Vartotojų valdymas yra labai svarbus įgūdis sistemos administratorius Linux aplinka. Kaip taisyklė, į nauja sistema Pagal numatytuosius nustatymus yra tik vienas vartotojas - root.

Root paskyra turi plačias privilegijas ir yra labai lanksti, tačiau labai nerekomenduojama nuolat naudoti serverio kaip root. Faktas yra tas, kad turėdamas absoliučias teises šakninis vartotojas gali netyčia padaryti nepataisomą žalą sistemai ir serveriui. Todėl kasdieniam darbui reikia susikurti papildomą vartotoją su įprastomis privilegijomis, o paskui perduoti jam supervartotojo teises. Taip pat galite sukurti papildomas paskyras kitiems vartotojams, kuriems reikia prieigos prie serverio.

Šis vadovas išmokys susikurti naujas vartotojų paskyras, perkelti sudo teises ir ištrinti vartotojus.

Pridedamas vartotojas

Norėdami pridėti naują vartotoją prie šakninės sesijos, įveskite:

Būdami ne šakninio vartotojo sesijoje su sudo prieiga, galite pridėti naują vartotoją naudodami komandą:

sudo adduser newuser

Komanda pasiūlys:

• Nustatykite ir patvirtinkite slaptažodį.
• Įveskite papildomą vartotojo informaciją. Tai neprivaloma; norėdami priimti numatytąją informaciją, tiesiog paspauskite Enter.
• Patvirtinkite, kad pateikta informacija yra teisinga (paspauskite Enter).

Naujas vartotojas pasiruošęs! Dabar galite prisijungti prie serverio naudodami jį.

Sudo leidimų nustatymas

Kad galėtumėte naudoti naują paskyrą administravimo užduotims atlikti, turite leisti vartotojui pasiekti sudo komandą. Tai galima padaryti dviem būdais:

1. Pridėti vartotoją prie sudo grupės
2. Redaguokite sudo nustatymus /etc/sudoers faile

Vartotojo įtraukimas į sudo grupę

Ubuntu 16.04 visi vartotojai, kurie yra sudo grupės nariai, pagal numatytuosius nustatymus turi prieigą prie sudo komandos.

Norėdami sužinoti, kurioms grupėms priklausote Naujas vartotojas, įveskite:

Komanda grįš:

naujas vartotojas: naujas vartotojas

Pagal numatytuosius nustatymus kiekvienas naujas sistemos vartotojas įtraukiamas tik į to paties pavadinimo grupę. Norėdami įtraukti vartotoją į grupę, įveskite:

usermod -aG sudo newuser

Vėliava –aG prideda vartotoją prie išvardytų grupių.

Sąrankos testavimas

Dabar turime įsitikinti, kad naujasis vartotojas turi prieigą prie sudo komandos.

Pagal numatytuosius nustatymus naujo vartotojo seanso komandos paleidžiamos taip:

Norėdami paleisti komandą kaip administratorius, komandos pradžioje pridėkite sudo:

sudo some_command

Sistema paprašys dabartinio vartotojo slaptažodžio.

/etc/sudoers failo redagavimas

Alternatyvus būdas padidinti vartotojo teises yra redaguoti sudoers failą. Norėdami tai padaryti, naudokite komandą visudo, kuri leidžia redaktoriuje atidaryti failą /etc/sudoers ir aiškiai nurodyti kiekvieno sistemos vartotojo teises.

Sudoers failą rekomenduojama redaguoti tik naudojant „visudo“, nes ši komanda blokuoja kelis vienu metu redagavimus ir patikrina turinį prieš perrašydama failą. Taip išvengiama sudo konfigūracijos klaidų, dėl kurių gali būti prarastos teisės.

