SlideShare una empresa de Scribd logo

Cvicenie 9

M
mikislovak
1 de 30
Descargar para leer sin conexión
Správa používateľov Zabezpečenie prístupu k počítaču Proces zavádzania operačného systému Spôsob prihlasovania Výtváranie a mazanie používateľov Zmenu informácií Nastavovanie skupín používateľov Nastavovanie obmedzení Nastavovanie oprávnení Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 1
Zabezpečenie prístupu (1) ● Fyzická bezpečnosť – zabrániť prístupu k stroju (ale aj diskom a iným médiám). ● Boot-ovacie médium – nastaviť heslo do BIOS-u, zakázať boot- ovanie z vymeniteľných médií, – v prípade boot-ovania z “flash” alebo CD- ROM je možné získať prístup k súboro- vému systému (pokiaľ nie je šifrovaný) ● zrušiť/zmeniť heslá k boot-loaderu (/boot/grub/grub.conf: password), ● zmeniť heslo root-a. Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 2
Zabezpečenie prístupu (2) ● Boot-loader – boot-loader umožňuje odovzdávať parametre jadru, napríklad aj “runlevel”, – umožňuje teda získať administrátorský prístup cez “Single-User mode”, – nastaviť heslo boot-loadera. ● Heslo administrátora – má v systéme všetky práva. ● Šifrované disky ● Zabezpečená sieť, aktualizácie, ... Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 3
Proces “boot­ovania” ● Po štarte počítača BIOS načíta a spustí z boot-sektoru boot-loader (lilo, grub, ...) ● Boot-loader zavedie do pamäte a spustí jadro OS (prípadne ďalšie časti, napr. obraz ramdisku initrd). ● Jadro po inicializácii spustí proces init. ● boot-loader odovzdá jadru parametre, e.g. – nastavenia siete, – umiestnenie súborového systému / (root), – runlevel, ... Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 4
“Runlevel” ● Režim práce operačného systému. ● Je ich 7, sú definované v /etc/inittab a RC skriptami (/etc/rc[0­6].d), e.g. – 0, Halt – 1, Single-User mode – 3, Multi-User mode, textový režim – 5, Multi-User mode, grafický režim (X) – 6, Reboot ● Prepínanie “runlevel-ov” – runlevel, telinit Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 5
“Single­User mode” ● Režim poskytuje len jednu textovú konzolu pre administrátora (root). ● Nie sú spustené služby (démony), neumožňuje prihlásenie používateľov. ● Len pre údržbu, opravu, konfiguráciu. ● Umožňuje získať výlučný prístup k systému, za týchto predpokladov: – prístup ku konzole stroja po reštarte, – možnosť pridať boot-ovací parameter jadra “single” (poznať heslo boot-loadera). Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 6
Používateľ v Linuxe Používateľ je niekto, kto má oprávnenie používať daný systém Má priradené svoje meno - “username” Je identifikovaný jednoznačným UID Patrí do skupiny s jednoznačným GID Autentifikuje sa menom a heslom (typicky) Po prihlásení sa spustí shell (interpret príkazov, typicky /bin/bash) Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 7
Prihlasovanie cez terminál START init: fork +  exec /sbin/getty getty: wait for user getty: read username exec /bin/login login: read password no login: exit match? yes login: exec shell shell: read and  execute commands shell: exit Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 8
Čo sa stane init spustí fork a následne getty (prípadne agetty) /sbin/getty vypíše uvítaciu správu /etc/issue vyžiada prihlasovacie meno username spustí login /sbin/login získa username ako parameter vyžiada heslo vypíše /etc/motd (message of the day) vypíše kontrolu e-mailu Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 9
Dôležité súbory pri prihlasovaní Zoznam aktuálnych prihlásení /var/run/utmp Zoznam predchádzajúcich prihlásení /var/run/wtmp Zoznam typov terminálov /etc/ttytype Potlačenie výpisu systémových správ $HOME/.hushlogin Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 10
