003 Accounts PDF

Machine Translated by Google
CSE 265:
Quản trị hệ thống và mạng
• Tài khoản người dùng • Quyền hạn gốc
– Tập tin /etc/passwd – Quyền sở hữu các tập
– Tập tin /etc/shadow tin và quy trình
– Siêu người dùng

– Tập tin /etc/group
– Chọn mật khẩu gốc
– Thêm người dùng
– Xóa người dùng

– Trở thành root
– Vô hiệu hóa đăng nhập
– Người dùng giả khác
– Tiện ích
quản lý tài khoản
Xuân 2016 CSE 265: Quản trị mạng và hệ thống ©2004-2016 Brian D. Davison
Tệp /etc/passwd
– /etc/passwd liệt kê tất cả người dùng được công nhận và chứa:
• tên đăng
nhập • mật khẩu được mã hóa (trừ khi sử dụng /etc/shadow)
• số UID
• số GID mặc định
• tên đầy đủ, văn phòng, số máy
nhánh, điện thoại nhà riêng (tùy
chọn) • thư mục chính • vỏ đăng nhập
– Ví dụ
root:lga4FjuGpZ2so:0:0:The System,,x6096,:/:/bin/csh
jl:x:100:0:Jim Lane,ECT8-3,,:/staff/fl:/bin/sh
Tên đăng nhập
• Cú pháp
– tên người dùng phải là duy nhất
– <= 32 ký tự
(hệ thống cũ/NIS: giới hạn 8 ký
tự) – bất kỳ ký tự nào trừ dòng mới và dấu hai chấm
• Khuyến nghị
– sử dụng chữ thường (mặc dù phân biệt chữ hoa chữ
thường) – chọn tên dễ nhớ – tránh biệt danh “xử lý”
và dễ thương
mật khẩu được mã hóa
– Hầu hết mật khẩu nằm trong /etc/shadow, không

phải /etc/passwd
– Mật khẩu được lưu trữ mã hóa
• Không thể thay đổi bằng tay •
Có thể sao chép từ tài khoản khác • Được
đặt bằng passwd (hoặc yppasswd cho NIS)
– Trường mật khẩu không bao giờ được để trống
• Đánh dấu sao (*) vào vị trí (x để sử dụng bóng)
• Nếu không thì không cần pw!
– Mật khẩu MD5 (hầu hết các bản phân phối) có độ dài bất kỳ • Các hệ
thống khác chỉ sử dụng tám ký tự đầu tiên
số UID
– Trong Linux, UID là số nguyên 32 bit không dấu (4B!) • Các
hệ thống cũ hơn chỉ cho phép tối đa 32.767
– Gốc là (hầu như luôn luôn) UID 0
– Thông tin đăng nhập giả mạo/hệ thống thường có UID thấp
• Đặt người dùng thực >= 100
– Tránh tái chế UID • Các
tệp cũ, bản sao lưu được xác định bởi UID
– Bảo tồn các UID duy nhất trên toàn tổ chức
• hữu ích cho tính nhất quán giữa các hệ thống tệp mạng
Các lĩnh vực khác
– số GID mặc định
• giống như UID, số nguyên không dấu 32
bit • GID – dành cho nhóm “root”
– Các trường GECOS (tùy chọn) [chfn]
• Hệ điều hành toàn diện General Electric
• tên đầy đủ, văn phòng, số máy nhánh, điện
thoại nhà – thư mục nhà
• Nơi người dùng bắt đầu khi đăng nhập
– vỏ đăng nhập [chsh] •
chẳng hạn như sh/bash, csh/tcsh, ksh, v.v.
Tệp /etc/shadow
– Chỉ có thể đọc được bởi – Chứa:
siêu người dùng • Tên đăng
– Thông tin tài khoản nhập • Mật khẩu được

nâng cao mã hóa • Ngày thay đổi
pw • Số ngày tối thiểu giữa các

– Công dụng cao
khuyến khích lần thay đổi mật khẩu • Số
ngày tối đa giữa các lần thay đổi