Jei dalyvaujate šakninėje sesijoje, įveskite:

Ne root vartotojo sesijoje su sudo prieiga įveskite:

Paprastai „visudo“ atidaro /etc/sudoers vi redaktoriuje, o tai gali būti paini naujokams. Pagal numatytuosius nustatymus naujame Ubuntu instaliacijos„visudo“ naudoja labiau pažįstamą nano redaktorių. Norėdami perkelti žymeklį, naudokite rodyklių klavišus. Raskite eilutę:

šaknis ALL=(ALL:ALL) ALL

Nukopijuokite šią eilutę ir įklijuokite ją žemiau, pakeisdami root vartotojo vardu, kuriam norite perduoti supervartotojo teises.

šaknis ALL=(ALL:ALL) ALL
naujas naudotojas ALL=(ALL:ALL) ALL

Pridėkite tokią eilutę kiekvienam vartotojui, kuriam reikia išplėstinių privilegijų. Išsaugokite ir uždarykite failą.

Naudotojų pašalinimas

Nereikalingos paskyros gali būti ištrintos.

Norėdami pašalinti vartotoją, bet palikti jo failus, įveskite:

kaip šaknis
deluser newuser
Kaip eilinis vartotojas su išplėstomis privilegijomis:
sudo deluser newuser

Norėdami pašalinti vartotoją kartu su jo namų katalogu, naudokite:

root vartotojo sesijoje
deluser --remove-home newuser
vartotojo sesijoje su išplėstinėmis teisėmis:
sudo deluser --remove-home newuser

Jei nuotolinis vartotojas turėjo supervartotojo teises, šias teises turite pašalinti redaguodami failą:

visudo
Arba
sudo visudo
šaknis ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL # pašalinti šią eilutę

Jei eilutėje liktų faile, o sistemoje atsirastų to paties pavadinimo vartotojas, jis automatiškai gautų išplėstines privilegijas. Tai neįvyks dabar.

Išvada

Vartotojų valdymas yra būtinas įgūdis administruojant Ubuntu 16.04 serverį. Tai leis jums atskirti vartotojus ir suteikti jiems tik prieigą, kurios jiems reikia darbui.

Norėdami gauti daugiau informacijos apie sudo nustatymą, peržiūrėkite mūsų.

Parinktis -c - pridėti komentarą vartotojui
Parinktis -g sudo – pridėkite vartotoją į sudo grupę.
Parinktis -s nustatys vartotojo apvalkalą į /bin/bash
Variantas -d naudojamas vartotojo namų aplankui nurodyti
Variantas -m parodys, kad aplanką reikia sukurti nedelsiant:

Sudo useradd -c "Komentaras vartotojui" -g sudo -d /home/NameUser -m -s /bin/bash NameUser

Nustatykite „NameUser“ vartotojo slaptažodį:

Sudo passwd NameUser

Pridėkite vartotoją naudodami komandą adduser

Įveskite slaptažodį, atsakykite į visus užduodamus klausimus, gaukite vartotoją su slaptažodžiu ir namų katalogą

Vartotojo slaptažodžio keitimas

Pridėkite vartotoją prie sudo grupės

Tiesiogiai pridėkite vartotoją / vartotojų grupę prie „Sudores“:

Redaguojame failą /etc/sudores.tmp redaktorius visudo

Sudo visudo

Suteikime root teises vartotojui vardu Vartotojo vardas

Vartotojo_vardas ALL=(ALL:ALL) ALL

Suteikime root teises vartotojų grupei grupės pavadinimas pridedant eilutę prie sudoers failo -

Grupės_pavadinimas ALL=(ALL:ALL) ALL

Vartotojas ir jo grupės

Mes žiūrime į turimas grupes priegloboje

Katė /etc/group

Grupės egzistavimo patikrinimas pavyzdine grupe priegloboje, kur examplegroup yra jus dominanti grupė

Grep examplegroup /etc/group

Patikriname/sužinome, kurioms grupėms priklauso vartotojas (taip pat jo uid, gid)

