1. Správa používateľov
Zabezpečenie prístupu k počítaču
Proces zavádzania operačného systému
Spôsob prihlasovania
Výtváranie a mazanie používateľov
Zmenu informácií
Nastavovanie skupín používateľov
Nastavovanie obmedzení
Nastavovanie oprávnení
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 1
2. Zabezpečenie prístupu (1)
● Fyzická bezpečnosť
– zabrániť prístupu k stroju (ale aj diskom a
iným médiám).
● Boot-ovacie médium
– nastaviť heslo do BIOS-u, zakázať boot-
ovanie z vymeniteľných médií,
– v prípade boot-ovania z “flash” alebo CD-
ROM je možné získať prístup k súboro-
vému systému (pokiaľ nie je šifrovaný)
● zrušiť/zmeniť heslá k boot-loaderu
(/boot/grub/grub.conf: password),
● zmeniť heslo root-a.
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 2
3. Zabezpečenie prístupu (2)
● Boot-loader
– boot-loader umožňuje odovzdávať
parametre jadru, napríklad aj “runlevel”,
– umožňuje teda získať administrátorský
prístup cez “Single-User mode”,
– nastaviť heslo boot-loadera.
● Heslo administrátora
– má v systéme všetky práva.
● Šifrované disky
● Zabezpečená sieť, aktualizácie, ...
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 3
4. Proces “bootovania”
● Po štarte počítača BIOS načíta a spustí
z boot-sektoru boot-loader (lilo, grub, ...)
● Boot-loader zavedie do pamäte a spustí
jadro OS (prípadne ďalšie časti, napr.
obraz ramdisku initrd).
● Jadro po inicializácii spustí proces init.
●
boot-loader odovzdá jadru parametre, e.g.
– nastavenia siete,
– umiestnenie súborového systému / (root),
– runlevel, ...
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 4
5. “Runlevel”
● Režim práce operačného systému.
● Je ich 7, sú definované v /etc/inittab
a RC skriptami (/etc/rc[06].d), e.g.
– 0, Halt
– 1, Single-User mode
– 3, Multi-User mode, textový režim
– 5, Multi-User mode, grafický režim (X)
– 6, Reboot
● Prepínanie “runlevel-ov”
– runlevel, telinit
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 5
6. “SingleUser mode”
● Režim poskytuje len jednu textovú
konzolu pre administrátora (root).
● Nie sú spustené služby (démony),
neumožňuje prihlásenie používateľov.
● Len pre údržbu, opravu, konfiguráciu.
● Umožňuje získať výlučný prístup k
systému, za týchto predpokladov:
– prístup ku konzole stroja po reštarte,
– možnosť pridať boot-ovací parameter jadra
“single” (poznať heslo boot-loadera).
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 6
7. Používateľ v Linuxe
Používateľ je niekto, kto má oprávnenie
používať daný systém
Má priradené svoje meno - “username”
Je identifikovaný jednoznačným UID
Patrí do skupiny s jednoznačným GID
Autentifikuje sa menom a heslom (typicky)
Po prihlásení sa spustí shell (interpret príkazov,
typicky /bin/bash)
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 7
8. Prihlasovanie cez terminál
START
init: fork +
exec /sbin/getty
getty: wait for user
getty: read username
exec /bin/login
login: read password
no
login: exit match?