Databáza  používateľov /etc/passwd Jednotlivé polia sú oddelené dvojbodkou : Prihlasovacie meno – 1 - 32 znakov dlhé Heslo – znak “x” znamená, že heslo je uložené zašifrované v /etc/shadow UID – jedinečný identifikátor používateľa UID 0 – rezervované pre používateľa root UID 1-99 – rezervované pre preddefinovaných používateľov UID 100-999 – rezervované pre administráciu systému a systémové kontá Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 11
Databáza  používateľov /etc/passwd GID – Číslo skupiny, do ktorej používateľ primárne patrí Informácie o používateľovi – Priestor na ďalšie doplňujúce informácie Domovský adresár – absolútna cesta k adresáru, do ktorého bude používateľ prihlásený. Ak zadaný adresár neexistuje, stane sa domovským adresárom adresár / Príkazový interpret / príkaz – absolútna cesta k príkazu alebo k interpretu príkazov, ktorý sa spustí po prihlásení (typicky /bin/bash) Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 12
Pridanie používateľa do systému Pridanie používateľa s preddefinovanými nastaveniami pomocou “useradd” a useradd ­m username Prepínač “-m” zabezpečí vytvorenie domovského adresára Výpísanie preddefinovaných nastavení useradd ­D Zmena preddefinovanej skupiny useradd ­D ­g 3434  Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 13
Pridanie používateľa do systému Pridanie pomocou skriptu (v niektorých distribúciach je to len symbolická linka na useradd) adduser Pridanie skupiny s GID 1234 groupadd ­g 1234 studenti Pridajte používateľa student1 do skupiny studenti useradd ­g studenti student1 Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 14
Pridanie používateľa ručne Pridanie používateľa do databázy používateľov. Treba si dať pozor na syntax! vipw student2:x: 1001:1234::/home/student2:/bin/bash Zosúladenie súborov /etc/passwd a /etc/shadow a /etc/group a /etc/gshadow pwck, grpck Konvertovanie medzi jednolivými súbormi pwconv, pwunconv, grpconv, grpunconv Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 15
Pridanie používateľa ručne Vytvorenie skupiny ručne vigr Vytvorenie domovského adresára používateľa mkdir /home/student2 Skopírovanie prednastaveného obsahu domovského adresára cp ­r /etc/skel/* /home/student2/ Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 16
Pridanie používateľa ručne Zmena vlastníka adresáru chown ­R  student2:studenti /home/student2 Nastavenie prístupových práv na adresár chmod ­R 755 /home/student2 Nastavenie hesla používateľa passwd student2 Otestovanie prihlásenia používateľa su – student2; ls ­la Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 17
Zmazanie používateľského konta Zmazanie používateľského konta userdel student2 vipw, vigr Zmazanie konta aj súborov v domovskom adresári userdel ­r student2 Vyhľadanie všetkých súborov patriacich používateľovi find / ­user student2 Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 18
Zmena používateľského konta Zmeny používateľského konta usermod student2 (man usermod) Zmena informácií o používateľovi chfn student2 Zmena prihlasovacieho “shell-u” chsh student2 Zmena platnosti konta chage student2 Zablokovanie konta passwd ­l student2 Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 19
Obmedzenie pihlasovania Zoznam terminálov, z ktorých sa môže prihlásiť root /etc/securetty Zabránenie prihlásenia iných používateľov ako root (v prípade, ak existuje). Vytvára ho skript shutdown /etc/nologin Nastavenie “shell-u” na nepovolený /bin/false /sbin/nologin Zoznam povolených shell-ov /etc/shells Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 20
