--disabled-login] USER Magdagdag ng isang gumagamit mula sa system adduser --group [--gid ID] GROUP addgroup [--gid ID] GROUP Magdagdag ng isang pangkat ng addgroup ng mga gumagamit --system [--gid ID] GROUP Magdagdag ng isang pangkat mula sa adduser ng system USER GROUP Magdagdag ng isang mayroon nang gumagamit sa isang mayroon nang pangkalahatang mga pagpipilian sa pangkat: --quiet | -q huwag ipakita ang impormasyon ng proseso sa karaniwang output --puwersahin ang-badname payagan ang mga pangalan ng gumagamit na hindi tumutugma sa variable ng pagsasaayos NAME_REGEX --tulong | -h mensahe sa paggamit --versi | -v numero ng bersyon at copyright --conf | -c FILE gamitin ang FILE bilang config file

root @ sysadmin: / home / xeon # deluser -h # Tanggalin ang isang normal na gumagamit mula sa system
root @ sysadmin: / home / xeon # delgroup -h # Tanggalin ang isang normal na pangkat mula sa system
Tanggalin ng USER na gumagamit ang isang normal na gumagamit mula sa halimbawa ng system: ang deluser miguel --tanggal sa bahay-tahanan ang direktoryo sa bahay ng gumagamit at ang pila ng mail. Tinatanggal ng --remove-all-files ang lahat ng mga file na pagmamay-ari ng gumagamit. --suportahan ng backup ang mga file bago tanggalin. --backup-to direktoryo ng patutunguhan para sa mga pag-backup. Ang kasalukuyang direktoryo ay ginagamit bilang default. Tatanggal lamang ang system kung ikaw ay isang gumagamit ng system. delgroup GROUP deluser - tinanggal ng GROUP ng grupo ang isang pangkat mula sa halimbawa ng system: deluser --group mga mag-aaral - aalisin lamang ng system kung ito ay isang pangkat mula sa system. - Tanging-kung-walang laman ang alisin lamang kung wala na silang mga miyembro. Tinatanggal ng USER GROUP na nagtanggal ang gumagamit mula sa halimbawa ng pangkat: mga mag-aaral ng deluser miguel pangkalahatang pagpipilian: --quiet | -q huwag magbigay ng impormasyon sa proseso sa stdout --tulong | -h mensahe sa paggamit --versi | -v numero ng bersyon at copyright --conf | -c FILE gamitin ang FILE bilang config file

Mga Patakaran

Mayroong dalawang uri ng mga patakaran na dapat nating isaalang-alang kapag lumilikha ng mga account ng gumagamit:

  • Mga Patakaran sa User Account
  • Mga patakaran sa pag-iipon ng password

Mga Patakaran sa User Account

Sa pagsasagawa, ang mga pangunahing sangkap na kumikilala sa isang account ng gumagamit ay:

  • Pangalan ng account ng gumagamit - gumagamit Pag-login, hindi ang pangalan at apelyido.
  • User id - UID.
  • Pangunahing pangkat kung saan ito nabibilang - Gid.
  • Password - password.
  • Mga pahintulot sa pag-access - mga pahintulot sa pag-access.

Ang mga pangunahing kadahilanan na isasaalang-alang kapag lumilikha ng isang account ng gumagamit ay:

  • Ang haba ng oras na magkakaroon ang gumagamit ng access sa file system at mga mapagkukunan.
  • Ang dami ng oras kung saan dapat baguhin ng gumagamit ang kanilang password - pana-panahon - para sa mga kadahilanang panseguridad.
  • Ang haba ng oras na ang pag-login -login- ay mananatiling aktibo.

Gayundin, kapag nagtatalaga ng isang gumagamit ng kanyang UID y password, dapat nating tandaan na:

  • Ang halaga ng integer UID dapat itong maging natatangi at hindi negatibo.
  • El password dapat ito ay may sapat na haba at pagiging kumplikado, kung kaya't mahirap maintindihan.

Mga patakaran sa pag-iipon ng password

Sa isang sistemang Linux, ang password ng isang gumagamit ay hindi nakatalaga ng isang default na oras ng pag-expire. Kung gagamitin namin ang mga patakaran sa pag-iipon ng password, maaari naming baguhin ang default na pag-uugali at kapag lumilikha ng mga gumagamit ang mga tinukoy na patakaran ay isasaalang-alang.

