003 Accounts - En.vi

Translated from English to Vietnamese - www.onlinedoctranslator.
com
CSE 265:
Quản trị Hệ thống và Mạng
● Tài khoản người dùng ● Quyền hạn gốc
- Tệp / etc / passwd - Quyền sở hữu tệp
- Tệp / etc / shadow và quy trình
- Siêu người dùng
- Tệp / etc / group
- Thêm người dùng
- Chọn mật khẩu
gốc
- Xóa người dùng
- Trở thành người chủ
- Tắt thông tin đăng nhập
- Người dùng giả khác
- Tài khoản
tiện ích quản lý
Mùa xuân 2016 CSE 265: Quản trị Hệ thống và Mạng © 2004-2016 Brian D. Davison
Tệp / etc / passwd
- /etc / passwd liệt kê tất cả người dùng được công nhận và chứa:
● tên đăng nhập
● mật khẩu được mã hóa (trừ khi / etc / shadow được sử dụng)
● Số UID
● số GID mặc định
● tên đầy đủ, văn phòng, số máy lẻ, số
điện thoại nhà (tùy chọn)
● thư mục chính
● vỏ đăng nhập
- Các ví dụ
root: lga4FjuGpZ2so: 0: 0: The System ,, x6096,: /: / bin / csh jl: x: 100:
0: Jim Lane, ECT8-3 ,,: / staff / fl: / bin / sh
Tên đăng nhập
● Cú pháp
- tên người dùng phải là duy nhất
- <=32 ký tự
(hệ thống cũ / NIS: giới hạn 8 ký tự)
- bất kỳ ký tự nào ngoại trừ dòng mới và dấu hai chấm
● khuyến nghị
- sử dụng chữ thường (ngay cả khi phân biệt chữ hoa chữ thường)
- chọn dễ nhớ
- tránh "tay cầm" và biệt hiệu đáng yêu
Mật khẩu được mã hóa
- Hầu hết mật khẩu nằm trong / etc / shadow, không
phải / etc / passwd
- Mật khẩu được lưu trữ được mã hóa

● Không thể thay đổi bằng tay
● Có thể được sao chép từ một tài khoản khác
● Được đặt bằng mật khẩu (hoặc yppasswd cho NIS)
- Trường mật khẩu không bao giờ được để trống
● Đặt một ngôi sao (*) vào vị trí (x để sử dụng bóng)
● Nếu không thì không cần pw!
- Mật khẩu MD5 (hầu hết các bản phân phối) có thể có độ dài bất kỳ
● Các hệ thống khác chỉ sử dụng tám ký tự đầu tiên
Số UID
- Trong Linux, UID là số nguyên 32 bit không dấu (4B!)
● Các hệ thống cũ hơn chỉ cho phép tối đa 32.767
- Gốc là (hầu như luôn luôn) UID 0
- Thông tin đăng nhập giả mạo / hệ thống thường có UID thấp
● Đặt người dùng thực> = 100
- Tránh tái chế UID
● Tệp cũ, bản sao lưu được xác định bằng UID
- Duy trì các UID duy nhất trên toàn tổ chức
● hữu ích cho sự nhất quán giữa các hệ thống tệp mạng
Các lĩnh vực khác
- số GID mặc định

● như UID, số nguyên không dấu 32 bit
● GID - dành cho nhóm "gốc"
- Các trường GECOS (tùy chọn) [chfn]
● Hệ điều hành toàn diện General Electric
● họ tên, văn phòng, số máy lẻ, số điện thoại nhà riêng
- thư mục chính

● Nơi người dùng bắt đầu khi đăng nhập
- vỏ đăng nhập [chsh]
● chẳng hạn như sh / bash, csh / tcsh, ksh, v.v.
Tệp / etc / shadow
- Chỉ có thể đọc bởi - Chứa:
superuser ● Tên đăng nhập
- Tài khoản nâng cao ● Mật khẩu được mã hóa
thông tin ● Ngày thay đổi pw
- Sử dụng rất cao ● Số ngày tối thiểu giữa các lần
khuyến khích thay đổi mật khẩu
● Số ngày tối đa giữa các lần thay đổi pw
- Sử dụngusermodđể
● Nhiều ngày trước để cảnh báo
sửa đổi nội dung
● Không quá ngày sau khi hết hạn để vô
hiệu hóa tài khoản
● Ngày hết hạn tài khoản
● Trường dành riêng
Tệp / etc / group
● Chứa tên của các nhóm và liệt kê từng
thành viên
● Thí dụ:
- bánh xe: *: 10: root, evi, garth, trent, brian
- Tên nhóm: mật khẩu được mã hóa: GID: Danh sách thành
viên, được phân tách bằng dấu phẩy (không có dấu cách)
● Nên đặt nhóm cho mỗi người dùng
- Bảo mật mặc định tốt hơn
Thêm người dùng
● Đối với các cài đặt nhỏ, việc thêm người dùng rất đơn giản
- Có người dùng ký tên và ghi ngày thỏa thuận người dùng
- Tạo tài khoản người dùng với useradd
- Đặt mật khẩu bằng mật khẩu
- Thay đổi giá trị mặc định với usermod
Các bước để thêm người dùng (1)
- Chỉnh sửa các tệp / etc / passwd và / etc / shadow để xác định tài
khoản
● Sử dụngvipwđể khóa và chỉnh sửa với $ EDITOR
- Đặt mật khẩu ban đầu
# người dùng mật khẩu
- Tạo, cắt và chmod thư mục chính của người

