Administrarea utilizatorilor sistemului
Administrarea utilizatorilor este una dintre activitatile defacto a administratorului de sistem UNIX/Linux.
Utilizatorii pot fi ori persoane reale, ori utilizatori logici. Acestia din urma sunt rezervati pentru anumite aplicatii care efectueaza activitati specifice (cum ar fi utilizatorul apache utilizat de serverul httpd). Fiecare utilizator are asociat câte un identificator (User ID) si un identificator de grup (Group ID), ambii luând valori numerice. Un grup poate contine mai multi utilizatori. Acesti doi identificatori sunt atribuiti în momentul crearii utilizatorului, însa pot fi modificati si ulterior. Folositi împreuna, UID si GID determina drepturile de acces la fisiere si la alte resurse ale fiecarui utilizator.
Fisierul care memoreaza informatiile despre utilizatori este /etc/passwd, iar cele despre grupuri este /etc/group.
Crearea unui utilizator cuprinde urmatorii pasi:
atribuie noului utilizator un nume, un identificator de utilizator, precum
si un
identificator de grup;
creeaza o intrare noua în fisierele /etc/passwd, /etc/group, eventual
/etc/shadow si /etc/gshadow;
atribuie o parola noului utilizator;
creeaza directorul home al utilizatorului, de regula /home/nume;
copiaza fisierele implicite aflate în /etc/skel în directorul home.
Cea mai importanta cerinta pentru pastrarea securitatii sistemului este ca toti utilizatorii sa aiba parola. Este obligatorie si stabilirea unei parole initiale pentru utilizator, care, de preferinta, va trebui sa fie schimbata de catre acesta la prima intrare în sistem.
A doua cerinta importanta este utilizarea de parole cât mai sigure. La introducerea parolelor, sistemul va face o comparatie cu baza de date de asa-zise "cuvinte de dictionar", adica cuvinte frecvent folosite, stocate în /usr/share/dict. Se recomanda ca urmatoarele elemente sa nu fie folosite ca parole sau ca fragmente din parole:
numele utilizatorului, numele membrilor familiei (inclusiv animale
domestice) sau nume din cercul apropiat de prieteni;
numere semnificative pentru utilizator: cod numeric personal, numere de
telefon, zi de nastere etc.;
Configurari de baza ale sistemului
elemente importante pentru utilizator: mâncarea preferata, filmul preferat etc.;
nume, numere sau alte elemente legate de compania la care lucreaza
utilizatorul;
exemple publicate de parole.
Principiul fundamental pentru alegerea parolelor este ca parola sa fie usor de memorat, dar greu de ghicit. Se recomanda respectarea urmatoarelor reguli la stabilirea parolelor:
folosirea unor caractere neuzuale, cum ar fi simboluri sau semne de
punctuatie;
pot fi folosite cuvinte, dar intentionat gresit scrise;
sa se utilizeze majuscule în combinatie cu minuscule;
pot fi combinate cuvinte sau fragmente de cuvinte (cum ar fi
"mafaxsina",
prin combinarea cuvintelor "masina" si
"fax").
6.1. Fisierul /etc/passwd
Fisierul /etc/passwd are urmatoare structura:
| nume : parola : UID : GID : informatii : director : shell
unde:
nume este numele utilizatorului;
parola reprezinta parola criptata a utilizatorului, daca nu se foloseste
sistemul shadow, sau caracterul "x", daca este utilizat acest sistem. Daca acest câmp este "*", nu este permisa intrarea utilizatorului în sistem. Daca acest câmp este vid, nu va fi solicitata nici o parola pentru autentificarea utilizatorului;
UID reprezinta identificatorul utilizatorului. Pentru securitate sporita,
este bine ca valoarea acestuia sa fie unica. In mod conventional, identificatorii pâna la 100 sunt rezervati pentru utilizatorii logici descrisi mai sus;
GID este identificatorul grupului principal din care face parte
utilizatorul, în mod conventional, identificatorii pâna la 100 sunt rezervati pentru grupurile logice;
informatii contine în mod normal numele utilizatorului. Acest câmp este denumit si câmpul GECOS. în acest câmp pot fi memorate si informatii suplimentare privind biroul în care lucreaza
Administrarea si configurarea sistemelor Linux
utilizatorul, numarul de telefon etc., aceste informatii fiind separate prin virgula;
shell este interpretorul de comenzi utilizat de utilizator. Interpretorul
va fi lansat dupa intrarea utilizatorului în sistem. Este în general /bin/bash, dar poate fi si /bin/csh etc.
O linie dintr-un fisier /etc/passwd poate arata astfel: sabin:x:101:101:Sabin Buraga:/home/sabin:/bin/bash
Fisierul /etc/passwd trebuie sa aiba ca proprietar root-u\ si sa nu poata fi scris decât de acesta (e.g. sa aiba drepturile 644). Pentru detalii privind drepturile de acces asupra fisierelor, vezi sectiunea 6.4.
6.2. Fisierul /etc/group
Fisierul /etc/group are urmatoarea structura:
| nume : * : GID : lista_utilizatori
unde:
nume este numele grupului;
GID este identificatorul de grup. în mod conventional, identificatorii
pâna la 100 sunt rezervati pentru grupurile sistemului; listajutilizatori reprezinta lista de utilizatori care fac parte din acest grup, pe
lânga utilizatorii care apartin grupului în virtutea definitiei din
/etc/passwd. Elementele liste trebuie sa fie separate prin
virgula.
