مدیریت کاربر یک مهارت حیاتی است مدیر سیستم محیط لینوکس. به عنوان یک قاعده، در سیستم جدیدبه طور پیش فرض تنها یک کاربر وجود دارد - root.

اکانت root دارای امتیازات گسترده ای است و بسیار منعطف است، اما اجرای سرور به صورت روت به صورت مداوم به شدت ممنوع است. واقعیت این است که با داشتن حقوق مطلق، کاربر ریشه می تواند به طور تصادفی آسیب های جبران ناپذیری به سیستم و سرور وارد کند. بنابراین، برای کارهای روزمره، باید یک کاربر اضافی با امتیازات معمولی ایجاد کنید و سپس حقوق superuser را به او منتقل کنید. همچنین می توانید حساب های اضافی برای سایر کاربرانی که نیاز به دسترسی به سرور دارند ایجاد کنید.

این راهنما به شما یاد می دهد که چگونه حساب های کاربری جدید ایجاد کنید، حقوق sudo را انتقال دهید و کاربران را حذف کنید.

افزودن کاربر

برای افزودن یک کاربر جدید به جلسه root، وارد کنید:

در حالی که در یک جلسه کاربر غیر ریشه با دسترسی sudo، می توانید یک کاربر جدید با استفاده از دستور اضافه کنید:

sudo adduser newuser

این تیم ارائه خواهد داد:

• یک رمز عبور تنظیم و تأیید کنید.
• اطلاعات کاربر اضافی را وارد کنید. این اختیاری است. برای پذیرش اطلاعات پیش فرض، کافی است Enter را فشار دهید.
• تأیید کنید که اطلاعات ارائه شده صحیح است (Enter را فشار دهید).

کاربر جدید آماده است! اکنون می توانید با استفاده از آن به سرور متصل شوید.

تنظیم مجوزهای sudo

برای اینکه بتوانید از حساب جدید برای انجام کارهای اداری استفاده کنید، باید به کاربر اجازه دسترسی به دستور sudo را بدهید. این میتواند با دو راه انجام شود:

1. کاربر را به گروه sudo اضافه کنید
2. تنظیمات sudo را در فایل /etc/sudoers ویرایش کنید

افزودن کاربر به گروه sudo

در اوبونتو 16.04، همه کاربرانی که عضو گروه sudo هستند به طور پیش فرض به دستور sudo دسترسی دارند.

برای اینکه بفهمید به کدام گروه تعلق دارید کاربر جدید، وارد:

دستور برمی گردد:

کاربر جدید: کاربر جدید

به طور پیش فرض، هر کاربر جدید سیستم فقط در گروهی به همین نام قرار می گیرد. برای افزودن کاربر به گروه، وارد کنید:

usermod -aG sudo newuser

پرچم –aG کاربر را به گروه های فهرست شده اضافه می کند.

تست تنظیمات

اکنون باید مطمئن شویم که کاربر جدید به دستور sudo دسترسی دارد.

به طور پیش فرض، دستورات در یک جلسه کاربر جدید به صورت زیر اجرا می شوند:

برای اجرای دستور به عنوان مدیر، sudo را به ابتدای دستور اضافه کنید:

sudo some_command

سیستم رمز عبور کاربر فعلی را می خواهد.

ویرایش فایل /etc/sudoers

یک راه جایگزین برای افزایش امتیازات کاربر، ویرایش فایل sudoers است. برای انجام این کار، از دستور visudo استفاده کنید که به شما امکان می دهد فایل /etc/sudoers را در یک ویرایشگر باز کنید و به صراحت امتیازات هر کاربر سیستم را مشخص کنید.

توصیه می شود فایل sudoers را منحصراً با استفاده از visudo ویرایش کنید، زیرا این دستور چندین ویرایش همزمان را مسدود می کند و محتویات را قبل از بازنویسی فایل بررسی می کند. این از خطاهایی در پیکربندی sudo که می تواند منجر به از دست دادن امتیازات شود جلوگیری می کند.