– Sử dụng usermod để
pw • Số ngày trước để cảnh báo •
sửa đổi nội dung
Số ngày sau khi hết hạn đến
tài khoản vô hiệu hóa
• Ngày hết hạn tài khoản •

Trường dành riêng
Tệp /etc/group
• Chứa tên nhóm và liệt kê từng

thành viên
• Ví dụ:
– bánh xe:*:10:root,evi,garth,trent,brian
– Tên nhóm:mật khẩu đã mã hóa:GID:Danh sách thành
viên, cách nhau bởi dấu phẩy (không khoảng trắng)
• Nên cài đặt nhóm theo người dùng

– Bảo mật mặc định tốt hơn
Thêm người dùng
• Đối với các cài đặt nhỏ, việc thêm người dùng rất đơn giản
– Yêu cầu người dùng ký tên và ghi ngày thỏa thuận người dùng
– Tạo tài khoản người dùng với useradd
– Đặt mật khẩu bằng passwd
– Thay đổi mặc định với usermod
Các bước thêm người dùng (1)
– Chỉnh sửa tệp /etc/passwd và /etc/shadow để xác định

tài khoản
• Sử dụng vipw để khóa và chỉnh sửa bằng $EDITOR
– Đặt mật khẩu ban đầu #

passwd user
– Tạo, chown và chmod thư mục chính của người dùng # mkdir /
home/staff/tyler # chown tyler.staff /home/staff/tyler #
chmod 700 /home/staff/tyler
Các bước để thêm người dùng (2)
– Sao chép các tệp khởi động mặc định vào thư mục chính
của người dùng
• đánh
– .bashrc, .bash_profile
• csh/tcsh
– .login, .cshrc, .logout

• X-windows
– .Xdefaults, .Xclients, .xsession
– Cần tạo và lưu trữ các tệp mặc định!
Các bước để thêm người dùng (3)
– Sao chép tập tin vào thư mục mới
# cp /etc/skel/.[a-zA-Z]* ~tyler # chmod
644 ~tyler/.[a-zA-Z]* # chown tyler
~tyler/.[a-zA-Z]* # chgrp staff ~tyler/.
[a-zA-Z]* – Không thể sử dụng chown tyler
~tyler/.*
– Đặt thư về nhà
• có thể chỉnh sửa /etc/mail/aliases
Các bước thêm người dùng (4)
– Chỉnh sửa tập tin /etc/group
• Thêm vào các nhóm có liên quan
– Có thể đặt hạn ngạch đĩa với edquota
– Xác minh đăng nhập mới
• đăng nhập với tư cách
người dùng mới • thực thi pwd và ls -la
– Thông báo cho người dùng mới về tài khoản và
mật khẩu ban đầu
• nhận AUP đã ký
– Ghi lại trạng thái tài khoản và thông
tin liên hệ
Xóa người dùng
• Nói chung với userdel

– Đặt hạn ngạch đĩa về 0
– Xóa người dùng khỏi cơ sở dữ liệu cục bộ hoặc danh sách điện thoại
– Xóa khỏi tệp bí danh (hoặc thêm chuyển tiếp)
– Xóa tệp crontab và mọi công việc đang chờ xử lý
– Giết mọi tiến trình đang chạy
– Xóa các tệp tạm thời trong /var/tmp hoặc /tmp
– Xóa khỏi các tệp passwd, shadow và nhóm
– Xóa thư mục chính (sao lưu trước) và bộ đệm thư
Vô hiệu hóa đăng nhập
• Đôi khi bạn cần tạm thời vô hiệu hóa đăng nhập •
Không thể đặt dấu sao trước pw được mã hóa
– Vẫn có thể đăng nhập qua mạng mà không cần pw
• Thông lệ hiện tại
– Thay shell bằng chương trình giải thích trạng thái và