ID VardasVartotojas

Pridėkite esamą naudotoją NameUser prie esamos grupės pavyzdžių grupės

Usermod -g examplegroup NameUser

Ubuntu vartotojo pašalinimas

Mes naudojame komandą, vartotojo aplankas nebus ištrintas

Sudo userdel NameUser

Jei reikia, ištrinkite aplanką

Sudo rm -r /home/NameUser/

Tikriname, ar vartotojas neištrynė; jei nėra išvesties, vadinasi, vartotojas ištrintas

Sudo grep -R NameUser /etc/passwd --color

Išvardykite visus vietinius vartotojus

Norėdami pamatyti išsamesnę informaciją apie vartotoją, įdiekite paketą pirštu

Sudo apt-get install finger

Norėdami peržiūrėti informaciją apie vartotoją NameUser, paleiskite komandą

Finger NameUser

Išvesti informaciją apie visus vartotojus į failą infoaboutalluser.txt sukurkime scenarijų pirštas.sh

#!/bin/bash n=`cat /etc/passwd | cut -d: -f1` for i $n; pakartok "================================================ ============================================= „Pirštas

Vykdykime scenarijų pirštas.sh ir išsaugokite jo turinį faile infoaboutalluser.txt

./finger.sh infoaboutalluser.txt

Išvardykite visus privilegijuotus vartotojus:

arba ne privilegijuotas

Egrep -v ":0:0:" /etc/passwd

Išvardykite visus vartotojus, kurių vardai prasideda raidėmis abcd:

Katė /etc/passwd | grep "^.*"

Kaip rodo skaitytojo atsakymas, Ubuntu administracinių teisių atskyrimo klausimas vis dar lieka neaiškus daugumai pradedančiųjų administratorių, todėl nusprendėme šia medžiaga įnešti šiek tiek aiškumo į šią problemą. Todėl, jei nežinote, kuo su skiriasi nuo sudo, kur paslėpėte šaknį ir t. t. ir pan., laikas pradėti studijuoti mūsų straipsnį.

Pradėkime nuo nedidelio nukrypimo. Linux administracinių teisių sistema grįžta į Unix OS ir todėl turi daug bendro su kitomis Unix tipo sistemomis: BSD, Solaris, MacOS. Tuo pačiu metu skirtingi paskirstymai turi savo specifines įgyvendinimo ypatybes, todėl konkrečių pavyzdžių Kalbėsime apie Ubuntu šeimą, tačiau bendrųjų taisyklių žinojimas leis nesunkiai suprasti bet kurios kitos Unix tipo OS aplinką.

Vartotojas turi visas administravimo teises sistemoje Linux. šaknis, kurio teisės negali būti ribojamos, todėl kasdienis darbas šio vartotojo vardu yra itin nepageidautinas: neatsargūs vartotojo veiksmai gali sukelti žalą sistemai, o sukompromitavęs šią paskyrą užpuolikas turės neribotą prieigą prie sistemos.

Todėl Linux sistemoje buvo priimta kitokia schema: visi vartotojai, įskaitant administratorius, dirba su ribota paskyra, o administraciniams veiksmams atlikti naudoja vieną iš teisių eskalavimo mechanizmų. Norėdami tai padaryti, galite padidinti teises naudodami įrankį sudo arba prisijunkite kaip supervartotojas (root), nenutraukdami dabartinės sesijos naudodami komandą su. Daugelis žmonių klaidingai painioja šiuos du mechanizmus, todėl pažvelkime į juos išsamiau.

Komanda su leidžia prisijungti kaip kitas vartotojas (nebūtinai root) nenutraukiant dabartinės sesijos. Taigi komanda:

Su petrovas

leis prisijungti kaip vartotojas petrov, vartotojo aplinka (namų aplankas) taip pat bus pakeista, kad priklausytų šiam vartotojui.

Komanda su leidžia prisijungti prie paskyros nenurodant vartotojo vardo šaknis"a. Tačiau šis metodas turi vieną reikšmingą trūkumą – norint prisijungti kito vartotojo vardu, reikia žinoti jo slaptažodį. Jei turite kelis administratorius, kiekvienas iš jų žinos supervartotojo slaptažodį ir negalėsite apriboti jų teisių.