Sa pagsasagawa, mayroong dalawang mga kadahilanan na dapat isaalang-alang kapag nagtatakda ng edad ng isang password:

  • Kaligtasan.
  • Kaginhawaan ng gumagamit.

Ang isang password ay mas nakakatiyak na mas maikli ang panahon ng pag-expire nito. Mayroong mas kaunting peligro na ma-leak ito sa ibang mga gumagamit.

Upang maitaguyod ang mga patakaran sa pag-iipon ng password, maaari naming gamitin ang utos pagbabago:

[root @ linuxbox ~] # pahabol
Usage mode: chage [options] Mga Pagpipilian ng USER: -d, --lastday LAST_DAY nagtatakda ang araw ng huling pagbabago ng password sa LAST_DAY -E, --expiredate ang CAD_DATE na nagtatakda ng expiration date sa CAD_DATE -h, --help display ang mensahe ng tulong na ito at nagtatapos -ako, - hindi aktibo na INACTIVE ay hindi pinagana ang account pagkatapos ng INACTIVE araw mula sa expiration date -l, - ipinapakita ng listahan ang impormasyon ng edad ng account -m, --mindays MINDAYS nagtatakda ng numero minimum na araw bago baguhin ang password sa MIN_DAYS -M, --maxday nagtatakda ang MAX_DAYS ng maximum na bilang ng mga araw bago baguhin ang password sa MAX_DAYS -R, --root CHROOT_DIR direktoryo upang i-chroot sa -W, --warndays WARNING_DAYS itinakda ang araw ng abiso sa pag-expire sa DAYS_NOTICE

Sa nakaraang artikulo lumikha kami ng maraming mga gumagamit bilang isang halimbawa. Kung nais naming malaman ang mga halaga ng edad ng account ng gumagamit Pag-login Galadriel:

[root @ linuxbox ~] # chage --list galadriel
Huling pagbabago ng password: Abril 21, 2017 Mag-e-expire ang password: hindi kailanman Aktibo ang password: hindi kailanman mawawalan ng bisa ang Account: hindi bababa sa Minimum na bilang ng mga araw sa pagitan ng pagbabago ng password: 0 Maximum na bilang ng mga araw sa pagitan ng pagbabago ng password: 99999 Bilang ng mga araw ng paunawa bago mag-e-expire ang password: 7

Iyon ang mga default na halagang mayroon ang system noong nilikha namin ang account ng gumagamit gamit ang graphic na utility ng administrasyong "Mga gumagamit at pangkat":

Upang baguhin ang default na pag-iipon ng mga halaga ng password, inirerekumenda na i-edit ang file /etc/login.defs y baguhin ang minimum na halaga ng mga halagang kailangan namin. Sa file na iyon babaguhin lang namin ang mga sumusunod na halaga:

# Mga kontrol sa pag-iipon ng password: # # PASS_MAX_DAYS Maximum na bilang ng mga araw na maaaring magamit ang isang password. # PASS_MIN_DAYS Minimum na bilang ng mga araw na pinapayagan sa pagitan ng mga pagbabago sa password. # PASS_MIN_LEN Minimum na katanggap-tanggap na haba ng password. # PASS_WARN_AGE Bilang ng araw na binigyan ng babala bago mag-expire ang isang password. # PASS_MAX_DAYS 99999 #! Mahigit sa 273 taon! PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

para sa mga halagang pinili namin alinsunod sa aming pamantayan at pangangailangan:

PASS_MAX_DAYS 42 # 42 tuloy-tuloy na araw na magagamit mo ang password
PASS_MIN_DAYS 0 # password ay maaaring mabago anumang oras PASS_MIN_LEN 8 # minimum na haba ng password PASS_WARN_AGE 7 # Bilang ng mga araw na binalaan ka ng system na # baguhin ang password bago ito mag-expire.

Iniwan namin ang natitirang file tulad nito at inirerekumenda naming huwag baguhin ang iba pang mga parameter hangga't hindi namin alam kung ano ang ginagawa namin.