اگر در یک جلسه روت هستید، وارد کنید:

در یک جلسه کاربر غیر ریشه با دسترسی sudo، وارد کنید:

به طور معمول، visudo /etc/sudoers را در ویرایشگر vi باز می کند، که می تواند برای تازه کارها گیج کننده باشد. به طور پیش فرض در جدید نصب اوبونتو visudo از ویرایشگر نانویی آشناتر استفاده می کند. از کلیدهای جهت دار برای حرکت مکان نما استفاده کنید. خط را پیدا کنید:

root ALL=(ALL:ALL) ALL

این خط را کپی کرده و در زیر جایگذاری کنید و نام کاربری را که می خواهید حقوق ابرکاربر را به او منتقل کنید جایگزین root کنید.

root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL

برای هر کاربری که به امتیازات گسترده نیاز دارد یک خط مانند این اضافه کنید. ذخیره کنید و فایل را ببندید.

حذف کاربران

اکانت های غیر ضروری را می توان حذف کرد.

برای حذف یک کاربر اما ترک فایل های او، وارد کنید:

به عنوان ریشه
deluser newuser
چگونه کاربر معمولیبا امتیازات گسترده:
sudo deluser newuser

برای حذف یک کاربر به همراه فهرست اصلی آنها، از:

در جلسه کاربر ریشه
deluser --remove-home newuser
در یک جلسه کاربر با امتیازات گسترده:
sudo deluser --remove-home newuser

اگر کاربر راه دور دارای حقوق ابرکاربر بود، باید این حقوق را با ویرایش فایل حذف کنید:

visudo
یا
sudo visudo
root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL # این خط را حذف کنید

اگر خط در فایل باقی می ماند و کاربری به همین نام در سیستم ظاهر می شد، به طور خودکار امتیازات توسعه یافته را دریافت می کرد. الان این اتفاق نمی افتد

نتیجه

مدیریت کاربر در هنگام مدیریت سرور اوبونتو 16.04 یک مهارت ضروری است. به شما این امکان را می دهد که کاربران را از هم جدا کنید و فقط به آنها دسترسی داشته باشید که برای کار نیاز دارند.

برای اطلاعات بیشتر در مورد راه اندازی sudo، ما را بررسی کنید.

گزینه -c - یک نظر به کاربر اضافه کنید
گزینه -g sudo - یک کاربر به گروه sudo اضافه کنید.
گزینه -s پوسته کاربر را روی /bin/bash تنظیم می کند
گزینه -d برای تعیین پوشه اصلی کاربر استفاده می شود
گزینه -m نشان می دهد که پوشه باید فورا ایجاد شود:

Sudo useradd -c "نظر برای کاربر" -g sudo -d /home/NameUser -m -s /bin/bash NameUser

یک رمز عبور برای کاربر NameUser تنظیم کنید:

Sudo passwd NameUser

با استفاده از دستور adduser یک کاربر اضافه کنید

رمز عبور را وارد کنید، به تمام سوالات پرسیده شده پاسخ دهید، یک کاربر با رمز عبور و فهرست اصلی دریافت کنید

تغییر رمز عبور کاربر

یک کاربر به گروه sudo اضافه کنید

یک کاربر/گروه کاربر را مستقیماً به Sudores اضافه کنید:

بیایید فایل را ویرایش کنیم /etc/sudores.tmpویرایشگر visudo

سودو ویسودو

بیایید به کاربر نامگذاری شده حقوق ریشه بدهیم نام کاربری

نام کاربری ALL=(ALL:ALL) ALL

بیایید به گروهی از کاربران حقوق ریشه بدهیم اسم گروهبا افزودن یک خط به فایل sudoers -

نام_گروه ALL=(ALL:ALL) ALL

کاربر و گروه های او

ما به گروه های موجود در میزبان نگاه می کنیم

گربه /etc/group

بررسی وجود گروه گروه نمونه در میزبانی که examplegroup گروهی است که شما به آن علاقه دارید

Grep examplegroup /etc/group

ما بررسی می کنیم / متوجه می شویم که کاربر به کدام گروه ها تعلق دارد (و همچنین uid او، gid)

شناسه NameUser

یک کاربر موجود NameUser را به یک گروه نمونه گروه موجود اضافه کنید

Usermod -g examplegroup NameUser

حذف یک کاربر اوبونتو

ما از دستور استفاده می کنیم، پوشه کاربر حذف نمی شود

Sudo userdel NameUser

در صورت لزوم پوشه را حذف کنید

Sudo rm -r /home/NameUser/

بررسی می کنیم که آیا کاربر حذف شده است یا خیر؛ اگر خروجی وجود نداشته باشد، کاربر حذف شده است