Be to, tai nesaugu; žinant supervartotojo slaptažodį ir galimybe prisijungti jo vardu, kilus kompromisui, galima visiškai netekti sistemos kontrolės.

Kas nutiks, jei tokiu būdu bandysime padidinti teises Ubuntu? Nieko negalėsime padaryti, nes nežinome vartotojo slaptažodžio šaknis, tuo pačiu metu niekas netrukdo mums prisijungti kaip kitam vartotojui.

"Laukti!" - kitas vartotojas pasakys: „ar pirmam sukurtam vartotojui, kurį mes nurodome diegimo metu, nesuteiktos root teisės? kito vartotojo vardu patirsime nesėkmę.

Čia priartėjame prie antrojo teisių didinimo mechanizmo – naudingumo sudo. Tačiau prieš pereinant prie jo tyrimo verta paaiškinti: supervartotojo (root) teisės Ubuntu priklauso root paskyrai, kuri pagal numatytuosius nustatymus yra išjungta. Todėl padidinkite teises naudodami komandą su neatrodo įmanoma.

Pagrindinis Ubuntu teisių padidinimo mechanizmas yra naudingumas sudo. Ši programa leidžia pakelti vykdomos komandos teises į supervartotojo lygį, tačiau nereikia žinoti supervartotojo slaptažodžio; vartotojas turi įvesti savo slaptažodį. Po to programa patikrins, ar šis vartotojas turi teisę vykdyti šią komandą šiame pagrindiniame kompiuteryje su supervartotojo teisėmis ir, jei patikrinimai bus sėkmingi, ją vykdys.

Svarbu! Pagrindinis skirtumas su iš sudo kam tarnauja su leidžia pakeisti dabartinį vartotoją į root, kuriam reikia aktyvios supervartotojo paskyros sistemoje ir žinoti jo slaptažodį, sudo leidžia padidinti vykdomos komandos teises nenurodant supervartotojo slaptažodžio; vartotojas turi įvesti savo slaptažodį; prisijungti kaip root su šiais kredencialais neveiks.

Kita svarbi aplinkybė yra ta, kad naudojant konvejerį arba peradresavimą su supervartotojo teisėmis, bus vykdoma tik pirmoji komandos dalis, pavyzdžiui, projektuojant:

Sudo komanda1 | komanda 2

Su šakninės teisės bus tik įvykdytas komanda 1. Ir komanda

Sudo cat sources.list > /etc/apt/sources.list

duos prieigos teisių klaidą, nes įrašas yra /etc/apt/sources.listįvyks su įprastomis vartotojo teisėmis.

Norėdami atlikti sudėtingus komandų derinius, komandą galite perjungti į supervartotojo režimą

kuris panašus į teisių pakėlimą komanda su, tačiau tai nepakeis vartotojo aplinkos ir dabartinis vartotojo katalogas bus naudojamas kaip namų katalogas, o tai patogu ir saugu. Kiekvienas administratorius turės prieigą tik prie savo namų katalogo.

Dabar pats laikas išsiaiškinti, kas turi teisę pasinaudoti galimybėmis sudo ir kokiu mastu. Failas yra atsakingas už šios programos nustatymus /etc/sudoers, nepaisant to, kad tai įprastas konfigūracijos failas, norint jį redaguoti, labai rekomenduojama naudoti komandą:

Sudo visudo

Ši komanda užrakina failą ir patikrina sintaksę, kitaip rizikuojate prarasti administracinę prieigą prie kompiuterio dėl rašybos klaidos.

Šio failo sintaksė yra labai paprasta. Pavyzdžiui, pačiame failo gale yra įrašas:

%admin ALL=(ALL) ALL

Tai reiškia, kad grupės vartotojai admin gali vykdyti bet kurią komandą bet kuriame pagrindiniame kompiuteryje bet kurio vartotojo vardu. Kaip galime lengvai patikrinti naudodami komandą grupės mūsų atveju vartotojas Andrejus priklauso grupei admin, ir vartotojas petrovas Nr.