Isasaalang-alang ang mga bagong halaga kapag lumilikha kami ng mga bagong gumagamit. Kung babaguhin namin ang password ng isang nalikha nang gumagamit, igagalang ang halaga ng minimum na haba ng password. Kung gagamitin natin ang utos passwd sa halip na ang grapikal na utility at nagsusulat kami na ang password ay magiging «legolas17«, Ang sistema ay nagrereklamo tulad ng graphic tool« Mga gumagamit at pangkat »at ito ay tumugon na«Kahit papaano binabasa ng password ang username»Bagaman sa huli tinatanggap ko ang mahinang password.

[root @ linuxbox ~] # passwd legolas
Ang pagpapalit ng password ng gumagamit ng legolas. Bagong Password: tagabantay ng layunin               Ang # ay mas mababa sa 7 mga character
INCORRECT PASSWORD: Ang password ay mas mababa sa 8 mga character I-type muli ang bagong password: legolas17
Ang mga password ay hindi tugma.               # Lohikal di ba?
Bagong password: legolas17
INCORRECT PASSWORD: Kahit papaano binabasa ng password ang pangalan ng gumagamit I-type muli ang bagong password: legolas17
passwd: lahat ng mga token sa pagpapatotoo ay matagumpay na na-update.

Naranasan namin ang "kahinaan" ng pagdeklara ng isang password na kasama ang Pag-login gumagamit Iyon ay isang hindi inirerekumendang kasanayan. Ang tamang paraan ay:

[root @ linuxbox ~] # passwd legolas
Ang pagpapalit ng password ng gumagamit ng legolas. Bagong Password: mataas na bundok01
I-type muli ang bagong password: mataas na bundok01
passwd: lahat ng mga token sa pagpapatotoo ay matagumpay na na-update.

Upang mabago ang mga halaga ng pag-expire ng password de Galadriel, ginagamit namin ang utos ng chage, at kailangan lang naming baguhin ang halaga ng PASS_MAX_DAYS mula 99999 hanggang 42:

[root @ linuxbox ~] # chage -M 42 galadriel
[root @ linuxbox ~] # chage -l galadriel
Huling pagbabago ng password: Abr 21, 2017 Mag-e-expire ang password: Hun 02, 2017 Hindi aktibo ang password: hindi kailanman mag-e-expire ang account: hindi kailanman Minimum na bilang ng mga araw sa pagitan ng pagbabago ng password: 0 Maximum na bilang ng mga araw sa pagitan ng pagbabago ng password: 42
Bilang ng mga araw ng paunawa bago mag-expire ang password: 7

At iba pa, maaari nating baguhin ang mga password ng mga gumagamit na nagawa at ang kanilang mga halaga ng pag-expire nang manu-mano, gamit ang graphic na tool «Mga gumagamit at pangkat», o gumagamit ng isang script - script na awtomatiko ang ilan sa gawaing hindi interactive.

  • Sa ganitong paraan, kung nilikha namin ang mga lokal na gumagamit ng system sa paraang hindi inirerekomenda ng pinakakaraniwang mga kasanayan hinggil sa seguridad, maaari nating baguhin ang ugali na iyon bago magpatuloy na magpatupad ng higit pang mga serbisyong batay sa PAM..

Kung nilikha namin ang gumagamit anduin sa Pag-login «anduin»At password«Ang password»Makukuha namin ang sumusunod na resulta:

[root @ linuxbox ~] # useradd anduin
[root @ linuxbox ~] # passwd anduin
Ang pagpapalit ng password ng gumagamit anduin. Bagong Password: Ang password
INCORRECT PASSWORD: Ang password ay hindi pumasa sa pag-verify ng diksyunaryo - Ito ay batay sa isang salita mula sa diksyunaryo. I-type muli ang bagong password: Ang password
passwd - Lahat ng mga token sa pagpapatotoo ay matagumpay na na-update.

Sa madaling salita, ang sistema ay sapat na malikhaing upang ipahiwatig ang mga kahinaan ng isang password.

[root @ linuxbox ~] # passwd anduin
Ang pagpapalit ng password ng gumagamit anduin. Bagong Password: mataas na bundok02
I-type muli ang bagong password: mataas na bundok02
passwd - Lahat ng mga token sa pagpapatotoo ay matagumpay na na-update.