Sudo grep -R NameUser /etc/passwd --color

لیست تمام کاربران محلی

برای نمایش اطلاعات دقیق تر در مورد کاربر، بسته را نصب کنید انگشت

Sudo apt-get install finger

برای مشاهده اطلاعات کاربر NameUser، دستور را اجرا کنید

Finger NameUser

برای خروجی اطلاعات مربوط به همه کاربران به یک فایل infoaboutalluser.txtبیایید یک اسکریپت بسازیم انگشت.ش

#!/bin/bash n=`cat /etc/passwd | cut -d: -f1` برای i در $n; اکو انجام دهید "=============================================== ===========================================" انگشت $i انجام شد

بیایید اسکریپت را اجرا کنیم انگشت.شو محتویات آن را در یک فایل ذخیره کنید infoaboutalluser.txt

./finger.sh infoaboutalluser.txt

لیست تمام کاربران ممتاز:

یا ممتاز نیست

Egrep -v ":0:0:" /etc/passwd

لیست تمام کاربرانی که نام آنها با حروف abcd شروع می شود:

Cat /etc/passwd | grep "^.*"

همانطور که پاسخ خواننده نشان می دهد، موضوع جداسازی حقوق اداری در اوبونتو هنوز برای اکثر مدیران مبتدی مبهم باقی مانده است، بنابراین تصمیم گرفتیم با این مطالب تا حدودی این موضوع را روشن کنیم. بنابراین، اگر نمی دانید su با sudo چه تفاوتی دارد، جایی که ریشه را پنهان کرده اید، و غیره و غیره، وقت آن است که مطالعه مقاله ما را شروع کنید.

بیایید با یک انحراف کوچک شروع کنیم. سیستم حقوق اداری لینوکس به سیستم عامل یونیکس باز می گردد و بنابراین اشتراکات زیادی با سایر سیستم های مشابه یونیکس دارد: BSD، Solaris، MacOS. در عین حال، توزیع های مختلف ویژگی های پیاده سازی خاص خود را دارند، بنابراین نمونه های خاصما در مورد خانواده اوبونتو صحبت خواهیم کرد، اما آگاهی از قوانین کلی به شما این امکان را می دهد که به راحتی محیط هر سیستم عامل مشابه یونیکس را درک کنید.

کاربر دارای حقوق کامل مدیریتی در لینوکس است. ریشه، که حقوق آن قابل محدود نیست، بنابراین کار روزمره از طرف این کاربر بسیار نامطلوب است: اقدامات بی دقت کاربر می تواند منجر به آسیب به سیستم شود و به خطر انداختن این حساب باعث دسترسی نامحدود مهاجم به سیستم می شود.

بنابراین، یک طرح متفاوت در لینوکس اتخاذ شده است: همه کاربران، از جمله مدیران، تحت یک حساب کاربری محدود کار می کنند، و برای انجام اقدامات اداری از یکی از مکانیسم های افزایش حقوق استفاده می کنند. برای انجام این کار، می توانید حقوق را با استفاده از ابزار افزایش دهید سودویا بدون پایان دادن به جلسه جاری با استفاده از دستور، به عنوان یک ابرکاربر (روت) وارد شوید سو. بسیاری از مردم به اشتباه این دو مکانیسم را اشتباه می گیرند، بنابراین اجازه دهید آنها را با جزئیات بیشتری بررسی کنیم.

تیم سوبه شما این امکان را می دهد که بدون پایان دادن به جلسه فعلی به عنوان کاربر دیگری (نه لزوماً روت) وارد شوید. پس دستور:

سو پتروف

به شما این امکان را می دهد که به عنوان کاربر petrov وارد شوید، محیط کاربری (پوشه خانه) نیز به این کاربر تغییر خواهد کرد.

تیم سوبه شما این امکان را می دهد تا بدون تعیین نام کاربری وارد حساب کاربری خود شوید ریشه"الف. با این حال این روشیک اشکال قابل توجه دارد - برای ورود از طرف یک کاربر دیگر باید رمز عبور او را بدانید. اگر چندین سرپرست دارید، هر یک از آنها رمز عبور ابر کاربر را می دانند و نمی توانید حقوق آنها را محدود کنید.