Tačiau visi šio naudingumo privalumai slypi galimybėje kiekvienu konkrečiu atveju lanksčiai konfigūruoti teisių gavimo parametrus. Pavyzdžiui:

Petrovas ubuntu-lts=(andrey) VISI

Ši eilutė leidžia vartotojui petrovas vykdyti bet kurią komandą pagrindiniame kompiuteryje ubuntu-lts vartotojo vardu Andrejus. Nurodydami komandas, turėtumėte nurodyti visą kelią iki jų, jį galite rasti naudodami komandą kurios

Pavyzdžiui, norime leisti vartotojams petrovas Ir sidorovas išjungti ir iš naujo paleisti kompiuterį, taip pat pašalinti užduotis. Tačiau šios komandos neturėtų reikalauti įvesti slaptažodžio.

Kita maloni sudo programos savybė yra slapyvardžių kūrimas, todėl mūsų atveju mes pridėsime /etc/sudoersšias eilutes:

User_Alias>USERGROUP1 = petrovas, sidorovas
Cmnd_Alias ​​​​CMDGROUP1 = /bin/kill, /sbin/reboot, /sbin/shutdown

Taip sukūrėme du slapyvardžius VARTOTOJŲ GRUPĖ1, kur įtraukėme mums reikalingus vartotojus ir CMDGROUP1 Naudodami reikalingų komandų rinkinį, vėliau galime redaguoti tik slapyvardžius, nepaveikdami visų taisyklių, kuriose jie gali būti naudojami. Tada pridėkime taisyklę:

USERGROUP1 ALL = (ALL) NOPASSWD:СMDGROUP1

kuri leis naudotojams, išvardytiems nurodytu slapyvardžiu, vykdyti komandas iš nurodyto slapyvardžio bet kuriame pagrindiniame kompiuteryje bet kurio vartotojo vardu neįvedant slaptažodžio.

Be pirmiau minėtų dviejų, slapyvardžiai taip pat galimi pagrindinio kompiuterio pavadinimui ir vartotojams, kurių vardu leidžiama vykdyti komandas, pavyzdžiui:

Host_Alias ​​​​WWW = žiniatinklio serveris1, žiniatinklio serveris2
Runas_Alias ​​​​WWW = www-duomenys, www-kūrėjas

USERGROUP1 WWW = (WWW) ALL

Pateiktas įrašų rinkinys leis vartotojams įvesti VARTOTOJŲ GRUPĖ1 vykdyti bet kokias komandas vartotojų vardu www-duomenys Ir www-kūrėjasįmonės interneto serveriuose.

Galiausiai pažiūrėkime, ką daryti, jei šakninė paskyra vis dar reikalinga. Tai paprasta, norėdami jį įjungti, tiesiog nustatykite slaptažodį:

Sudo passwd šaknis

Blokuoti dar kartą sąskaitą supervartotojas gali būti sukurtas naudojant komandą:

Sudo passwd -l šaknis

Atminkite, kad visas Ubuntu administracines užduotis galima atlikti naudojant sudo įrankį, todėl neįjunkite šakninės paskyros, nebent tai absoliučiai būtina!

Kaip matote, Ubuntu turi daug administracinių teisių valdymo galimybių, kurios leidžia lanksčiai paskirstyti teises tarp kelių administratorių, taip pat suteikia galimybę padidinti teises kai kuriems vartotojams ir tai padaryti efektyviai ir saugiai.

Vartotojų valdymas yra svarbi saugios sistemos palaikymo dalis. Dėl neefektyvaus vartotojų ir teisių valdymo dažnai kyla pavojus daugeliui sistemų. Todėl svarbu suprasti, kaip galite apsaugoti savo serverį naudodami paprastus ir efektyvius vartotojo abonemento valdymo būdus.