Buod ng Patakaran

  • Malinaw na ang patakaran sa pagiging kumplikado ng password, pati na rin ang minimum na haba ng 5 mga character, ay pinapagana ng default sa CentOS. Sa Debian, gumagana ang tsek ng pagiging kumplikado para sa mga normal na gumagamit kapag sinubukan nilang baguhin ang kanilang password sa pamamagitan ng pag-uusap ng utos passwd. Para sa gumagamit ugat, walang mga default na limitasyon.
  • Mahalagang malaman ang iba't ibang mga pagpipilian na maaari nating ideklara sa file /etc/login.defs gamit ang utos pag-login ng tao.defs.
  • Gayundin, suriin ang nilalaman ng mga file / etc / default / useradd, at nasa Debian din /etc/adduser.conf.

Mga Gumagamit ng System at Grupo

Sa proseso ng pag-install ng operating system, isang buong serye ng mga gumagamit at pangkat ang nilikha na, isang literatura ang tumatawag sa Mga Karaniwang User at isa pang Mga User ng System. Mas gusto naming tawagan silang System Users at Groups.

Bilang panuntunan, ang mga gumagamit ng system ay may a UID <1000 at ang iyong mga account ay ginagamit ng iba't ibang mga application ng operating system. Halimbawa, ang account ng gumagamit «pusit»Ginagamit ng programa ng Squid, habang ang« lp »account ay ginagamit para sa proseso ng pag-print mula sa mga editor ng salita o teksto.

Kung nais naming ilista ang mga gumagamit at pangkat na iyon, magagawa namin ito gamit ang mga command:

[root @ linuxbox ~] # cat / etc / passwd
[root @ linuxbox ~] # cat / etc / group

Hindi man inirerekumenda na baguhin ang mga gumagamit at pangkat ng system. 😉

Dahil sa kahalagahan nito, inuulit namin iyon sa CentOS, FreeBSD, at iba pang mga operating system, ang -system- group ay nilikha gulong upang payagan ang pag-access bilang ugat sa mga gumagamit lamang ng system na kabilang sa pangkat na iyon. Basahin /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html, At /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html. Hindi isinasama ni Debian ang isang pangkat gulong.

Pamamahala ng mga account ng gumagamit at pangkat

Ang pinakamahusay na paraan upang malaman kung paano pamahalaan ang mga account ng gumagamit at pangkat ay:

  • Pagsasanay sa paggamit ng mga utos na nakalista sa itaas, mas mabuti sa isang virtual machine at bago ng paggamit ng mga kagamitang grapiko.
  • Pagkonsulta sa mga manwal o mga pahina ng tao ng bawat utos bago maghanap para sa anumang iba pang impormasyon sa Internet.

Ang pagsasanay ay ang pinakamahusay na pamantayan ng katotohanan.

Buod

Sa ngayon, ang isang solong artikulo na nakatuon sa Pamamahala ng Lokal na User at Grupo ay hindi sapat. Ang antas ng kaalaman na nakukuha ng bawat Administrador ay nakasalalay sa personal na interes sa pag-aaral at pagpapalalim tungkol dito at iba pang mga kaugnay na paksa. Ito ay kapareho ng sa lahat ng mga aspeto na binuo namin sa serye ng mga artikulo Mga Network ng SME. Sa parehong paraan maaari mong matamasa ang bersyon na ito sa pdf dito

Susunod na paghahatid

Patuloy kaming magpapatupad ng mga serbisyo na may pagpapatotoo laban sa mga lokal na gumagamit. Pagkatapos ay mai-install namin ang isang serbisyo ng instant na pagmemensahe batay sa programa Prosody.

Hanggang sa muli!


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   HO2GI dijo
    nakararaan 7 taon

    Kumusta, mahusay na artikulo, tatanungin kita kung saan ako nagtatrabaho, maraming ibinabahagi ang mga printer, ang problema ay nasa tasa, kung minsan ay nabitin ito at hindi nila mai-print dahil maaari kong bigyan sila ng pahintulot na muling simulan ito (dahil sa karamihan ng oras na nagtatrabaho kami sa ibang mga lugar) nang hindi binibigyan ang password ugat dahil ang tanging paraan na natagpuan ko ay upang baguhin ito upang ang isang tukoy na gumagamit ay maaaring i-restart ito.
    Mula sa maraming salamat.