dùng
# mkdir / home / staff / tyler
# chown tyler.staff / home / staff / tyler
# chmod 700 / home / staff / tyler
- Sao chép các tệp khởi động mặc định vào thư mục chính của
người dùng
● bấu víu
- .bashrc, .bash_profile
● csh / tcsh
- .đăng nhập, .cshrc, .logout
● Cửa sổ X
- .Xdefaults, .Xclients, .xsession
- Cần tạo và lưu trữ các tệp mặc định!
- Sao chép tệp vào thư mục mới
# cp /etc/skel/.[a-zA-Z]* ~ tyler
# chmod 644 ~ tyler /. [a-zA-Z] *
# chown tyler ~ tyler /. [a-zA-Z] *
# nhân viên chgrp ~ tyler /. [a-zA-Z] *
- Không thể sử dụngchown tyler ~ tyler /.*
- Đặt thư về nhà

● có thể chỉnh sửa / etc / mail / aliases
- Chỉnh sửa / etc / group file

● Thêm vào các nhóm có liên quan
- Có thể đặt hạn ngạch đĩa với edquota
- Xác minh thông tin đăng nhập mới
● đăng nhập với tư cách người dùng mới
● hành hìnhpwdvàls -la

- Thông báo cho người dùng mới về tài khoản
và mật khẩu ban đầu
● được ký AUP
- Ghi lại trạng thái tài khoản
và thông tin liên hệ
Xóa người dùng
● Nói chung vớiuserdel

- Đặt hạn ngạch đĩa thành 0
- Xóa người dùng khỏi cơ sở dữ liệu cục bộ hoặc danh sách điện thoại
- Xóa khỏi tệp bí danh (hoặc thêm chuyển tiếp)
- Xóa tệp crontab và bất kỳ công việc nào đang chờ xử lý
- Diệt mọi quy trình đang chạy
- Xóa các tệp tạm thời trong / var / tmp hoặc / tmp
- Xóa khỏi tệp passwd, shadow và nhóm

- Xóa thư mục chính (sao lưu trước) và thư mục
Tắt thông tin đăng nhập
● Đôi khi bạn cần tạm thời vô hiệu hóa đăng nhập
● Không thể chỉ đặt một ngôi sao trước pw được mã hóa
- Vẫn có thể đăng nhập qua mạng w / out pw

● Cách thường làm
- Thay thế trình bao bằng chương trình giải thích trạng thái và
hướng dẫn cách khắc phục
Tiện ích quản lý tài khoản
● Các tiện ích cơ bản
- useradd-thêm vào tệp mật khẩu và tệp bóng
- usermod-thay đổi mục nhập mật khẩu hiện có
- userdel-xóa người dùng, chọn. xóa nhà dir

- groupadd, groupmod, groupdelhoạt động trên /
etc / group
● Thông thường để viết tùy chỉnhthêm người dùngvà
rmusertập lệnh
Siêu người dùng
● Tài khoản gốc có UID là 0

- Có thể thay đổi tên và tạo người dùng khác có
cùng UID; không được khuyến khích
● Superuser (bất kỳ quy trình nào có UID 0 hiệu quả) đều có thể
thực hiệnkhông tí nàohoạt động hợp lệ trên không tí nào
tệp hoặc quy trình.
● Tất cả những người dùng khác đều "bình thường"
Các hoạt động bị hạn chế
- Đặc quyền siêu người dùng được yêu cầu cho:

