Documente online.
Zona de administrare documente. Fisierele tale
Am uitat parola x Creaza cont nou
 HomeExploreaza
upload
Upload




Administrarea utilizatorilor sistemului

linux


Administrarea utilizatorilor sistemului

Administrarea utilizatorilor este una dintre activitatile defacto a administratorului de sistem UNIX/Linux.



Utilizatorii pot fi ori persoane reale, ori utilizatori logici. Acestia din urma sunt rezervati pentru anumite aplicatii care efectueaza activitati specifice (cum ar fi utilizatorul apache utilizat de serverul httpd). Fiecare utilizator are asociat câte un identificator (User ID) si un identificator de grup (Group ID), ambii luând valori numerice. Un grup poate contine mai multi utilizatori. Acesti doi identificatori sunt atribuiti în momentul crearii utilizatorului, însa pot fi modificati si ulterior. Folositi împreuna, UID si GID determina drepturile de acces la fisiere si la alte resurse ale fiecarui utilizator.

Fisierul care memoreaza informatiile despre utilizatori este /etc/passwd, iar cele despre grupuri este /etc/group.

Crearea unui utilizator cuprinde urmatorii pasi:

atribuie noului utilizator un nume, un identificator de utilizator, precum si un
identificator de grup;

creeaza o intrare noua în fisierele /etc/passwd, /etc/group, eventual
/etc/shadow si /etc/gshadow;

atribuie o parola noului utilizator;

creeaza directorul home al utilizatorului, de regula /home/nume;

copiaza fisierele implicite aflate în /etc/skel în directorul home.

Cea mai importanta cerinta pentru pastrarea securitatii sistemului este ca toti utilizatorii sa aiba parola. Este obligatorie si stabilirea unei parole initiale pentru utilizator, care, de preferinta, va trebui sa fie schimbata de catre acesta la prima intrare în sistem.

A doua cerinta importanta este utilizarea de parole cât mai sigure. La introducerea parolelor, sistemul va face o comparatie cu baza de date de asa-zise "cuvinte de dictionar", adica cuvinte frecvent folosite, stocate în /usr/share/dict. Se recomanda ca urmatoarele elemente sa nu fie folosite ca parole sau ca fragmente din parole:

numele utilizatorului, numele membrilor familiei (inclusiv animale
domestice) sau nume din cercul apropiat de prieteni;

numere semnificative pentru utilizator: cod numeric personal, numere de
telefon, zi de nastere etc.;

Configurari de baza ale sistemului

elemente importante pentru utilizator: mâncarea preferata, filmul preferat etc.;

nume, numere sau alte elemente legate de compania la care lucreaza
utilizatorul;

exemple publicate de parole.

Principiul fundamental pentru alegerea parolelor este ca parola sa fie usor de memorat, dar greu de ghicit. Se recomanda respectarea urmatoarelor reguli la stabilirea parolelor:

folosirea unor caractere neuzuale, cum ar fi simboluri sau semne de
punctuatie;

pot fi folosite cuvinte, dar intentionat gresit scrise;

sa se utilizeze majuscule în combinatie cu minuscule;

pot fi combinate cuvinte sau fragmente de cuvinte (cum ar fi "mafaxsina",
prin combinarea cuvintelor "masina" si "fax").

6.1. Fisierul /etc/passwd

Fisierul /etc/passwd are urmatoare structura:

| nume : parola : UID : GID : informatii : director : shell

unde:

nume este numele utilizatorului;

parola reprezinta parola criptata a utilizatorului, daca nu se foloseste

sistemul shadow, sau caracterul "x", daca este utilizat acest sistem. Daca acest câmp este "*", nu este permisa intrarea utilizatorului în sistem. Daca acest câmp este vid, nu va fi solicitata nici o parola pentru autentificarea utilizatorului;

UID reprezinta identificatorul utilizatorului. Pentru securitate sporita,

este bine ca valoarea acestuia sa fie unica. In mod conventional, identificatorii pâna la 100 sunt rezervati pentru utilizatorii logici descrisi mai sus;

GID este identificatorul grupului principal din care face parte

utilizatorul, în mod conventional, identificatorii pâna la 100 sunt rezervati pentru grupurile logice;

informatii contine în mod normal numele utilizatorului. Acest câmp este denumit si câmpul GECOS. în acest câmp pot fi memorate si informatii suplimentare privind biroul în care lucreaza

Administrarea si configurarea sistemelor Linux

utilizatorul, numarul de telefon etc., aceste informatii fiind separate prin virgula;

shell este interpretorul de comenzi utilizat de utilizator. Interpretorul

va fi lansat dupa intrarea utilizatorului în sistem. Este în general /bin/bash, dar poate fi si /bin/csh etc.

O linie dintr-un fisier /etc/passwd poate arata astfel: sabin:x:101:101:Sabin Buraga:/home/sabin:/bin/bash

Fisierul /etc/passwd trebuie sa aiba ca proprietar root-u\ si sa nu poata fi scris decât de acesta (e.g. sa aiba drepturile 644). Pentru detalii privind drepturile de acces asupra fisierelor, vezi sectiunea 6.4.

6.2. Fisierul /etc/group

Fisierul /etc/group are urmatoarea structura:

| nume : * : GID : lista_utilizatori

unde:

nume este numele grupului;

GID este identificatorul de grup. în mod conventional, identificatorii

pâna la 100 sunt rezervati pentru grupurile sistemului; listajutilizatori reprezinta lista de utilizatori care fac parte din acest grup, pe

lânga utilizatorii care apartin grupului în virtutea definitiei din

/etc/passwd. Elementele liste trebuie sa fie separate prin

virgula.