علاوه بر این، ناامن است؛ دانستن رمز عبور سوپرکاربر و امکان ورود به نام او در صورت به خطر افتادن، می تواند منجر به از دست دادن کامل کنترل سیستم شود.

اگر بخواهیم حقوق در اوبونتو را از این طریق افزایش دهیم چه اتفاقی می افتد؟ ما نمی توانیم کاری انجام دهیم زیرا رمز عبور کاربر را نمی دانیم ریشه، در عین حال، هیچ کس مانع ورود ما به عنوان یک کاربر متفاوت نمی شود.

"صبر کن!" - کاربر دیگری خواهد گفت، "آیا حقوق ریشه به اولین کاربر ایجاد شده، که در حین نصب مشخص می کنیم، داده نمی شود؟" در واقع، وظایف مدیریتی فقط از طرف کاربر ایجاد شده در حین نصب قابل انجام است؛ اگر بخواهیم این کار را انجام دهیم از طرف یک کاربر دیگر، ما دچار شکست خواهیم شد.

در اینجا ما به مکانیسم دوم برای افزایش حقوق نزدیک می شویم - ابزار سودو. با این حال، قبل از شروع به مطالعه آن، شایان ذکر است: حقوق superuser (ریشه) در اوبونتو متعلق به حساب ریشه است که به طور پیش فرض غیرفعال است. بنابراین، با استفاده از دستور، مجوزها را افزایش دهید سوممکن به نظر نمی رسد

مکانیزم اصلی برای بالا بردن حقوق در اوبونتو ابزار است سودو. این ابزار به شما این امکان را می دهد که برای دستور در حال اجرا حقوق را به سطح superuser ارتقا دهید، اما نیازی به دانستن رمز عبور superuser ندارید، کاربر باید رمز عبور خود را وارد کند. پس از آن ابزار بررسی می کند که آیا این کاربر حق اجرای این دستور را بر روی این میزبان با حقوق superuser دارد یا خیر و در صورت موفقیت آمیز بودن بررسی ها، آن را اجرا می کند.

مهم است!تفاوت اصلی سواز جانب سودوچه چیزی را خدمت می کند سوبه شما اجازه می دهد تا کاربر فعلی را به روت تغییر دهید، که نیاز به یک حساب کاربری فعال در سیستم و دانش رمز عبور آن دارد. سودوبه شما امکان می دهد بدون تعیین رمز عبور ابرکاربر، حقوق فرمان اجرا شده را افزایش دهید؛ کاربر باید رمز عبور خود را وارد کند؛ ورود به عنوان root با این اعتبارنامه ها کارساز نخواهد بود.

یکی دیگر از شرایط مهم این است که هنگام استفاده از خط لوله یا تغییر مسیر با حقوق superuser، تنها قسمت اول دستور اجرا می شود، به عنوان مثال در طراحی:

Sudo command1 | تیم 2

با حقوق ریشهفقط اجرا خواهد شد تیم 1. و تیم

Sudo cat sources.list > /etc/apt/sources.list

یک خطای حقوق دسترسی می دهد زیرا ورودی در است /etc/apt/sources.listبا حقوق کاربر عادی رخ خواهد داد.

برای انجام ترکیب های پیچیده از دستورات، می توانید با دستور به حالت superuser بروید

که شبیه بالا بردن حقوق با دستور است سو، با این حال، این تغییری در محیط کاربر ایجاد نمی کند و دایرکتوری کاربر فعلی به عنوان دایرکتوری اصلی استفاده می شود که راحت و ایمن است. هر مدیر فقط به فهرست اصلی خود دسترسی خواهد داشت.

اکنون زمان آن است که بفهمیم چه کسی حق استفاده از فرصت ها را دارد سودوو تا چه حد. فایل مسئول تنظیمات این ابزار می باشد /etc/sudoers، با وجود اینکه این یک فایل پیکربندی معمولی است، برای ویرایش آن استفاده از دستور بسیار توصیه می شود:

سودو ویسودو

این دستور فایل را قفل می کند و نحو را بررسی می کند، در غیر این صورت به دلیل اشتباه تایپی در خطر از دست دادن دسترسی مدیریت به رایانه شخصی خود هستید.