hướng dẫn cách khắc phục
Tiện ích quản lý tài khoản
• Tiện ích cơ bản
– useradd – thêm vào tập tin passwd và bóng –
usermod – thay đổi mục nhập passwd hiện có –
userdel – xóa người dùng, chọn. xóa thư mục nhà
– groupadd, groupmod, groupdel hoạt động trên /

etc/group
• Phổ biến để viết tập lệnh adduser và

rmuser tùy chỉnh
siêu người dùng
• Tài khoản root có UID bằng 0
– Có thể thay đổi tên và tạo người dùng khác có

cùng UID; không được đề nghị
• Siêu người dùng (bất kỳ quy trình nào có hiệu lực

UID 0) có thể thực hiện bất kỳ thao tác hợp lệ nào trên
bất kỳ tệp hoặc quy trình nào.
• Tất cả những người dùng khác đều “bình thường”
Hoạt động bị hạn chế
– Đặc quyền siêu người dùng được yêu cầu cho:
• Thay đổi thư mục gốc của quy trình bằng chroot • Tạo
tệp thiết bị • Đặt đồng hồ hệ thống • Tăng giới hạn sử
dụng tài nguyên và mức độ ưu tiên của quy trình • Đặt
tên máy chủ của hệ thống • Định cấu hình giao diện
mạng • Mở các cổng mạng đặc quyền (<= 1024) • Tắt hệ
thống • Thay đổi quy trình UID, GID (1 chiều)
– Ví dụ: đăng nhập
Chọn mật khẩu gốc
– Có mật khẩu nào không? không nếu bạn

muốn nó khó crack.
– Nên là
• Ít nhất tám ký tự (nhiều
hơn có thể không hữu ích)
• Không dễ đoán hoặc tìm thấy

bằng thử và sai
• Đáng nhớ (vì vậy bạn không cần phải viết ra) •
Một chuỗi các chữ cái, chữ số và dấu câu dường như ngẫu nhiên •
Điều vô nghĩa gây sốc!

– Đáng nhớ, không thể đoán được, độc đáo, không được tiết lộ –
Mpmgg!: “Những con nhuyễn thể mổ bộ phận sinh dục phi nước đại của tôi!”
Thay đổi mật khẩu gốc
• Nên thực hiện

– Ít nhất ba tháng một lần
– Mỗi khi ai đó
có thể biết mật khẩu rời
khỏi trang web
– Bất cứ khi nào bạn nghĩ rằng

bảo mật có thể bị xâm phạm
– Vào một ngày mà bạn sẽ

nhớ pw mới!
Trở thành root
• Bạn có thể đăng nhập với quyền root
– Không có hồ sơ về những hoạt động đã được thực hiện
• Thường thì bạn sẽ muốn có một bản ghi!
– Khi người dùng root là một đồng nghiệp không có mặt – Khi
bạn không thể nhớ chính xác mình đã làm gì – Khi truy cập
trái phép và bạn muốn biết
thứ đã qua
– Không có hồ sơ về người đã root
• Thường muốn tắt đăng nhập gốc ngoại trừ tại
bảng điều khiển
Là gốc
• Trách nhiệm!
– Không cung cấp mật khẩu root
– Không tạo tài khoản mới với UID 0
– Chỉ sử dụng tài khoản root cho công việc quản trị
– Thay đổi mật khẩu root thường xuyên
– Đừng bỏ mặc root shell
– Cẩn thận một chút!
– Có lẽ nhiều hơn, tùy thuộc vào chính

sách tại địa điểm
su
– su: danh tính người dùng thay thế (người dùng chuyển đổi)
• Không có đối số, su nhắc nhập mật khẩu gốc và sau đó khởi
động trình bao gốc
• Nhật ký ai đã trở thành root và khi nào
• Cũng có thể su tên người dùng
– nếu bạn biết pw, hoặc đã root rồi • Sử

dụng “su –” để thực thi shell của người dùng mới
– Nếu không thì PATH mới không được thiết lập
• Nên sử dụng tên đường dẫn đầy đủ để su (tại sao?)