O linie dintr-un fisier /etc/group poate arata astfel:
| autori 200:dragos,sabin
Fisierul /etc/group trebuie sa aiba ca proprietar root-u\ si sa nu poata fi scris decât de acesta (e.g. sa aiba drepturile 644).
Administrarea utilizatorilor se poate face cu ajutorul aplicatiei grafice redhat-config-users (din meniul System :: User Manager) în Red Hat, userdrake (meniul Configuration :: Other :: Userdrake) în Mandrake, fie cu ajutorul uneltelor traditionale (vezi infra), fie, de ce nu, manual, de catre administratorii experimentati.
Configurari de baza ale sistemului
6.3. Unelte traditionale pentru administrarea utilizatorilor
Adaugarea de utilizatori: useradd nume
stergerea de utilizatori: userdei nume
Modificarea informatiilor despre utilizatori: usermod nume
Adaugarea de grupuri: groupadd nume
stergerea de grupuri: groupdel nume
Modificarea informatiilor despre grupuri: groupmod nume
Adaugarea de utilizatori la un grup:
gpasswd -a nume_utilizator nume_grup Modificarea parolei unui utilizator: passwd nume
6.4. Sistemul shadow
Sistemul shadow asigura o metoda sigura de memorare a parolelor. Parolele sunt memorate în fisierul /etc/shadow, care nu poate fi accesat de catre utilizatori, având drepturile de acces 400.
Este recomandata activarea sistemului shadow si eventual a algoritmului de criptare MD5, daca se doreste o siguranta si mai mare. Trecerea de la sistemului
Administrarea si configurarea sistemelor Linux
clasic de memorare a parolelor la sistemul shadow se poate face cu ajutorul utilitarului pwconv.
Fisierul /etc/shadow este alcatuit din opt câmpuri, dupa cum urmeaza:
nume este numele utilizatorului;
parola este parola criptata;
ultima_modificare data ultimei modificari a parolei, exprimata în zile trecute de
la l ianuarie 1970;
numar_minim_de_zile numarul de zile cât timp o parola nu poate fi schimbata; numar_maxim_de_zile numarul de zile dupa care parola trebuie schimbata; numar_zile_de_atentionare numarul de zile înainte de data la care va trebui ca
parola sa fie schimbata, la care utilizatorul va primi o atentionare; zile_inactive numarul de zile fara activitate (adica utilizatorul nu intra în sistem) trecute de la data expirarii parolei dupa care utilizatorul va fi blocat; data_expirarii data la care utilizatorul va fi blocat automat.
Modificarea acestor câmpuri se poate face tot cu comanda passwd, utilizând optiunile:
-n nr_zile stabileste numarul de zile cât timp parola nu poate fi schimbata
-x nr_zile stabileste numarul de zile dupa care parola trebuie schimbata
-f forteaza utilizatorul sa-si schimbe parola la urmatoarea intrare în sistem
-S afiseaza valorile câmpurilor
-a se utilizeaza împreuna cu -S pentru a afisa informatii pentru toti
utilizatorii
blocheaza utilizatorul
deblocheaza utilizatorul
-d anuleaza parola. Nu este recomandat!
De exemplu, comanda passwd -x 60 dragos stabileste ca utilizatorul dragos trebuie sa-si schimbe parola o data la 60 de zile.
Comanda passwd -l sabin blocheaza intrarea utilizatorului sabin în sistem. Poate fi utilizata si comanda chage, care permite si modificarea celorlalte câmpuri shadow. Aceasta suporta urmatoarele optiuni:
-d nr_zile forteaza data ultimei modificari a parolei, exprimata în zile scurse de
la l ianuarie 1970
-m nr_zile stabileste numarul de zile cât timp parola nu poate fi schimbata -Mnr_zile stabileste numarul de zile dupa care parola trebuie schimbata - W nr_zile numarul de zile înainte de data la care parola va trebui sa fie
schimbata, la care utilizatorul va primi o atentionare -Inr_zile numarul de zile fara activitate (adica utilizatorul nu intra în sistem)
trecute de la data expirarii parolei, dupa care utilizatorul va fi blocat -E data data la care utilizatorul va fi blocat automat. Poate fi specificata fie
în formatul aaaa-ll-zz (an-luna-zi), fie ca numar de zile scurse de
la l ianuarie 1970.
Configurari de baza ale sistemului
Ca si passwd, comanda chage primeste ca parametru obligatoriu numele utilizatorului.
Spre exemplu, comanda chage -m 90 -w 5 -i 2 dragos stabileste ca utilizatorul dragos este obligat sa-si modifice parola la fiecare 90 de zile, fiind atentionat cu 5 zile înainte de acest termen. De asemenea, utilizatorul va fi blocat dupa 2 zile de inactivitate, dupa acest termen. Acesta va trebui sa contacteze administratorul sistemului pentru a putea fi deblocat.
Comanda chage -e 2002-07-is sabin stabileste ca utilizatorul sabin va fi blocat neconditionat la 15.07.2002.
|