سینتکس این فایل بسیار ساده است. به عنوان مثال، در انتهای فایل یک ورودی وجود دارد:

%admin ALL=(ALL) ALL

این بدان معناست که کاربران گروه مدیرمی تواند هر دستوری را بر روی هر میزبانی از طرف هر کاربری اجرا کند. همانطور که می توانیم به راحتی با استفاده از دستور تأیید کنیم گروه هادر مورد ما کاربر آندریمتعلق به گروه است مدیر، و کاربر پتروفخیر

اما تمام مزایای این ابزار در توانایی پیکربندی انعطاف پذیر پارامترها برای به دست آوردن حقوق در هر مورد خاص نهفته است. مثلا:

پتروف ubuntu-lts=(andrey) ALL

این خط به کاربر اجازه می دهد پتروفهر دستوری را روی هاست اجرا کنید ubuntu-ltsاز طرف کاربر آندری. هنگام تعیین دستورات، باید مسیر کامل آنها را مشخص کنید، می توانید با استفاده از دستور آن را پیدا کنید که

به عنوان مثال، ما می خواهیم به کاربران اجازه دهیم پتروفو سیدوروفکامپیوتر را خاموش و راه اندازی مجدد کنید، و همچنین وظایف را حذف کنید. با این حال، این دستورات نباید نیاز به وارد کردن رمز عبور داشته باشند.

یکی دیگر از ویژگی های خوب ابزار sudo ایجاد نام مستعار است، بنابراین در مورد ما به آن اضافه می کنیم /etc/sudoersخطوط زیر:

User_Alias ​​USERGROUP1 = petrov، sidorov
Cmnd_Alias ​​CMDGROUP1 = /bin/kill، /sbin/reboot، /sbin/shutdown

با این کار دو نام مستعار ایجاد کردیم USERGROUP1، جایی که کاربران مورد نیاز خود را گنجانده ایم و CMDGROUP1با مجموعه‌ای از دستورات ضروری، می‌توانیم متعاقباً فقط نام‌های مستعار را بدون تأثیر بر همه قوانینی که می‌توان از آنها استفاده کرد، ویرایش کرد. سپس یک قانون اضافه می کنیم:

USERGROUP1 ALL = (ALL) NOPASSWD:СMDGROUP1

که به کاربران لیست شده در نام مستعار مشخص شده اجازه می دهد تا دستورات نام مستعار داده شده را در هر میزبانی از طرف هر کاربری بدون وارد کردن رمز عبور اجرا کنند.

علاوه بر دو مورد فوق، نام مستعار نیز برای نام میزبان و کاربرانی که از طرف آنها مجاز به اجرای دستورات هستند در دسترس هستند، به عنوان مثال:

Host_Alias ​​WWW = webserver1، webserver2
Runas_Alias ​​WWW = www-data، www-developer

USERGROUP1 WWW = (WWW) ALL

مجموعه سوابق داده شده به کاربران اجازه ورود می دهد USERGROUP1هر دستوری را از طرف کاربران اجرا کنید www-dataو www-توسعه دهندهدر وب سرورهای این شرکت

در نهایت، بیایید ببینیم در صورت نیاز به یک حساب کاربری root چه باید کرد. ساده است، برای فعال کردن آن، فقط یک رمز عبور تنظیم کنید:

ریشه Sudo passwd

دوباره مسدود کنید حساب superuser را می توان با دستور ایجاد کرد:

ریشه Sudo passwd -l

به یاد داشته باشید که تمام وظایف مدیریتی در اوبونتو را می توان با استفاده از ابزار sudo انجام داد، بنابراین اکانت root را فعال نکنید مگر اینکه کاملاً ضروری باشد!

همانطور که می بینید، اوبونتو دارای قابلیت های مدیریت حقوق مدیریتی غنی است که به شما امکان می دهد حقوق را به طور انعطاف پذیر بین چندین مدیر توزیع کنید و همچنین امکان افزایش حقوق را برای برخی از کاربران فراهم کنید و این کار را به طور کارآمد و ایمن انجام دهید.