Ubuntu kūrėjai priėmė sąžiningą sprendimą išjungti administracinę šakninę paskyrą pagal numatytuosius nustatymus visuose Ubuntu įrenginiuose. Tai nereiškia, kad pagrindinė paskyra buvo ištrinta arba kad ji negali būti pasiekiama. Jai tiesiog buvo suteiktas slaptažodis, kuris neatitinka jokios galimos užšifruotos reikšmės, todėl pats negali prisijungti tiesiogiai.

Vietoj to, vartotojai raginami naudoti įrankį sudo pavadinimu, kad atliktų sistemos administravimo pareigas. Sudo leidžia įgaliotam vartotojui laikinai padidinti savo privilegijas naudojant savo slaptažodį, o ne žinoti pagrindinei paskyrai priklausantį slaptažodį. Ši paprasta, bet veiksminga metodika suteikia atskaitomybę už visus vartotojo veiksmus ir suteikia administratoriui išsamią kontrolę, kokius veiksmus vartotojas gali atlikti turėdamas minėtas teises.

Jei dėl kokių nors priežasčių norite įjungti root paskyrą, tiesiog įveskite slaptažodį:

Konfigūracijos su root slaptažodžiais nėra palaikoma.

sudo passwd

Sudo paprašys jūsų slaptažodžio ir paprašys įvesti naują root slaptažodį, kaip parodyta toliau:

Vartotojo vardo slaptažodis: (įveskite savo slaptažodį) Įveskite naują UNIX slaptažodį: (įveskite naują root slaptažodį) Dar kartą įveskite naują UNIX slaptažodį: (pakartokite naują root slaptažodį) passwd: slaptažodis sėkmingai atnaujintas

Norėdami išjungti root paskyros slaptažodį, naudokite šią passwd sintaksę:

sudo passwd -l šaknis

Tačiau norėdami išjungti pačią šakninę paskyrą, naudokite šią komandą:

usermod --expiredate 1

Skaitydami turėtumėte perskaityti daugiau apie Sudo vyras puslapis:

vyras sudo

Pagal numatytuosius nustatymus pradinis vartotojas, sukurtas Ubuntu diegimo programos, yra grupės "sudo " narys, kuri įtraukiama į failą /etc/sudoers kaip įgaliotas sudo vartotojas. Jei norite bet kuriai kitai paskyrai suteikti visišką root prieigą per sudo , tiesiog pridėkite ją prie sudo grupės.

Vartotojų pridėjimas ir trynimas

Vietinių vartotojų ir grupių valdymo procesas yra nesudėtingas ir labai mažai skiriasi nuo daugelio kitų GNU/Linux operacinių sistemų. „Ubuntu“ ir kiti „Debian“ platinimai skatina paskyros valdymui naudoti „adduser“ paketą.

Norėdami pridėti vartotojo abonementą, naudokite šią sintaksę ir vadovaukitės raginimais, kad suteiktumėte paskyrai slaptažodį ir identifikuojamas charakteristikas, pvz., vardą, pavardę, telefono numerį ir kt.

sudo adduser vartotojo vardas

Norėdami ištrinti vartotojo abonementą ir jos pirminę grupę, naudokite šią sintaksę:

sudo deluser vartotojo vardas

Ištrynus paskyrą, atitinkamas namų aplankas nepašalinamas. Jūs nuspręsite, ar norite ištrinti aplanką rankiniu būdu, ar išlaikyti jį pagal pageidaujamą saugojimo politiką.

Atminkite, kad bet kuris vartotojas, vėliau pridėtas su tuo pačiu UID / GID kaip ir ankstesnis savininkas, dabar turės prieigą prie šio aplanko, jei nesiėmėte reikiamų atsargumo priemonių.