Nastavenie obmedzení Limity pre používateľov /etc/security/limits.conf Syntax súboru <domain> <type> <item> <value> Doménou môže byť username groupname značka * pre default nastavenia Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 21
Nastavenie obmedzení Limity môžu byť dvoch typov soft – mäkké limity. Tieto môže používateľ meniť hard – pevné limity. Používateľ ich nemôže prekročit Hodnota limitu <value> závisí od konkrétneho atribútu Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 22
Nastavenie obmedzení Nastavenie rôznych obmedzení, napr. core – nastavuje veľkosť core súboru (KB) fsize – maximálna veľkosť súboru (KB) memlock – maximum alokovanej pamäte (KB) nofile – maximálny počet otvorených súborov (KB) cpu – maximálny pridelený čas CPU (KB) nproc – maximálny počet procesov (KB) Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 23
Linux PAM Pluggable Autentification Modules - súbor knižníc umožňujúci administrátorovi nastaviť, akým spôsobom budú jednotlivé aplikácie autentifikovať používateľov Jednotlivé moduly sa nachádzajú v /libs/security Konfiguračný súbor pre konkrétnu aplikáciu /etc/pam.d/* napríklad pre sshd: /etc/pam.d/sshd Syntax <control> <module> <arguments> Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 24
Príklad PAM V tomto príklade sú v systéme uchovávajúcom heslá v md5 povolené heslá minimálnej dĺžky 14 bytov, pričom za špeciálne znaky a číslice môže získať používateľ kredit 2 (v prípade ich použitia stačí kratšie heslo) password  required pam_cracklib.so difok=3 minlen=15  dcredit= 2 ocredit=2 password  required pam_unix.so use_authtok nullok md5 Kredit môže byť aj záporný, vtedy je požadovaný minimálny počet daných znakov password  required pam_cracklib.so dcredit=­1 ocredit=­1  lcredit=0 minlen=8 retry=3 Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 25
su vs. sudo Oba programy umožňujú vykonať príkaz (napríklad id) ako iný používateľ sudo ­u student2 id su student2 ­c id su  slúži primárne na zmenu používateľa (switch user) pri prihlásení vyžiada heslo používateľa, na ktorého sa chceme zmeniť sudo slúži primárne na vykonanie príkazu ako iný používateľ (switch user and do) pri prihlásení vyžiada heslo používateľa, ktorý príkaz spúšťa Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 26
sudo Na konfiguráciu slúži súbor /etc/sudoers Povoľ používateľovi student2  spustiť uvedený príkaz bez hesla, ak je prihlásený lokálne (z localhostu) student2 localhost=NOPASSWD:/sbin/halt Povoľ skupine studenti  spustiť uvedené príkazy bez hesla %studenti  ALL=NOPASSWD:/usr/local/bin/zisti_IP,/sb in/ifconfig,/usr/bin/kvm Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 27
Zadanie č. 1 Nastaviť heslo používateľa 'root'. Vytvoriť používateľa student1 a student2 v skupinách users a groups Vytvoriť používateľa admin v skupine wheel, ktorému expiruje heslo za 3 mesiace Po prihlásení používateľa vypíšte: “Ahoj  ´username´” Povoľte používateľovi admin vykonať príkaz su bez hesla Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 28
Zadanie č. 2 Zaraďte používateľa student1 do skupiny studenti Nastavte limit na maximálnu veľkosť súboru 100 kB pre skupinu studenti Nastavte politiku hesiel na: minimálne 4 číslice dĺžka aspoň 10 znakov rozdielne v 3 znakoch od posledného bonus: kontrolujte heslá slovníkom Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 29
Literatúra a zdroje Manuálové stránky: http://www.manpages.info Linux: Dokumentační projekt (4. vydání) http://www.root.cz/knihy/linux-dokumentacni-proje The Linux System Administrator's Guide http://tldp.org/LDP/sag/html/ The Linux-PAM Guides http://www.kernel.org/pub/linux/libs/pam/ Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 30

