Professional Documents
Culture Documents
003 Accounts - En.vi
003 Accounts - En.vi
003 Accounts - En.vi
com
CSE 265:
Quản trị Hệ thống và Mạng
● Tài khoản người dùng ● Quyền hạn gốc
- Tệp / etc / passwd - Quyền sở hữu tệp
- Tệp / etc / shadow và quy trình
- Siêu người dùng
- Tệp / etc / group
- Thêm người dùng
- Chọn mật khẩu
gốc
- Xóa người dùng
- Trở thành người chủ
- Tắt thông tin đăng nhập
- Người dùng giả khác
- Tài khoản
tiện ích quản lý
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Tệp / etc / passwd
- /etc / passwd liệt kê tất cả người dùng được công nhận và chứa:
● tên đăng nhập
● mật khẩu được mã hóa (trừ khi / etc / shadow được sử dụng)
● Số UID
● số GID mặc định
● tên đầy đủ, văn phòng, số máy lẻ, số
điện thoại nhà (tùy chọn)
● thư mục chính
● vỏ đăng nhập
- Các ví dụ
root: lga4FjuGpZ2so: 0: 0: The System ,, x6096,: /: / bin / csh jl: x: 100:
0: Jim Lane, ECT8-3 ,,: / staff / fl: / bin / sh
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Tên đăng nhập
● Cú pháp
- tên người dùng phải là duy nhất
- <=32 ký tự
(hệ thống cũ / NIS: giới hạn 8 ký tự)
- bất kỳ ký tự nào ngoại trừ dòng mới và dấu hai chấm
● khuyến nghị
- sử dụng chữ thường (ngay cả khi phân biệt chữ hoa chữ thường)
- chọn dễ nhớ
- tránh "tay cầm" và biệt hiệu đáng yêu
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Mật khẩu được mã hóa
- Hầu hết mật khẩu nằm trong / etc / shadow, không
phải / etc / passwd
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Số UID
- Trong Linux, UID là số nguyên 32 bit không dấu (4B!)
● Các hệ thống cũ hơn chỉ cho phép tối đa 32.767
- Gốc là (hầu như luôn luôn) UID 0
- Thông tin đăng nhập giả mạo / hệ thống thường có UID thấp
● Đặt người dùng thực> = 100
- Tránh tái chế UID
● Tệp cũ, bản sao lưu được xác định bằng UID
- Duy trì các UID duy nhất trên toàn tổ chức
● hữu ích cho sự nhất quán giữa các hệ thống tệp mạng
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Các lĩnh vực khác
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Tệp / etc / shadow
- Chỉ có thể đọc bởi - Chứa:
superuser ● Tên đăng nhập
- Tài khoản nâng cao ● Mật khẩu được mã hóa
thông tin ● Ngày thay đổi pw
- Sử dụng rất cao ● Số ngày tối thiểu giữa các lần
khuyến khích thay đổi mật khẩu
● Số ngày tối đa giữa các lần thay đổi pw
- Sử dụngusermodđể
● Nhiều ngày trước để cảnh báo
sửa đổi nội dung
● Không quá ngày sau khi hết hạn để vô
hiệu hóa tài khoản
● Ngày hết hạn tài khoản
● Trường dành riêng
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Tệp / etc / group
● Chứa tên của các nhóm và liệt kê từng
thành viên
● Thí dụ:
- bánh xe: *: 10: root, evi, garth, trent, brian
- Tên nhóm: mật khẩu được mã hóa: GID: Danh sách thành
viên, được phân tách bằng dấu phẩy (không có dấu cách)
● Nên đặt nhóm cho mỗi người dùng
- Bảo mật mặc định tốt hơn
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Thêm người dùng
● Đối với các cài đặt nhỏ, việc thêm người dùng rất đơn giản
- Có người dùng ký tên và ghi ngày thỏa thuận người dùng
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Các bước để thêm người dùng (1)
- Chỉnh sửa các tệp / etc / passwd và / etc / shadow để xác định tài
khoản
● Sử dụngvipwđể khóa và chỉnh sửa với $ EDITOR
- Đặt mật khẩu ban đầu
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Các bước để thêm người dùng (2)
- Sao chép các tệp khởi động mặc định vào thư mục chính của
người dùng
● bấu víu
- .bashrc, .bash_profile
● csh / tcsh
- .đăng nhập, .cshrc, .logout
● Cửa sổ X
- .Xdefaults, .Xclients, .xsession
- Cần tạo và lưu trữ các tệp mặc định!
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Các bước để thêm người dùng (3)
# cp /etc/skel/.[a-zA-Z]* ~ tyler
# chmod 644 ~ tyler /. [a-zA-Z] *
# chown tyler ~ tyler /. [a-zA-Z] *
# nhân viên chgrp ~ tyler /. [a-zA-Z] *
- Không thể sử dụngchown tyler ~ tyler /.*
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Các bước để thêm người dùng (4)
- Xóa người dùng khỏi cơ sở dữ liệu cục bộ hoặc danh sách điện thoại
- Xóa các tệp tạm thời trong / var / tmp hoặc / tmp
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Tắt thông tin đăng nhập
● Đôi khi bạn cần tạm thời vô hiệu hóa đăng nhập
● Không thể chỉ đặt một ngôi sao trước pw được mã hóa
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Tiện ích quản lý tài khoản
● Các tiện ích cơ bản
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Siêu người dùng
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Các hoạt động bị hạn chế
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Chọn mật khẩu gốc
- Bất kỳ mật khẩu? Không nếu
bạn muốn nó khó crack.