O linie dintr-un fisier /etc/group poate arata astfel:

| autori 200:dragos,sabin

Fisierul /etc/group trebuie sa aiba ca proprietar root-u\ si sa nu poata fi scris decât de acesta (e.g. sa aiba drepturile 644).

Administrarea utilizatorilor se poate face cu ajutorul aplicatiei grafice redhat-config-users (din meniul System :: User Manager) în Red Hat, userdrake (meniul Configuration :: Other :: Userdrake) în Mandrake, fie cu ajutorul uneltelor traditionale (vezi infra), fie, de ce nu, manual, de catre administratorii expe­rimentati.

Configurari de baza ale sistemului

6.3. Unelte traditionale pentru administrarea utilizatorilor

Adaugarea de utilizatori: useradd nume

stergerea de utilizatori: userdei nume

Modificarea informatiilor despre utilizatori: usermod nume

Adaugarea de grupuri: groupadd nume

stergerea de grupuri: groupdel nume

Modificarea informatiilor despre grupuri: groupmod nume

Adaugarea de utilizatori la un grup:

gpasswd -a nume_utilizator nume_grup Modificarea parolei unui utilizator: passwd nume

6.4. Sistemul shadow

Sistemul shadow asigura o metoda sigura de memorare a parolelor. Parolele sunt memorate în fisierul /etc/shadow, care nu poate fi accesat de catre utilizatori, având drepturile de acces 400.

Este recomandata activarea sistemului shadow si eventual a algoritmului de criptare MD5, daca se doreste o siguranta si mai mare. Trecerea de la sistemului

Administrarea si configurarea sistemelor Linux

clasic de memorare a parolelor la sistemul shadow se poate face cu ajutorul utilitarului pwconv.

Fisierul /etc/shadow este alcatuit din opt câmpuri, dupa cum urmeaza:

nume      este numele utilizatorului;

parola      este parola criptata;

ultima_modificare data ultimei modificari a parolei, exprimata în zile trecute de

la l ianuarie 1970;

numar_minim_de_zile numarul de zile cât timp o parola nu poate fi schimbata; numar_maxim_de_zile numarul de zile dupa care parola trebuie schimbata; numar_zile_de_atentionare numarul de zile înainte de data la care va trebui ca

parola sa fie schimbata, la care utilizatorul va primi o atentionare; zile_inactive numarul de zile fara activitate (adica utilizatorul nu intra în sistem) trecute de la data expirarii parolei dupa care utilizatorul va fi blocat; data_expirarii data la care utilizatorul va fi blocat automat.

Modificarea acestor câmpuri se poate face tot cu comanda passwd, utilizând optiunile:

-n nr_zile stabileste numarul de zile cât timp parola nu poate fi schimbata

-x nr_zile stabileste numarul de zile dupa care parola trebuie schimbata

-f forteaza utilizatorul sa-si schimbe parola la urmatoarea intrare în sistem

-S afiseaza valorile câmpurilor

-a se utilizeaza împreuna cu -S pentru a afisa informatii pentru toti

utilizatorii

blocheaza utilizatorul

deblocheaza utilizatorul

-d anuleaza parola. Nu este recomandat!

De exemplu, comanda passwd -x 60 dragos stabileste ca utilizatorul dragos trebuie sa-si schimbe parola o data la 60 de zile.

Comanda passwd -l sabin blocheaza intrarea utilizatorului sabin în sistem. Poate fi utilizata si comanda chage, care permite si modificarea celorlalte câmpuri shadow. Aceasta suporta urmatoarele optiuni:

-d nr_zile forteaza data ultimei modificari a parolei, exprimata în zile scurse de

la l ianuarie 1970

-m nr_zile stabileste numarul de zile cât timp parola nu poate fi schimbata -Mnr_zile stabileste numarul de zile dupa care parola trebuie schimbata - W nr_zile numarul de zile înainte de data la care parola va trebui sa fie

schimbata, la care utilizatorul va primi o atentionare -Inr_zile numarul de zile fara activitate (adica utilizatorul nu intra în sistem)

trecute de la data expirarii parolei, dupa care utilizatorul va fi blocat -E data      data la care utilizatorul va fi blocat automat. Poate fi specificata fie

în formatul aaaa-ll-zz (an-luna-zi), fie ca numar de zile scurse de

la l ianuarie 1970.

Configurari de baza ale sistemului

Ca si passwd, comanda chage primeste ca parametru obligatoriu numele utilizatorului.

Spre exemplu, comanda chage -m 90 -w 5 -i 2 dragos stabileste ca utilizatorul dragos este obligat sa-si modifice parola la fiecare 90 de zile, fiind atentionat cu 5 zile înainte de acest termen. De asemenea, utilizatorul va fi blocat dupa 2 zile de inactivitate, dupa acest termen. Acesta va trebui sa contacteze administratorul sistemului pentru a putea fi deblocat.

Comanda chage -e 2002-07-is sabin stabileste ca utilizatorul sabin va fi blocat neconditionat la 15.07.2002.


Document Info


Accesari: 1616
Apreciat: hand-up

Comenteaza documentul:

Nu esti inregistrat
Trebuie sa fii utilizator inregistrat pentru a putea comenta


Creaza cont nou

A fost util?

Daca documentul a fost util si crezi ca merita
sa adaugi un link catre el la tine in site


in pagina web a site-ului tau.




eCoduri.com - coduri postale, contabile, CAEN sau bancare

Politica de confidentialitate | Termenii si conditii de utilizare




Copyright © Contact (SCRIGROUP Int. 2024 )