Recomendados

Linux: Filesystems
Linux: FilesystemsLinux: Filesystems
Linux: FilesystemsMichal Sedlak
 
Uvod do OS UNIX (cast 1)
Uvod do OS UNIX (cast 1)Uvod do OS UNIX (cast 1)
Uvod do OS UNIX (cast 1)Peter Svec
 
Paper i sky_copetasilvia
Paper i sky_copetasilviaPaper i sky_copetasilvia
Paper i sky_copetasilviaSilvy Copeta
 
La inflacion
La inflacionLa inflacion
La inflacionCarlos David
 
2004 travel report_dn_mogok_burma_for_internet
2004 travel report_dn_mogok_burma_for_internet2004 travel report_dn_mogok_burma_for_internet
2004 travel report_dn_mogok_burma_for_internetKo Nge
 
Tugas kelompok ii
Tugas kelompok iiTugas kelompok ii
Tugas kelompok iiLely Marlia
 
Queen tamari
Queen tamariQueen tamari
Queen tamarinanamikeladze38
 
Myanmar property tax
Myanmar property taxMyanmar property tax
Myanmar property taxKo Nge
 

Recomendados

Linux: Filesystems
Linux: FilesystemsLinux: Filesystems
Linux: FilesystemsMichal Sedlak
 
Uvod do OS UNIX (cast 1)
Uvod do OS UNIX (cast 1)Uvod do OS UNIX (cast 1)
Uvod do OS UNIX (cast 1)Peter Svec
 
Paper i sky_copetasilvia
Paper i sky_copetasilviaPaper i sky_copetasilvia
Paper i sky_copetasilviaSilvy Copeta
 
La inflacion
La inflacionLa inflacion
La inflacionCarlos David
 
2004 travel report_dn_mogok_burma_for_internet
2004 travel report_dn_mogok_burma_for_internet2004 travel report_dn_mogok_burma_for_internet
2004 travel report_dn_mogok_burma_for_internetKo Nge
 
Tugas kelompok ii
Tugas kelompok iiTugas kelompok ii
Tugas kelompok iiLely Marlia
 
Queen tamari
Queen tamariQueen tamari
Queen tamarinanamikeladze38
 
Myanmar property tax
Myanmar property taxMyanmar property tax
Myanmar property taxKo Nge
 
Memoriade calculo01
Memoriade calculo01Memoriade calculo01
Memoriade calculo01David Chavez Huerto
 
247235664 property-2014
247235664 property-2014247235664 property-2014
247235664 property-2014Ko Nge
 
House on mango street presentation
House on mango street presentationHouse on mango street presentation
House on mango street presentationaurriet
 
Paper2 consumo liquido_silviacopeta
Paper2 consumo liquido_silviacopetaPaper2 consumo liquido_silviacopeta
Paper2 consumo liquido_silviacopetaSilvy Copeta
 
Alinhamento
AlinhamentoAlinhamento
AlinhamentoRODRIGO GERMANO DA SILVA
 
Português enceja
Português encejaPortuguês enceja
Português encejaRODRIGO GERMANO DA SILVA
 
Prečo developerské odhady treba násobiť x4
Prečo developerské odhady treba násobiť x4Prečo developerské odhady treba násobiť x4
Prečo developerské odhady treba násobiť x4Filip Kuna
 
Fail Fiction Gamespot prezentacia
Fail Fiction Gamespot prezentacia Fail Fiction Gamespot prezentacia
Fail Fiction Gamespot prezentacia Filip Kuna
 
Tabela de defeitos e espectros
Tabela de defeitos e espectrosTabela de defeitos e espectros
Tabela de defeitos e espectrosRODRIGO GERMANO DA SILVA
 
Numbering final
Numbering finalNumbering final
Numbering finalKo Nge
 
World happinessreport2013 online
World happinessreport2013 onlineWorld happinessreport2013 online
World happinessreport2013 onlineKo Nge
 
House on mango street presentation
House on mango street presentationHouse on mango street presentation
House on mango street presentationaurriet
 

Más contenido relacionado

Destacado

247235664 property-2014
247235664 property-2014247235664 property-2014
247235664 property-2014Ko Nge
 
House on mango street presentation
House on mango street presentationHouse on mango street presentation
House on mango street presentationaurriet
 
Paper2 consumo liquido_silviacopeta
Paper2 consumo liquido_silviacopetaPaper2 consumo liquido_silviacopeta
Paper2 consumo liquido_silviacopetaSilvy Copeta
 
Prečo developerské odhady treba násobiť x4
Prečo developerské odhady treba násobiť x4Prečo developerské odhady treba násobiť x4
Prečo developerské odhady treba násobiť x4Filip Kuna
 
Fail Fiction Gamespot prezentacia
Fail Fiction Gamespot prezentacia Fail Fiction Gamespot prezentacia
Fail Fiction Gamespot prezentacia Filip Kuna
 
Numbering final
Numbering finalNumbering final
Numbering finalKo Nge
 
World happinessreport2013 online
World happinessreport2013 onlineWorld happinessreport2013 online
World happinessreport2013 onlineKo Nge
 
House on mango street presentation
House on mango street presentationHouse on mango street presentation
House on mango street presentationaurriet
 