Galbūt norėsite pakeisti šias UID / GID reikšmes į ką nors tinkamesnio, pvz., šakninę paskyrą, ir galbūt net perkelti aplanką, kad išvengtumėte konfliktų ateityje:

sudo chown -R root:root /namai/naudotojo vardas/ sudo mkdir /home/archived_users/ sudo mv /home/username /home/archived_users/

Norėdami laikinai užrakinti arba atrakinti vartotojo abonementą, atitinkamai naudokite šią sintaksę:

sudo passwd -l vartotojo vardas sudo passwd -u vartotojo vardas

Norėdami pridėti arba ištrinti suasmenintą grupę, naudokite atitinkamai šią sintaksę:

sudo addgroup grupės pavadinimas sudo delgroup grupės pavadinimas

Norėdami pridėti vartotoją prie grupės, naudokite šią sintaksę:

sudo adduser vartotojo vardas grupės pavadinimas

Vartotojo profilio sauga

Kai sukuriamas naujas vartotojas, programa adduser sukuria visiškai naują namų katalogą pavadinimu /home/username . Numatytasis profilis modeliuojamas pagal turinį, esantį /etc/skel kataloge, kuriame yra visi profilio pagrindai.

Jei jūsų serveryje dirbs keli vartotojai, turėtumėte atkreipti ypatingą dėmesį į vartotojo namų katalogo leidimus, kad užtikrintumėte konfidencialumą. Pagal numatytuosius nustatymus naudotojų namų katalogai Ubuntu sukuriami su pasaulio skaitymo / vykdymo leidimais. Tai reiškia, kad visi vartotojai gali naršyti ir pasiekti kitų vartotojų namų katalogų turinį. Tai gali netikti jūsų aplinkai.

Norėdami patikrinti dabartinius vartotojo namų katalogo leidimus, naudokite šią sintaksę:

ls -ld /namai/naudotojo vardas

Ši išvestis rodo, kad katalogas /home/username turi visame pasaulyje skaitomus leidimus:

drwxr-xr-x 2 vartotojo vardas vartotojo vardas 4096 2007-10-02 20:03 vartotojo vardas

Galite pašalinti pasaulio skaitymo teises naudodami šią sintaksę:

sudo chmod 0750 /home/username

Kai kurie žmonės linkę be atodairos naudoti rekursyvinę parinktį (-R), kuri modifikuoja visus antrinius aplankus ir failus, tačiau tai nėra būtina ir gali duoti kitų nepageidaujamų rezultatų. Vien tik pirminio katalogo pakanka, kad būtų užkirstas kelias neteisėtai prieigai prie visko, kas yra žemiau pirminio katalogo.

Daug efektyvesnis būdas išspręsti problemą būtų pakeisti visuotinius numatytuosius naudotojo leidimus kuriant vartotojo namų aplankus. Tiesiog redaguokite failą /etc/adduser.conf ir pakeiskite kintamąjį DIR_MODE į kažką tinkamo, kad visi nauji namų katalogai gautų teisingus leidimus.

Pataisę katalogo teises naudodami bet kurį iš anksčiau paminėtų metodų, patikrinkite rezultatus naudodami šią sintaksę:

ls -ld /namai/naudotojo vardas

Toliau pateikti rezultatai rodo, kad visame pasaulyje skaitomi leidimai buvo pašalinti:

drwxr-x--- 2 vartotojo vardas vartotojo vardas 4096 2007-10-02 20:03 vartotojo vardas

Slaptažodžio politika

Tvirta slaptažodžių politika yra vienas iš svarbiausių jūsų saugumo pozicijos aspektų. Daugelis sėkmingų saugumo pažeidimų yra susiję su paprasčiausia žiauria jėga ir žodyno atakomis prieš silpnus slaptažodžius. Jei ketinate pasiūlyti bet kokios formos nuotolinę prieigą, susijusią su vietine slaptažodžių sistema, įsitikinkite, kad tinkamai atsižvelgėte į minimalius slaptažodžio sudėtingumo reikalavimus, maksimalų slaptažodžio naudojimo laiką ir dažnai tikrinate autentifikavimo sistemas.