- Nên là
● Ít nhất tám ký tự (nhiều hơn
có thể không hữu ích)
● Không dễ dàng đoán hoặc tìm thấy
bằng cách thử và sai
● Đáng nhớ (vì vậy bạn không cần phải viết nó ra)
● Một chuỗi các chữ cái, chữ số và dấu câu dường như ngẫu nhiên
● Vô nghĩa gây sốc!
- Đáng nhớ, không thể đoán được, duy nhất, không tiết lộ
- Mpmgg !: "Nhuyễn thể mổ bộ phận sinh dục đang phi nước đại của tôi!"
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Thay đổi mật khẩu gốc
● Nên được thực hiện
- Ít nhất ba tháng một lần
- Mỗi khi ai đó có thể biết
mật khẩu rời khỏi trang
web
- Bất cứ khi nào bạn nghĩ rằng bảo
mật có thể bị xâm phạm
- Vào một ngày khi bạn sẽ
nhớ về pw mới!
Mùa xuân 2016 CSE 265: Quản trị viên hệ thống và mạng
Trở thành người chủ
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Là gốc
● Trách nhiệm!
- Không cung cấp mật khẩu gốc
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
su
- su: danh tính người dùng thay thế (chuyển đổi người dùng)
● Nếu không có args, su sẽ nhắc nhập mật khẩu gốc và sau đó khởi
động trình bao gốc
● Nhật ký ai trở thành gốc và khi nào
● Cũng có thểsutên tài khoản
- nếu bạn biết pw, hoặc đã root
● Sử dụng "su -”Để thực thi trình bao của người dùng mới
- Nếu không, PATH mới không được thiết lập
● Ý tưởng hay là sử dụng tên đường dẫn đầy đủ đếnsu(tại sao?)
- Linux: / bin / su
- Solaris: / sbin / su
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
sudo
● sudo: một su giới hạn
- Khi bạn muốn cung cấp các đặc quyền root có giới hạn
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
XKCD nổi tiếng
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Tệp sudoers mẫu
# Xác định bí danh cho các máy trong bộ phận CS & Vật lý Host_Alias
CS = tigger, anchor, piper, moet, sigi PHYSICS =
Host_Alias eprince, pprince, icarus
# Xác định tập hợp các lệnh Cmnd_Alias DUMP = / sbin / dump, / sbin / restore
Cmnd_Alias PRINTING = / usr / sbin / lpc, / usr / bin / lprm Cmnd_Alias SHELLS
= / bin / sh, / bin / csh /, / bin / bash, / bin / tro
# Quyền
đánh dấu, biên tập VẬT LÝ = TẤT CẢ
thảo mộc CS = / usr / local / bin / tcpdump: PHYSICS = (operator) DUMP ALL = (ALL)
lynda ALL,! SHELLS
%bánh xe TẤT CẢ,! Vật lý = NOPASSWD: IN
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
thảo luận về sudoers
- Mỗi dòng quyền bao gồm
● Người dùng mà dòng áp dụng
● Máy chủ lưu trữ áp dụng dòng
● Các lệnh mà người dùng có thể chạy
● Người dùng mà các lệnh có thể được thực thi
- Sử dụng visudo để chỉnh sửa
- Thí dụ:
% sudo -u operator / sbin / dump 0u / dev / hda2
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
lợi thế của sudo
- Trách nhiệm giải trình - các lệnh được ghi lại
- Người vận hành có thể làm việc nhà mà không cần quyền root
- Có thể thu hồi các đặc quyền mà không cần thay đổi pw gốc
- Một danh sách đầy đủ những người dùng có quyền root được duy trì
- Một tệp duy nhất có thể kiểm soát quyền truy cập
cho toàn bộ mạng
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
ghi nhật ký sudo
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
nhược điểm của sudo
● /tệp etc / sudoers là tất cả mọi thứ!
● Người dùng vớisudocác đặc quyền phải bảo vệ tài khoản
của họ như thể họ đã được root!
● Có thể tránh ghi nhật ký lệnh
bằng cách khởi động trình bao
hoặc chạy một số chương trình
cho phép thoát trình bao
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Người dùng giả khác
● thùng rác
● daemon
- Chủ sở hữu của các tệp và quy trình không có đặc quyền
● không ai
- Giải thích cho nguồn gốc từ xa của hệ thống NFS
● Họ thường không thể ở UID 0!
● Chúng cần được ánh xạ tới một thứ gì đó
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Mật khẩu nhóm
- Cácnewgrplệnh cho phép người dùng thay đổi
nhóm mặc định
● Bắt đầu một trình bao mới
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
sudo bang bang
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison