Зміст
Введення
1. Відділення звичайних користувачів від системних
2. Визначення кодів UID і GID
3. Створення облікового запису користувача командою USERADD
4. Створення облікового запису користувача командою ADDUSER
5. Зміна облікової запису користувача
6. Видалення користувача
7. Блокування облікових записів
8. Управління паролями
9. Створення груп командою GROUPADD
10. Видалення груп командою GROUPDEL
11. Створення системного користувача
12. Створення системних груп командою ADDGROUP
13. Зміна приналежності до груп
14. Перевірка цілісності файлів паролів
15. Серійне додавання нових користувачів
16. Серійна заміна паролів
17. Серійне включення користувачів у групи
18. Тимчасове використання привілеїв ROOT
19. Тимчасове надання привілеїв ROOT командою SUDO
20. Паролі. Служба тіньового зберігання паролів
21. Додаткові модулі аутентифікації
Список використаної літератури
Висновки
Введення
В системі Linux як "живим" користувачам, так і системним процесам призначаються облікові записи (accounts), необхідні для управління привілеями та правилами доступу.
Два найважливіших принципу безпеки Linux:
1. Завжди використовуйте мінімальний рівень привілеїв, необхідний для виконання роботи.
2. Використовуйте сильні паролі.
У Linux входить набір утиліт для виконання операцій з користувачами і групами: useradd, groupadd, userdel, groupdel, usermod, groupmod, passwd, chfn і chsh.
Вони входять в сімейство "Shadow Suite ", розроблене Джуліаном Френсісом Хо (Julianne Frances Haugh) для поліпшення захисту паролів і спрощення операцій управління обліковими записами. Колись всі файли доводилося редагувати окремо, а шифровані паролі зберігалися у файлі/etc/passwd.
Але оскільки файл/Etc/passwd повинен залишатися доступним для читання, зберігання паролів в ньому, нехай навіть в зашифрованому вигляді, загрожує потенційними неприємностями. Скопіювавши цей файл, будь-який бажаючий теоретично зможе обчислити паролі. Переміщення зашифрованих паролів в файл/etc/shadow, доступний тільки для привілейованого користувача root, створює корисний додатковий рівень захисту.
Команда useradd по-різному працює в різних системах. Традиційно вона включала всіх нових користувачів в одну групу users (lOO). Усі домашні каталоги ставали загальнодоступними, тому що всі користувачі належали до однієї групи. У Red Hat ця схема була замінена схемою "User Privacy Group".
Команда useradd в Red Hat створює для кожного нового користувача приватну групу, ідентифікатор якої (GID) збігається з ідентифікатором користувача (UID). Зрозуміло, різні користувачі володіють різними потребами, деякі з них можуть віддати перевагу, щоб їх каталоги були відкритими. Фундаментальний принцип безпеки свідчить: "спочатку все заборонити, потім дозволяти в міру необхідності ".
Adduser і addgroup, сценарні Perl-обгортки для команд useradd і groupadd, з'явилися відносно недавно. Ці сценарії повністю керують вашими діями при створенні нового користувача. Вони дуже зручні для створення окремих облікових записів, але не для серійних (batch) операцій (хіба що якщо ви самостійно внесете зміни в сценарії adduser і addgroup). У розділі 15 наведено сценарій для серійного створення нових користувачів і зміни паролів.
1. Відділення звичайних користувачів від системних
У будь-якій системі Linux, поряд з обліковими записами звичайних користувачів, існують системні облікові запису (root, uucp, daemon і т. д.). У файлі/etc/passwd ці дві категорії не відокремлюються один від одного. Як відокремити облікові записи "живих" користувачів від системних облікових записів?
Скориставшись схемою нумерації ідентифікаторів користувачів у Linux (UID) і можливістю сортування по полях або стовпцях в awk.
Приклад для системи на базі Debian або Slackware:
$ awk-F: '> 999 { print [fde_1328385192_2952883113_1328385192_3511392882_6519]} '/ etc/passwd
nobody: x: 65534:65534: nobody :/ nonexi stent :/ bi n/sh
carl a: x: 1000:1000 ::/home/carl a :/ bin/bash
foober: x: 1001:1001 ::/home/test :/ bi n/false
bitchkat: x: 1002:1002 ::/home/test2 /: bin/bash
Colby: x: 1003:1003 ::/home/test3 :/ bin/bash
Відображення підмножини записів:
$ awk-F: '(> - 1000) && (<= 1005) {print [fde_1328385192_2952883113_1328385192_5321388192_7298]} '/ etc/passwd
Для систем Red Hat і SuSE:
* awk-F: '> 499 { print [fde_1328385192_2952883113_1328385192_8231835921_2045]} '/ etc/passwd
Алфавітна сортування результату:
$ awk-F: '> 499 { print [fde_1328385192_2952883113_1328385192_2933812581_8415]} '/ etc/passwd | sort
Описаний прийом особливо зручний тоді, коли схему нумерації UID в групах вдається спроектувати заздалегідь.
Наприклад:
В· Trainers 1000-1100;
В· Coaches 1101-1200;
В· Players 1200-2000.
Якщо дотримуватися подібної схеми, в нашому розпорядженні з'явиться простий інструмент для сортування користувачів і їх подальшого розбиття на групи.
2. Визначення кодів UID і GID
Якщо необхідно дізнатися код UID користувача і з'ясувати, до яких груп він належить, скористайтеся командою id:
$ id carl a
uid-lOOO (carla) gid = 1000 (carla)
groups = 1000 (carla) .20 (dialout), 24 (cdrom), 25 (floppy), 29 (audio), 30 (dip), 44 (video),
105 (windows), 432 (usb). lOOl (cdrecording)
Ключі команди id:
-u - висновок тільки кодів UID;
-g - висновок тільки кодів GID;
-gn - висновок імені первинної групи користувача замість GID.
3. Створення облікового запису користувача командою USERADD
Для створення облікового запису можна скористатися командою useradd-m для створення імені користувача, його домашнього каталогу та інших змінних оточення, потім призначте пароль командою passwd-e. До створення пароля обліковий запис залишається неактивній. Далі наводиться найпростіший варіант виклику. З прапором-m команда створює домашній каталог і копіює в нього файли з/etc/skel:
# useradd-m ім'я користувача
Як правило, в команду також включається повне ім'я користувача з прапором - з (Comment, тобто коментар). Поставте чотири коми після імені користувача, щоб інші поля коментаря (робочий телефон і т. д.) залишилися порожніми.
# useradd-m-з Grace Hopper ghopper
Ім'я користувача має бути унікальним.
Можна виконати команду passwd-e. Прапор-е означає, що пароль стає недійсним після першого входу, що змушує користувача змінити його:
# passwd-e ghopper
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Оточення користувача формується на підставі стандартного вмісту/etc/default/useradd і/etc/skel. Конфігурація useradd за замовчуванням відображається командою
# useradd-D
Будь значення по замовчуванням можуть перевизначатися в командному рядку -
наприклад, UID і командний процесор:
# useradd-u 1500-s tcsh ghopper
Також існує можливість розширення стандартної конфігурації -
наприклад, включити користувача в додаткові групи:
# useradd-G users, cdrecord.dialout ghopper
Useradd, на відміну від свого родича adduser, прекрасно працює в сценаріях (наприклад, в сценарії mass_useradd з розділу 15).
Поля коментаря також відомі під назвою даних GECOS. Дані GECOS складаються з п'яти полів, розділених комами. Якщо ви збираєтеся використовувати поле коментаря, включіть всі чотири коми, навіть якщо значення відповідних атрибутів не вказуються. У довгострокові...