مدیریت کاربر بخش مهمی از حفظ یک سیستم ایمن است. مدیریت ناکارآمد کاربران و امتیازات اغلب بسیاری از سیستم ها را به خطر می اندازد. بنابراین، مهم است که بدانید چگونه می توانید از طریق تکنیک های ساده و موثر مدیریت حساب کاربری از سرور خود محافظت کنید.

توسعه دهندگان اوبونتو تصمیم جدی گرفتند که حساب کاربری ریشه اداری را به طور پیش فرض در تمام نصب های اوبونتو غیرفعال کنند. این بدان معنا نیست که اکانت ریشه حذف شده است یا ممکن است به آن دسترسی نداشته باشید. صرفاً رمز عبوری به آن داده شده است که با هیچ مقدار رمزگذاری شده ای مطابقت ندارد، بنابراین ممکن است مستقیماً به خودی خود وارد نشود.

در عوض، کاربران تشویق می شوند تا از ابزاری به نام sudo برای انجام وظایف اداری سیستم استفاده کنند. Sudo به یک کاربر مجاز اجازه می دهد تا به طور موقت امتیازات خود را با استفاده از رمز عبور خود به جای دانستن رمز عبور متعلق به حساب root افزایش دهد. این متدولوژی ساده و در عین حال مؤثر، پاسخگویی را برای همه اقدامات کاربر فراهم می کند و به مدیر کنترل دقیقی را بر روی اعمالی که کاربر می تواند با امتیازات گفته شده انجام دهد، می دهد.

اگر به دلایلی می خواهید اکانت root را فعال کنید، به سادگی به آن رمز عبور بدهید:

تنظیمات با رمزهای عبور ریشه نیستندپشتیبانی.

sudo passwd

Sudo از شما رمز عبور را درخواست می کند و سپس از شما می خواهد که یک رمز عبور جدید برای root را مطابق شکل زیر ارائه کنید:

رمز عبور برای نام کاربری: (رمز عبور خود را وارد کنید) رمز عبور جدید یونیکس را وارد کنید: (یک رمز عبور جدید برای root وارد کنید)رمز عبور جدید یونیکس را دوباره تایپ کنید: (تکرار رمز عبور جدید برای روت) passwd: رمز عبور با موفقیت به روز شد

برای غیرفعال کردن رمز عبور حساب ریشه، از دستور passwd زیر استفاده کنید:

ریشه sudo passwd -l

با این حال، برای غیرفعال کردن خود حساب ریشه، از دستور زیر استفاده کنید:

usermod --expiredate 1

شما باید با خواندن مطالب بیشتری در مورد سودو بخوانید مردصفحه:

مرد سودو

به طور پیش فرض، کاربر اولیه ایجاد شده توسط نصب کننده اوبونتو عضوی از گروه "sudo" است که به عنوان کاربر مجاز sudo به فایل /etc/sudoers اضافه می شود. اگر می‌خواهید به هر حساب دیگری از طریق sudo دسترسی ریشه کامل بدهید، به سادگی آنها را به گروه sudo اضافه کنید.

افزودن و حذف کاربران

فرآیند مدیریت کاربران و گروه‌های محلی ساده است و تفاوت بسیار کمی با سایر سیستم‌عامل‌های گنو/لینوکس دارد. اوبونتو و سایر توزیع‌های مبتنی بر دبیان استفاده از بسته «adduser» را برای مدیریت حساب تشویق می‌کنند.

برای افزودن یک حساب کاربری، از نحو زیر استفاده کنید و دستورات را دنبال کنید تا به حساب رمز عبور و ویژگی های قابل شناسایی مانند نام کامل، شماره تلفن و غیره بدهید.

نام کاربری sudo adduser

برای حذف یک حساب کاربری و گروه اصلی آن، از دستور زیر استفاده کنید:

نام کاربری sudo deluser

حذف یک حساب، پوشه اصلی مربوطه را حذف نمی کند. این به شما بستگی دارد که آیا می خواهید پوشه را به صورت دستی حذف کنید یا آن را مطابق با سیاست های حفظ دلخواه خود نگه دارید.

به یاد داشته باشید، اگر اقدامات احتیاطی لازم را انجام نداده باشید، هر کاربری که بعداً با همان UID/GID مالک قبلی اضافه شود، اکنون به این پوشه دسترسی خواهد داشت.