    Tumugon kay HO2GI
    1.    Federico dijo
      nakararaan 7 taon

      Pagbati HO2GI!. Halimbawa, sabihin nating ang gumagamit Legolas nais mong bigyan ito ng pahintulot na i-restart lamang ang serbisyo ng CUPS, gamit syempre ang utos sudo, na dapat na mai-install:
      [root @ linuxbox ~] # visudo

      Detalye ng Cmnd alias

      Cmnd_Alias ​​RESTARTCUPS = /etc/init.d/cups restart

      Pagtukoy sa pribilehiyo ng gumagamit

      ugat LAHAT = (LAHAT: LAHAT) LAHAT
      legolas LAHAT = RESTARTCUPS

      I-save ang mga pagbabagong nagawa sa file sudoers. Mag-login bilang gumagamit Legolas:

      legolas @ linuxbox: ~ $ sudo /etc/init.d/squid reload
      [sudo] password para sa legolas:
      Paumanhin, hindi pinapayagan ang user legolas na i-execute ang '/etc/init.d/postfix reload' bilang root sa linuxbox.desdelinux.fan.
      legolas @ linuxbox: ~ $ sudo /etc/init.d/cups restart
      [sudo] password para sa legolas:
      [ok] I-restart ang Karaniwang Unix System ng Pag-print: cupd.

      Patawarin mo ako kung ang prompt ay naiiba sa CentOS, sapagkat nai-gabay ako ng kung ano lang ang ginawa ko kay Debian Wheezy. ;-). Kung nasaan ako ngayon, wala akong anumang CentOS sa kamay.

      Sa kabilang banda, kung nais mong magdagdag ng iba pang Mga Gumagamit ng System bilang buong Mga Administrador ng CUPS - maaari nila itong mai-configure nang mali - gagawin mo silang kasapi ng pangkat lpadmin, na nilikha kapag nag-install ka ng CUPS.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      Tumugon kay federico
      1.    HO2GI dijo
        nakararaan 7 taon

        Malaking salamat sa isang libong Fico Susubukan ko ito ngayon.

        Tumugon kay HO2GI
  2.   Federico dijo
    nakararaan 7 taon

    HO2GI, sa CentOS / Red -Hat magiging:

    [root @ linuxbox ~] # visudo

    Serbisyo

    Cmnd_Alias ​​RESTARTTCUPS = / usr / bin / systemctl restart cup, / usr / bin / systemctl status cup

    Payagan ang ugat na magpatakbo ng anumang mga utos kahit saan

    ugat LAHAT = (LAHAT) LAHAT
    legolas LAHAT = RESTARTCUPS

    I-save ang mga pagbabago

    [root @ linuxbox ~] # exit

    buzz @ sysadmin: ~ $ ssh legolas @ linuxbox
    password ni legolas @ linuxbox:

    [legolas @ linuxbox ~] $ sudo systemctl i-restart ang mga tasa

    Tiwala kaming natanggap mo ang karaniwang panayam mula sa lokal na System
    Tagapangasiwa. Karaniwan itong kumukulo sa tatlong bagay na ito:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [sudo] password para sa legolas:
    [legolas @ linuxbox ~] $ sudo systemctl tasa ng katayuan
    ● cups.service - Serbisyo sa Pag-print ng CUPS
    Na-load: na-load (/usr/lib/systemd/system/cups.service; pinagana; preset ng vendor: pinagana)
    Aktibo: aktibo (tumatakbo) mula Marso 2017-04-25 22:23:10 EDT; 6s ang nakalipas
    Pangunahing PID: 1594 (tasa)
    CGroup: /system.slice/cups.service
    └─1594 / usr / sbin / cupd -f

    [legolas @ linuxbox ~] $ sudo systemctl restart squid.service
    Paumanhin, hindi pinapayagan ang legolas ng gumagamit na magpatupad ng '/ bin / systemctl restart squid.service' bilang ugat sa linuxbox.
    [legolas @ linuxbox ~] $ exit

    Tumugon kay federico