– Linux: /bin/su
– Solaris: /sbin/su
sudo
• sudo: su giới hạn
– Khi bạn muốn cung cấp các đặc quyền gốc hạn chế
– sudo <chương trình được thực thi>

• Kiểm tra /etc/sudoers để cấp quyền
• Hỏi mật khẩu người dùng • Ghi
nhật ký lệnh đã thực hiện, người, thời gian và thư mục • Thực thi lệnh
• Các lệnh sudo bổ sung có thể được thực thi mà không cần mật khẩu
trong năm phút nữa • Ví dụ:
– sudo /bin/cat /etc/sudoers
XKCD nổi tiếng
Ví dụ tập tin sudoers
# Xác định bí danh cho các máy trong khoa CS & Vật lý
Host_Alias CS = tigger, anchor, piper, moet, sigi
Host_Alias VẬT LÝ = eprince, pprince, icarus
# Định nghĩa tập hợp các lệnh

Cmnd_Alias DUMP = /sbin/dump, /sbin/khôi phục
IN Cmnd_Alias = /usr/sbin/lpc, /usr/bin/lprm
Cmnd_Alias SHELLS = /bin/sh, /bin/csh/, /bin/bash, /bin/ash
#Permissions mark,
ed VẬT LÝ = TẤT CẢ cỏ CS = /usr/local/
bin/tcpdump : VẬT LÝ lynda
DUMP = (toán tử)
ALL = (TẤT CẢ) TẤT CẢ, !SHELLS %wheel ALL, !Physics = NOPASSWD: IN
thảo luận sudoers
– Mỗi dòng quyền bao gồm • Người dùng
mà dòng này áp dụng • Máy chủ mà
dòng này áp dụng • Các lệnh mà

người dùng có thể chạy
• Người dùng có thể thực thi lệnh
– Sử dụng visudo để chỉnh sửa
• Nếu biến môi trường EDITOR được đặt chính xác

• Khóa tệp
• Kiểm tra những thay đổi bạn đã thực hiện
– Ví dụ:
Toán tử % sudo -u /sbin/dump 0u /dev/hda2

lợi thế sudo
– Trách nhiệm giải trình – các lệnh được ghi lại
– Người vận hành có thể thực hiện các công việc mà không cần quyền root
– Rất ít người có thể biết được mật khẩu root thực sự –
sử dụng sudo nhanh hơn su hoặc đăng nhập bằng root
– Đặc quyền có thể bị thu hồi mà không cần thay đổi root pw
– Một danh sách đầy đủ những người dùng có root được duy trì
– Ít khả năng vỏ gốc bị bỏ mặc
– Một tệp duy nhất có thể kiểm soát quyền

truy cập cho toàn bộ mạng
ghi nhật ký sudo
nhược điểm sudo
• Tập tin /etc/sudoers là tất cả!
• Người dùng có đặc quyền sudo phải bảo vệ tài

khoản của họ như thể họ đã root!
• Có thể tránh ghi nhật ký

lệnh bằng cách khởi động
shell hoặc chạy một số
chương trình cho phép thoát shell
Người dùng giả khác
• thùng
– Chủ sở hữu cũ của các lệnh hệ thống • daemon
– Chủ sở hữu của các tệp và quy trình không có đặc
quyền • không ai – Tài khoản cho các gốc từ xa của hệ
thống NFS • Chúng thường không thể duy trì UID 0! •
Chúng cần được ánh xạ tới một thứ gì đó
Mật khẩu nhóm
– Lệnh newgrp cho phép người dùng thay đổi nhóm mặc định
• Bắt đầu trình bao mới
• Nếu nhóm có mật khẩu, nó sẽ nhắc nhập mật khẩu
– Đôi khi có thể cấp quyền truy cập, ngay cả khi người dùng không có trong danh sách (khác nhau)
– Mật khẩu nhóm đã lỗi thời và không

khuyến khích
• Phải sao chép và dán thông tin mật khẩu •
Mật khẩu nhóm có thể đọc được trên toàn thế giới
– RH/Fedora Linux có lệnh gpasswd để đặt mật khẩu nhóm, đặt vào /etc/
gshadow, v.v.
sudo bang bang