ممکن است بخواهید این مقادیر UID/GID را به چیزی مناسب تر، مانند اکانت ریشه، تغییر دهید و شاید حتی محل پوشه را برای جلوگیری از درگیری های بعدی تغییر دهید:

sudo chown -R root:root /home/username/ sudo mkdir /home/archived_users/ sudo mv /home/username /home/archived_users/

برای قفل یا باز کردن موقت حساب کاربری، به ترتیب از دستور زیر استفاده کنید:

sudo passwd -l نام کاربری sudo passwd -u نام کاربری

برای افزودن یا حذف یک گروه شخصی، به ترتیب از دستور زیر استفاده کنید:

نام گروه sudo addgroup نام گروه sudo delgroup

برای افزودن کاربر به یک گروه، از دستور زیر استفاده کنید:

نام کاربری sudo adduser نام گروه

امنیت نمایه کاربر

هنگامی که یک کاربر جدید ایجاد می شود، ابزار adduser یک دایرکتوری خانگی کاملاً جدید به نام /home/username ایجاد می کند. نمایه پیش فرض بر اساس محتویات یافت شده در فهرست راهنمای /etc/skel که شامل تمام اصول نمایه است، مدل می شود.

اگر سرور شما خانه چند کاربر است، باید به مجوزهای دایرکتوری خانه کاربر توجه زیادی داشته باشید تا از محرمانه بودن اطمینان حاصل کنید. به طور پیش‌فرض، دایرکتوری‌های خانگی کاربر در اوبونتو با مجوزهای خواندن/اجرای جهانی ایجاد می‌شوند. این بدان معنی است که همه کاربران می توانند محتویات فهرست های اصلی کاربران دیگر را مرور کرده و به آنها دسترسی داشته باشند. این ممکن است برای محیط شما مناسب نباشد.

برای تأیید مجوزهای دایرکتوری اصلی کاربر فعلی خود، از نحو زیر استفاده کنید:

ls -ld /home/username

خروجی زیر نشان می دهد که دایرکتوری /home/username دارای مجوزهای قابل خواندن جهانی است:

drwxr-xr-x 2 نام کاربری نام کاربری 4096 2007-10-02 20:03 نام کاربری

با استفاده از دستور زیر می توانید مجوزهای خواندنی جهان را حذف کنید:

sudo chmod 0750 /home/username

برخی از افراد تمایل دارند از گزینه بازگشتی (-R) بی رویه استفاده کنند که تمام پوشه ها و فایل های فرزند را تغییر می دهد، اما این ضروری نیست و ممکن است نتایج نامطلوب دیگری به همراه داشته باشد. دایرکتوری والد به تنهایی برای جلوگیری از دسترسی غیرمجاز به هر چیزی که زیر والد است کافی است.

یک رویکرد بسیار کارآمدتر برای این موضوع، اصلاح مجوزهای پیش‌فرض جهانی adduser هنگام ایجاد پوشه‌های خانگی کاربر است. به سادگی فایل /etc/adduser.conf را ویرایش کنید و متغیر DIR_MODE را به چیزی مناسب تغییر دهید، به طوری که همه فهرست های خانه جدید مجوزهای صحیح را دریافت کنند.

پس از تصحیح مجوزهای دایرکتوری با استفاده از هر یک از تکنیک های ذکر شده قبلی، نتایج را با استفاده از نحو زیر تأیید کنید:

ls -ld /home/username

نتایج زیر نشان می دهد که مجوزهای قابل خواندن در جهان حذف شده اند:

drwxr-x--- 2 نام کاربری نام کاربری 4096 2007-10-02 20:03 نام کاربری

سیاست رمز عبور

یک سیاست رمز عبور قوی یکی از مهمترین جنبه های وضعیت امنیتی شما است. بسیاری از نقض‌های امنیتی موفقیت‌آمیز شامل حملات brute force و فرهنگ لغت ساده علیه رمزهای عبور ضعیف هستند. اگر قصد دارید هر شکلی از دسترسی از راه دور شامل سیستم رمز عبور محلی خود را ارائه دهید، مطمئن شوید که به اندازه کافی حداقل الزامات پیچیدگی رمز عبور، حداکثر طول عمر رمز عبور و ممیزی های مکرر سیستم های احراز هویت خود را رعایت کرده اید.