yes
login: exec shell
shell: read and
execute commands
shell: exit
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 8
9. Čo sa stane
init spustí fork a následne getty (prípadne
agetty)
/sbin/getty
vypíše uvítaciu správu /etc/issue
vyžiada prihlasovacie meno username
spustí login
/sbin/login
získa username ako parameter
vyžiada heslo
vypíše /etc/motd (message of the day)
vypíše kontrolu e-mailu
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 9
10. Dôležité súbory pri prihlasovaní
Zoznam aktuálnych prihlásení
/var/run/utmp
Zoznam predchádzajúcich prihlásení
/var/run/wtmp
Zoznam typov terminálov
/etc/ttytype
Potlačenie výpisu systémových správ
$HOME/.hushlogin
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 10
11. Databáza
používateľov /etc/passwd
Jednotlivé polia sú oddelené dvojbodkou :
Prihlasovacie meno – 1 - 32 znakov dlhé
Heslo – znak “x” znamená, že heslo je uložené
zašifrované v /etc/shadow
UID – jedinečný identifikátor používateľa
UID 0 – rezervované pre používateľa root
UID 1-99 – rezervované pre
preddefinovaných používateľov
UID 100-999 – rezervované pre
administráciu systému a systémové kontá
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 11
12. Databáza
používateľov /etc/passwd
GID – Číslo skupiny, do ktorej používateľ
primárne patrí
Informácie o používateľovi – Priestor na
ďalšie doplňujúce informácie
Domovský adresár – absolútna cesta k
adresáru, do ktorého bude používateľ
prihlásený. Ak zadaný adresár neexistuje,
stane sa domovským adresárom adresár /
Príkazový interpret / príkaz – absolútna
cesta k príkazu alebo k interpretu príkazov,
ktorý sa spustí po prihlásení
(typicky /bin/bash)
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 12
13. Pridanie používateľa do systému
Pridanie používateľa s preddefinovanými
nastaveniami pomocou “useradd” a
useradd m username
Prepínač “-m” zabezpečí vytvorenie
domovského adresára
Výpísanie preddefinovaných nastavení
useradd D
Zmena preddefinovanej skupiny
useradd D g 3434
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 13
14. Pridanie používateľa do systému
Pridanie pomocou skriptu (v niektorých
distribúciach je to len symbolická linka na
useradd)
adduser
Pridanie skupiny s GID 1234
groupadd g 1234 studenti
Pridajte používateľa student1 do skupiny
studenti
useradd g studenti student1
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 14
15. Pridanie používateľa ručne
Pridanie používateľa do databázy používateľov.
Treba si dať pozor na syntax!
vipw
student2:x:
1001:1234::/home/student2:/bin/bash
Zosúladenie súborov /etc/passwd
a /etc/shadow a /etc/group a /etc/gshadow
pwck, grpck
Konvertovanie medzi jednolivými súbormi
pwconv, pwunconv, grpconv, grpunconv
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 15
16. Pridanie používateľa ručne
Vytvorenie skupiny ručne
vigr
Vytvorenie domovského adresára používateľa
mkdir /home/student2
Skopírovanie prednastaveného obsahu
domovského adresára
cp r /etc/skel/* /home/student2/
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 16
17. Pridanie používateľa ručne
Zmena vlastníka adresáru
chown R
student2:studenti /home/student2
Nastavenie prístupových práv na adresár
chmod R 755 /home/student2
Nastavenie hesla používateľa
passwd student2
Otestovanie prihlásenia používateľa
su – student2; ls la
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 17
18. Zmazanie používateľského konta
Zmazanie používateľského konta
userdel student2
vipw, vigr
Zmazanie konta aj súborov v domovskom
adresári
userdel r student2
Vyhľadanie všetkých súborov patriacich
používateľovi
find / user student2
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 18
19. Zmena používateľského konta
Zmeny používateľského konta
usermod student2 (man usermod)
Zmena informácií o používateľovi
chfn student2
Zmena prihlasovacieho “shell-u”
chsh student2
Zmena platnosti konta
chage student2
Zablokovanie konta
passwd l student2
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 19
20. Obmedzenie pihlasovania
Zoznam terminálov, z ktorých sa môže prihlásiť
root
/etc/securetty
Zabránenie prihlásenia iných používateľov ako
root (v prípade, ak existuje). Vytvára ho skript
shutdown
/etc/nologin
Nastavenie “shell-u” na nepovolený
/bin/false
/sbin/nologin
Zoznam povolených shell-ov
/etc/shells
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 20
21. Nastavenie obmedzení
Limity pre používateľov
/etc/security/limits.conf
Syntax súboru
<domain> <type> <item> <value>
Doménou môže byť
username
groupname
značka * pre default nastavenia
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 21
22. Nastavenie obmedzení
Limity môžu byť dvoch typov
soft – mäkké limity. Tieto môže používateľ
meniť
hard – pevné limity. Používateľ ich nemôže
prekročit
Hodnota limitu <value>
závisí od konkrétneho atribútu
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 22
23. Nastavenie obmedzení
Nastavenie rôznych obmedzení, napr.