● Thay đổi thư mục gốc của một tiến trình bằng chroot
● Tạo tệp thiết bị
● Đặt đồng hồ hệ thống
● Nâng cao giới hạn sử dụng tài nguyên và mức độ ưu tiên của quy trình
● Đặt tên máy chủ của hệ thống
● Cấu hình giao diện mạng
● Mở các cổng mạng đặc quyền (<= 1024)
● Tắt hệ thống
● Thay đổi UID và GID của quy trình (chỉ một cách)
- Ví dụ: đăng nhập
Chọn mật khẩu gốc
- Bất kỳ mật khẩu? Không nếu
bạn muốn nó khó crack.
- Nên là
● Ít nhất tám ký tự (nhiều hơn
có thể không hữu ích)
● Không dễ dàng đoán hoặc tìm thấy
bằng cách thử và sai
● Đáng nhớ (vì vậy bạn không cần phải viết nó ra)
● Một chuỗi các chữ cái, chữ số và dấu câu dường như ngẫu nhiên
● Vô nghĩa gây sốc!
- Đáng nhớ, không thể đoán được, duy nhất, không tiết lộ
- Mpmgg !: "Nhuyễn thể mổ bộ phận sinh dục đang phi nước đại của tôi!"
Thay đổi mật khẩu gốc
● Nên được thực hiện
- Ít nhất ba tháng một lần
- Mỗi khi ai đó có thể biết
mật khẩu rời khỏi trang
web
- Bất cứ khi nào bạn nghĩ rằng bảo
mật có thể bị xâm phạm
- Vào một ngày khi bạn sẽ
nhớ về pw mới!
Mùa xuân 2016 CSE 265: Quản trị viên hệ thống và mạng
Trở thành người chủ
● Bạn có thể đăng nhập với tư cách người chủ
- Không có hồ sơ về những hoạt động đã được thực hiện

● Thường thì bạn sẽ muốn có một kỷ lục!
- Khi người dùng root là một đồng nghiệp không có mặt

- Khi bạn không thể nhớ chính xác những gì bạn đã làm
- Khi truy cập trái phép và bạn muốn biết những gì đã được
thực hiện
- Không có hồ sơ về người đã root
● Thường muốn vô hiệu hóa đăng nhập gốc

ngoại trừ tại bảng điều khiển
Là gốc
● Trách nhiệm!
- Không cung cấp mật khẩu gốc
- Không tạo tài khoản mới với UID 0

- Chỉ sử dụng tài khoản root cho công việc của quản trị viên
- Thay đổi mật khẩu gốc thường xuyên
- Không để lại vỏ rễ mà không cần giám sát
- Hãy hết sức cẩn thận!
- Có lẽ nhiều hơn, tùy thuộc vào

chính sách tại địa điểm
su
- su: danh tính người dùng thay thế (chuyển đổi người dùng)
● Nếu không có args, su sẽ nhắc nhập mật khẩu gốc và sau đó khởi
động trình bao gốc
● Nhật ký ai trở thành gốc và khi nào
● Cũng có thểsutên tài khoản
- nếu bạn biết pw, hoặc đã root
● Sử dụng "su -”Để thực thi trình bao của người dùng mới
- Nếu không, PATH mới không được thiết lập
● Ý tưởng hay là sử dụng tên đường dẫn đầy đủ đếnsu(tại sao?)
- Linux: / bin / su
- Solaris: / sbin / su
sudo
● sudo: một su giới hạn
- Khi bạn muốn cung cấp các đặc quyền root có giới hạn
- sudo <chương trình được thực thi>

● Kiểm tra / etc / sudoers để được ủy quyền
● Yêu cầu mật khẩu của người dùng
● Lệnh nhật ký được thực thi, người, thời gian và thư mục
● Thực thi lệnh
● Các lệnh sudo bổ sung có thể được thực hiện mà không
cần mật khẩu trong năm phút nữa
● Thí dụ:
- sudo / bin / cat / etc / sudoers
XKCD nổi tiếng
Tệp sudoers mẫu
# Xác định bí danh cho các máy trong bộ phận CS & Vật lý Host_Alias
CS = tigger, anchor, piper, moet, sigi PHYSICS =
Host_Alias eprince, pprince, icarus
# Xác định tập hợp các lệnh Cmnd_Alias DUMP = / sbin / dump, / sbin / restore
Cmnd_Alias PRINTING = / usr / sbin / lpc, / usr / bin / lprm Cmnd_Alias SHELLS
= / bin / sh, / bin / csh /, / bin / bash, / bin / tro
# Quyền
đánh dấu, biên tập VẬT LÝ = TẤT CẢ
thảo mộc CS = / usr / local / bin / tcpdump: PHYSICS = (operator) DUMP ALL = (ALL)
lynda ALL,! SHELLS
%bánh xe TẤT CẢ,! Vật lý = NOPASSWD: IN
thảo luận về sudoers
- Mỗi dòng quyền bao gồm
● Người dùng mà dòng áp dụng
● Máy chủ lưu trữ áp dụng dòng
● Các lệnh mà người dùng có thể chạy
● Người dùng mà các lệnh có thể được thực thi
- Sử dụng visudo để chỉnh sửa
● Nếu biến môi trường EDITOR được đặt chính xác