Minimalus slaptažodžio ilgis

Pagal numatytuosius nustatymus Ubuntu reikalauja mažiausiai 6 simbolių slaptažodžio, taip pat kai kurių pagrindinių entropijos patikrinimų. Šios reikšmės valdomos faile /etc/pam.d/common-password, kuris aprašytas toliau.

slaptažodis pam_unix.so neaiškus sha512

Jei norite pakoreguoti minimalų ilgį iki 8 simbolių, pakeiskite atitinkamą kintamąjį į min=8. Modifikacija aprašyta toliau.

slaptažodis pam_unix.so obscure sha512 minlen=8

Pagrindiniai slaptažodžio entropijos patikrinimai ir minimalaus ilgio taisyklės netaikomos administratoriui, kuris naudoja sudo lygio komandas naujam vartotojui nustatyti.

Slaptažodžio galiojimo laikas

Kurdami vartotojų paskyras turėtumėte laikytis politikos, kad būtų nustatytas minimalus ir maksimalus slaptažodžių amžius, verčiantis vartotojus pakeisti slaptažodžius, jiems pasibaigus.

Norėdami lengvai peržiūrėti dabartinę vartotojo abonemento būseną, naudokite šią sintaksę:

sudo chage -l vartotojo vardas

Toliau pateiktoje išvestyje rodomi įdomūs faktai apie vartotojo abonementą, būtent, kad nėra taikomos politikos:

Paskutinis slaptažodžio keitimas: 2015 m. sausio 20 d. Slaptažodis baigiasi: niekada Slaptažodis neaktyvus: niekada Paskyros galiojimo laikas: niekada Minimalus dienų skaičius tarp slaptažodžio keitimo: 0 Maksimalus dienų skaičius tarp slaptažodžio keitimo: 99999 Įspėjimo dienų skaičius prieš slaptažodžio galiojimo pabaigą: 7

Norėdami nustatyti bet kurią iš šių reikšmių, tiesiog naudokite šią sintaksę ir vykdykite interaktyvius nurodymus:

sudo pakeisti vartotojo vardą

Toliau pateikiamas pavyzdys, kaip galite rankiniu būdu pakeisti aiškų galiojimo pabaigos datą (-E) į 2015-01-31, minimalų slaptažodžio amžių (-m) 5 dienos, maksimalų slaptažodžio amžių (-M) 90 dienų, neveiklumą. 5 dienų laikotarpis (-I) po slaptažodžio galiojimo pabaigos ir 14 dienų įspėjimo laikotarpis (-W) iki slaptažodžio galiojimo pabaigos:/home/username/.ssh/authorized_keys .

Pašalinkite arba pervardykite katalogą .ssh/ vartotojo namų aplanke, kad išvengtumėte tolesnių SSH autentifikavimo galimybių.

Būtinai patikrinkite, ar neįgalus vartotojas užmezgė SSH ryšius, nes gali būti, kad jie turi esamus įeinančius arba išeinančius ryšius. Nužudyk visus rastus.

kas | grep vartotojo vardas (norint gauti pts/# terminalą) sudo pkill -f pts/#

Apribokite prieigą prie SSH tik toms vartotojų paskyroms, kurios turėtų ją turėti. Pavyzdžiui, galite sukurti grupę pavadinimu „sshlogin“ ir pridėti grupės pavadinimą kaip reikšmę, susietą su AllowGroups kintamuoju, esančiu faile /etc/ssh/sshd_config.

AllowGroups sshlogin

Tada pridėkite leistinus SSH vartotojus į grupę „sshlogin“ ir iš naujo paleiskite SSH paslaugą.

sudo adduser vartotojo vardas sshlogin sudo systemctl iš naujo paleiskite sshd.service

Išorinis vartotojo duomenų bazės autentifikavimas

Daugumai įmonių tinklų reikalingas centralizuotas visų sistemos išteklių autentifikavimas ir prieigos kontrolė. Jei sukonfigūravote savo serverį, kad autentifikuotų vartotojus pagal išorines duomenų bazes, būtinai išjunkite vartotojų abonementus tiek išorėje, tiek vietoje. Taip užtikrinate, kad vietinis atsarginis autentifikavimas neįmanomas.