Destacado (12)

Memoriade calculo01
Memoriade calculo01Memoriade calculo01
Memoriade calculo01
 
247235664 property-2014
247235664 property-2014247235664 property-2014
247235664 property-2014
 
House on mango street presentation
House on mango street presentationHouse on mango street presentation
House on mango street presentation
 
Paper2 consumo liquido_silviacopeta
Paper2 consumo liquido_silviacopetaPaper2 consumo liquido_silviacopeta
Paper2 consumo liquido_silviacopeta
 
Alinhamento
AlinhamentoAlinhamento
Alinhamento
 
Português enceja
Português encejaPortuguês enceja
Português enceja
 
Prečo developerské odhady treba násobiť x4
Prečo developerské odhady treba násobiť x4Prečo developerské odhady treba násobiť x4
Prečo developerské odhady treba násobiť x4
 
Fail Fiction Gamespot prezentacia
Fail Fiction Gamespot prezentacia Fail Fiction Gamespot prezentacia
Fail Fiction Gamespot prezentacia
 
Tabela de defeitos e espectros
Tabela de defeitos e espectrosTabela de defeitos e espectros
Tabela de defeitos e espectros
 
Numbering final
Numbering finalNumbering final
Numbering final
 
World happinessreport2013 online
World happinessreport2013 onlineWorld happinessreport2013 online
World happinessreport2013 online
 
House on mango street presentation
House on mango street presentationHouse on mango street presentation
House on mango street presentation
 