● Khóa tệp
● Kiểm tra những thay đổi bạn đã thực hiện
- Thí dụ:
% sudo -u operator / sbin / dump 0u / dev / hda2
lợi thế của sudo
- Trách nhiệm giải trình - các lệnh được ghi lại
- Người vận hành có thể làm việc nhà mà không cần quyền root
- Mật khẩu gốc thực sự có thể được rất ít người biết

- sudosử dụng nhanh hơnsuhoặc đăng nhập với quyền root
- Có thể thu hồi các đặc quyền mà không cần thay đổi pw gốc
- Một danh sách đầy đủ những người dùng có quyền root được duy trì
- Ít khả năng vỏ rễ bị bỏ mặc
- Một tệp duy nhất có thể kiểm soát quyền truy cập
cho toàn bộ mạng
ghi nhật ký sudo
nhược điểm của sudo
● /tệp etc / sudoers là tất cả mọi thứ!
● Người dùng vớisudocác đặc quyền phải bảo vệ tài khoản
của họ như thể họ đã được root!
● Có thể tránh ghi nhật ký lệnh
bằng cách khởi động trình bao
hoặc chạy một số chương trình
cho phép thoát trình bao
Người dùng giả khác
● thùng rác
- Chủ sở hữu kế thừa của các lệnh hệ thống
● daemon
- Chủ sở hữu của các tệp và quy trình không có đặc quyền
● không ai
- Giải thích cho nguồn gốc từ xa của hệ thống NFS
● Họ thường không thể ở UID 0!
● Chúng cần được ánh xạ tới một thứ gì đó
Mật khẩu nhóm
- Cácnewgrplệnh cho phép người dùng thay đổi
nhóm mặc định
● Bắt đầu một trình bao mới
● Nếu nhóm có mật khẩu, nhóm sẽ nhắc nhập mật khẩu

- Đôi khi có thể cấp quyền truy cập, ngay cả khi người dùng không có trong danh sách (thay đổi)
- Mật khẩu nhóm đã lỗi thời và không được

khuyến khích
● Phải sao chép và dán thông tin mật khẩu
● Mật khẩu nhóm có thể đọc được trên toàn thế giới
- RH / Fedora Linux cógpasswdlệnh đặt mật khẩu

nhóm, đưa vào / etc / gshadow, v.v.
sudo bang bang

003 Accounts - En.vi

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

003 Accounts - En.vi

Uploaded by

Copyright:

Available Formats

Translated from English to Vietnamese - www.onlinedoctranslator.

- Mật khẩu được lưu trữ được mã hóa

- số GID mặc định

- thư mục chính

- Tạo tài khoản người dùng với useradd

- Đặt mật khẩu bằng mật khẩu

- Thay đổi giá trị mặc định với usermod

# người dùng mật khẩu

- Tạo, cắt và chmod thư mục chính của người

- Sao chép tệp vào thư mục mới

- Đặt thư về nhà

- Chỉnh sửa / etc / group file

- Có thể đặt hạn ngạch đĩa với edquota

- Xác minh thông tin đăng nhập mới

● đăng nhập với tư cách người dùng mới

● hành hìnhpwdvàls -la

● Nói chung vớiuserdel

- Xóa khỏi tệp bí danh (hoặc thêm chuyển tiếp)

- Xóa tệp crontab và bất kỳ công việc nào đang chờ xử lý

- Diệt mọi quy trình đang chạy

- Xóa khỏi tệp passwd, shadow và nhóm

- Vẫn có thể đăng nhập qua mạng w / out pw

- useradd-thêm vào tệp mật khẩu và tệp bóng

- usermod-thay đổi mục nhập mật khẩu hiện có

- userdel-xóa người dùng, chọn. xóa nhà dir

● Tài khoản gốc có UID là 0

● Tất cả những người dùng khác đều "bình thường"

- Đặc quyền siêu người dùng được yêu cầu cho:

● Bạn có thể đăng nhập với tư cách người chủ

- Không có hồ sơ về những hoạt động đã được thực hiện

- Khi người dùng root là một đồng nghiệp không có mặt

● Thường muốn vô hiệu hóa đăng nhập gốc

- Không tạo tài khoản mới với UID 0

- Thay đổi mật khẩu gốc thường xuyên

- Không để lại vỏ rễ mà không cần giám sát

- Hãy hết sức cẩn thận!

- Có lẽ nhiều hơn, tùy thuộc vào

- sudo <chương trình được thực thi>

● Nếu biến môi trường EDITOR được đặt chính xác

- Mật khẩu gốc thực sự có thể được rất ít người biết

- Ít khả năng vỏ rễ bị bỏ mặc

- Chủ sở hữu kế thừa của các lệnh hệ thống

● Nếu nhóm có mật khẩu, nhóm sẽ nhắc nhập mật khẩu

- Mật khẩu nhóm đã lỗi thời và không được

- RH / Fedora Linux cógpasswdlệnh đặt mật khẩu

You might also like