core – nastavuje veľkosť core súboru (KB)
fsize – maximálna veľkosť súboru (KB)
memlock – maximum alokovanej pamäte (KB)
nofile – maximálny počet otvorených súborov
(KB)
cpu – maximálny pridelený čas CPU (KB)
nproc – maximálny počet procesov (KB)
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 23
24. Linux PAM
Pluggable Autentification Modules - súbor
knižníc umožňujúci administrátorovi nastaviť,
akým spôsobom budú jednotlivé aplikácie
autentifikovať používateľov
Jednotlivé moduly sa nachádzajú v
/libs/security
Konfiguračný súbor pre konkrétnu aplikáciu
/etc/pam.d/*
napríklad pre sshd: /etc/pam.d/sshd
Syntax
<control> <module> <arguments>
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 24
25. Príklad PAM
V tomto príklade sú v systéme uchovávajúcom
heslá v md5 povolené heslá minimálnej dĺžky
14 bytov, pričom za špeciálne znaky a číslice
môže získať používateľ kredit 2 (v prípade ich
použitia stačí kratšie heslo)
password required pam_cracklib.so difok=3 minlen=15
dcredit= 2 ocredit=2
password required pam_unix.so use_authtok nullok md5
Kredit môže byť aj záporný, vtedy je
požadovaný minimálny počet daných znakov
password required pam_cracklib.so dcredit=1 ocredit=1
lcredit=0 minlen=8 retry=3
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 25
26. su vs. sudo
Oba programy umožňujú vykonať príkaz
(napríklad id) ako iný používateľ
sudo u student2 id
su student2 c id
su slúži primárne na zmenu používateľa
(switch user)
pri prihlásení vyžiada heslo používateľa, na
ktorého sa chceme zmeniť
sudo slúži primárne na vykonanie príkazu ako
iný používateľ (switch user and do)
pri prihlásení vyžiada heslo používateľa, ktorý
príkaz spúšťa
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 26
27. sudo
Na konfiguráciu slúži súbor
/etc/sudoers
Povoľ používateľovi student2 spustiť uvedený
príkaz bez hesla, ak je prihlásený lokálne (z
localhostu)
student2 localhost=NOPASSWD:/sbin/halt
Povoľ skupine studenti spustiť uvedené
príkazy bez hesla
%studenti
ALL=NOPASSWD:/usr/local/bin/zisti_IP,/sb
in/ifconfig,/usr/bin/kvm
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 27
28. Zadanie č. 1
Nastaviť heslo používateľa 'root'.
Vytvoriť používateľa student1 a
student2 v skupinách users a groups
Vytvoriť používateľa admin v skupine
wheel, ktorému expiruje heslo za 3
mesiace
Po prihlásení používateľa vypíšte: “Ahoj
´username´”
Povoľte používateľovi admin vykonať
príkaz su bez hesla
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 28
29. Zadanie č. 2
Zaraďte používateľa student1 do skupiny
studenti
Nastavte limit na maximálnu veľkosť
súboru 100 kB pre skupinu studenti
Nastavte politiku hesiel na:
minimálne 4 číslice
dĺžka aspoň 10 znakov
rozdielne v 3 znakoch od posledného
bonus: kontrolujte heslá slovníkom
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 29
30. Literatúra a zdroje
Manuálové stránky:
http://www.manpages.info
Linux: Dokumentační projekt (4. vydání)
http://www.root.cz/knihy/linux-dokumentacni-proje
The Linux System Administrator's Guide
http://tldp.org/LDP/sag/html/
The Linux-PAM Guides
http://www.kernel.org/pub/linux/libs/pam/
Bezpečnosť počítačových systémov / Správa používateľov FIIT STU BA, JA 20092010, DB 2011 30