003 Accounts PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

003 Accounts PDF

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

– Tập tin /etc/passwd – Quyền sở hữu các tập

– Tập tin /etc/shadow tin và quy trình

– Siêu người dùng

– Xóa người dùng

quản lý tài khoản

nhập • mật khẩu được mã hóa (trừ khi sử dụng /etc/shadow)

• số GID mặc định

• tên đầy đủ, văn phòng, số máy

nhánh, điện thoại nhà riêng (tùy

chọn) • thư mục chính • vỏ đăng nhập

Tên đăng nhập

(hệ thống cũ/NIS: giới hạn 8 ký

tự) – bất kỳ ký tự nào trừ dòng mới và dấu hai chấm

– sử dụng chữ thường (mặc dù phân biệt chữ hoa chữ

thường) – chọn tên dễ nhớ – tránh biệt danh “xử lý”

mật khẩu được mã hóa

– Hầu hết mật khẩu nằm trong /etc/shadow, không

– Mật khẩu được lưu trữ mã hóa

• Không thể thay đổi bằng tay •

Có thể sao chép từ tài khoản khác • Được

đặt bằng passwd (hoặc yppasswd cho NIS)

– Trường mật khẩu không bao giờ được để trống

• Đánh dấu sao (*) vào vị trí (x để sử dụng bóng)

• Nếu không thì không cần pw!

thống khác chỉ sử dụng tám ký tự đầu tiên

– Trong Linux, UID là số nguyên 32 bit không dấu (4B!) • Các

hệ thống cũ hơn chỉ cho phép tối đa 32.767

– Gốc là (hầu như luôn luôn) UID 0

• Đặt người dùng thực >= 100

– Tránh tái chế UID • Các

– Bảo tồn các UID duy nhất trên toàn tổ chức

Các lĩnh vực khác

– số GID mặc định

• giống như UID, số nguyên không dấu 32

bit • GID – dành cho nhóm “root”

– Các trường GECOS (tùy chọn) [chfn]

• Hệ điều hành toàn diện General Electric

• tên đầy đủ, văn phòng, số máy nhánh, điện

thoại nhà – thư mục nhà

• Nơi người dùng bắt đầu khi đăng nhập

– vỏ đăng nhập [chsh] •

chẳng hạn như sh/bash, csh/tcsh, ksh, v.v.

– Thông tin tài khoản nhập • Mật khẩu được

pw • Số ngày tối thiểu giữa các

ngày tối đa giữa các lần thay đổi

• Ngày hết hạn tài khoản •

• Chứa tên nhóm và liệt kê từng

• Nên cài đặt nhóm theo người dùng

Thêm người dùng

– Tạo tài khoản người dùng với useradd

– Đặt mật khẩu bằng passwd

– Thay đổi mặc định với usermod

Các bước thêm người dùng (1)

– Chỉnh sửa tệp /etc/passwd và /etc/shadow để xác định

• Sử dụng vipw để khóa và chỉnh sửa bằng $EDITOR

– Đặt mật khẩu ban đầu #

home/staff/tyler # chown tyler.staff /home/staff/tyler #

chmod 700 /home/staff/tyler

Các bước để thêm người dùng (2)

– .login, .cshrc, .logout

– .Xdefaults, .Xclients, .xsession

– Cần tạo và lưu trữ các tệp mặc định!