حداقل طول رمز عبور

به طور پیش‌فرض، اوبونتو به حداقل طول رمز عبور 6 کاراکتری و همچنین برخی بررسی‌های اولیه آنتروپی نیاز دارد. این مقادیر در فایل /etc/pam.d/common-password کنترل می‌شوند که در زیر مشخص شده است.

رمز عبور pam_unix.so مبهم sha512

اگر می خواهید حداقل طول را روی 8 کاراکتر تنظیم کنید، متغیر مناسب را به min=8 تغییر دهید. اصلاح در زیر مشخص شده است.

رمز عبور pam_unix.so مبهم sha512 minlen=8

بررسی‌های اولیه آنتروپی رمز عبور و قوانین حداقل طول برای سرپرست با استفاده از دستورات سطح sudo برای تنظیم یک کاربر جدید اعمال نمی‌شود.

انقضای رمز عبور

هنگام ایجاد حساب‌های کاربری، باید حداقل و حداکثر سن گذرواژه را در نظر بگیرید که کاربران را مجبور می‌کند پسوردهای خود را پس از انقضا تغییر دهند.

برای مشاهده آسان وضعیت فعلی یک حساب کاربری، از دستور زیر استفاده کنید:

نام کاربری sudo chage -l

خروجی زیر حقایق جالبی را در مورد حساب کاربری نشان می دهد، یعنی اینکه هیچ سیاستی اعمال نشده است:

آخرین تغییر رمز عبور: 20 ژانویه 2015 گذرواژه منقضی می شود: هرگز رمز عبور غیرفعال: هرگز حساب منقضی نمی شود: هرگز حداقل تعداد روز بین تغییر رمز عبور: 0 حداکثر روز بین تغییر رمز عبور: 99999 تعداد روزهای هشدار قبل از انقضای رمز عبور: 7

برای تنظیم هر یک از این مقادیر، به سادگی از نحو زیر استفاده کنید و دستورات تعاملی را دنبال کنید:

sudo نام کاربری را تغییر دهید

در زیر همچنین نمونه‌ای از نحوه تغییر دستی تاریخ انقضای صریح (-E) به 01/31/2015، حداقل سن رمز عبور (-m) 5 روز، حداکثر سن رمز عبور (-M) 90 روز، عدم فعالیت وجود دارد. دوره (-I) 5 روز پس از انقضای رمز عبور، و یک دوره زمانی هشدار (-W) 14 روز قبل از انقضای رمز عبور:/home/username/.ssh/authorized_keys .

دایرکتوری .ssh/ را در پوشه اصلی کاربر حذف یا تغییر نام دهید تا از قابلیت های بیشتر احراز هویت SSH جلوگیری کنید.

حتماً اتصالات SSH ایجاد شده توسط کاربر غیرفعال را بررسی کنید، زیرا ممکن است آنها اتصالات ورودی یا خروجی موجود داشته باشند. هر که پیدا شد را بکش

چه کسی | نام کاربری grep (برای دریافت ترمینال pts/#) sudo pkill -f pts/#

دسترسی SSH را فقط به حساب های کاربری که باید آن را داشته باشند محدود کنید. به عنوان مثال، می توانید گروهی به نام "sshlogin" ایجاد کنید و نام گروه را به عنوان مقدار مرتبط با متغیر AllowGroups که در فایل /etc/ssh/sshd_config قرار دارد اضافه کنید.

AllowGroups sshlogin

سپس کاربران SSH مجاز خود را به گروه "sshlogin" اضافه کنید و سرویس SSH را مجددا راه اندازی کنید.

sudo adduser نام کاربری sshlogin sudo systemctl sshd.service را راه اندازی مجدد کنید

احراز هویت پایگاه داده کاربر خارجی

اکثر شبکه های سازمانی به احراز هویت متمرکز و کنترل های دسترسی برای همه منابع سیستم نیاز دارند. اگر سرور خود را برای احراز هویت کاربران در برابر پایگاه های داده خارجی پیکربندی کرده اید، مطمئن شوید که حساب های کاربری خارجی و محلی را غیرفعال کنید. به این ترتیب مطمئن می شوید که احراز هویت محلی امکان پذیر نیست.