Cvicenie 9

  • 1. Správa používateľov Zabezpečenie prístupu k počítaču Proces zavádzania operačného systému Spôsob prihlasovania Výtváranie a mazanie používateľov Zmenu informácií Nastavovanie skupín používateľov Nastavovanie obmedzení Nastavovanie oprávnení Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 1
  • 2. Zabezpečenie prístupu (1) ● Fyzická bezpečnosť – zabrániť prístupu k stroju (ale aj diskom a iným médiám). ● Boot-ovacie médium – nastaviť heslo do BIOS-u, zakázať boot- ovanie z vymeniteľných médií, – v prípade boot-ovania z “flash” alebo CD- ROM je možné získať prístup k súboro- vému systému (pokiaľ nie je šifrovaný) ● zrušiť/zmeniť heslá k boot-loaderu (/boot/grub/grub.conf: password), ● zmeniť heslo root-a. Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 2
  • 3. Zabezpečenie prístupu (2) ● Boot-loader – boot-loader umožňuje odovzdávať parametre jadru, napríklad aj “runlevel”, – umožňuje teda získať administrátorský prístup cez “Single-User mode”, – nastaviť heslo boot-loadera. ● Heslo administrátora – má v systéme všetky práva. ● Šifrované disky ● Zabezpečená sieť, aktualizácie, ... Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 3
  • 4. Proces “boot­ovania” ● Po štarte počítača BIOS načíta a spustí z boot-sektoru boot-loader (lilo, grub, ...) ● Boot-loader zavedie do pamäte a spustí jadro OS (prípadne ďalšie časti, napr. obraz ramdisku initrd). ● Jadro po inicializácii spustí proces init. ● boot-loader odovzdá jadru parametre, e.g. – nastavenia siete, – umiestnenie súborového systému / (root), – runlevel, ... Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 4
  • 5. “Runlevel” ● Režim práce operačného systému. ● Je ich 7, sú definované v /etc/inittab a RC skriptami (/etc/rc[0­6].d), e.g. – 0, Halt – 1, Single-User mode – 3, Multi-User mode, textový režim – 5, Multi-User mode, grafický režim (X) – 6, Reboot ● Prepínanie “runlevel-ov” – runlevel, telinit Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 5
  • 6. “Single­User mode” ● Režim poskytuje len jednu textovú konzolu pre administrátora (root). ● Nie sú spustené služby (démony), neumožňuje prihlásenie používateľov. ● Len pre údržbu, opravu, konfiguráciu. ● Umožňuje získať výlučný prístup k systému, za týchto predpokladov: – prístup ku konzole stroja po reštarte, – možnosť pridať boot-ovací parameter jadra “single” (poznať heslo boot-loadera). Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 6
  • 7. Používateľ v Linuxe Používateľ je niekto, kto má oprávnenie používať daný systém Má priradené svoje meno - “username” Je identifikovaný jednoznačným UID Patrí do skupiny s jednoznačným GID Autentifikuje sa menom a heslom (typicky) Po prihlásení sa spustí shell (interpret príkazov, typicky /bin/bash) Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 7
  • 8. Prihlasovanie cez terminál START init: fork +  exec /sbin/getty getty: wait for user getty: read username exec /bin/login login: read password no login: exit match? yes login: exec shell shell: read and  execute commands shell: exit Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 8
  • 9. Čo sa stane init spustí fork a následne getty (prípadne agetty) /sbin/getty vypíše uvítaciu správu /etc/issue vyžiada prihlasovacie meno username spustí login /sbin/login získa username ako parameter vyžiada heslo vypíše /etc/motd (message of the day) vypíše kontrolu e-mailu Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 9
  • 10. Dôležité súbory pri prihlasovaní Zoznam aktuálnych prihlásení /var/run/utmp Zoznam predchádzajúcich prihlásení /var/run/wtmp Zoznam typov terminálov /etc/ttytype Potlačenie výpisu systémových správ $HOME/.hushlogin Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 10
  • 11. Databáza  používateľov /etc/passwd Jednotlivé polia sú oddelené dvojbodkou : Prihlasovacie meno – 1 - 32 znakov dlhé Heslo – znak “x” znamená, že heslo je uložené zašifrované v /etc/shadow UID – jedinečný identifikátor používateľa UID 0 – rezervované pre používateľa root UID 1-99 – rezervované pre preddefinovaných používateľov UID 100-999 – rezervované pre administráciu systému a systémové kontá Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 11
  • 12. Databáza  používateľov /etc/passwd GID – Číslo skupiny, do ktorej používateľ primárne patrí Informácie o používateľovi – Priestor na ďalšie doplňujúce informácie Domovský adresár – absolútna cesta k adresáru, do ktorého bude používateľ prihlásený. Ak zadaný adresár neexistuje, stane sa domovským adresárom adresár / Príkazový interpret / príkaz – absolútna cesta k príkazu alebo k interpretu príkazov, ktorý sa spustí po prihlásení (typicky /bin/bash) Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 12
  • 13. Pridanie používateľa do systému Pridanie používateľa s preddefinovanými nastaveniami pomocou “useradd” a useradd ­m username Prepínač “-m” zabezpečí vytvorenie domovského adresára Výpísanie preddefinovaných nastavení useradd ­D Zmena preddefinovanej skupiny useradd ­D ­g 3434  Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 13
  • 14. Pridanie používateľa do systému Pridanie pomocou skriptu (v niektorých distribúciach je to len symbolická linka na useradd) adduser Pridanie skupiny s GID 1234 groupadd ­g 1234 studenti Pridajte používateľa student1 do skupiny studenti useradd ­g studenti student1 Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 14
  • 15. Pridanie používateľa ručne Pridanie používateľa do databázy používateľov. Treba si dať pozor na syntax! vipw student2:x: 1001:1234::/home/student2:/bin/bash Zosúladenie súborov /etc/passwd a /etc/shadow a /etc/group a /etc/gshadow pwck, grpck Konvertovanie medzi jednolivými súbormi pwconv, pwunconv, grpconv, grpunconv Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 15
  • 16. Pridanie používateľa ručne Vytvorenie skupiny ručne vigr Vytvorenie domovského adresára používateľa mkdir /home/student2 Skopírovanie prednastaveného obsahu domovského adresára cp ­r /etc/skel/* /home/student2/ Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 16
  • 17. Pridanie používateľa ručne Zmena vlastníka adresáru chown ­R  student2:studenti /home/student2 Nastavenie prístupových práv na adresár chmod ­R 755 /home/student2 Nastavenie hesla používateľa passwd student2 Otestovanie prihlásenia používateľa su – student2; ls ­la Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 17
  • 18. Zmazanie používateľského konta Zmazanie používateľského konta userdel student2 vipw, vigr Zmazanie konta aj súborov v domovskom adresári userdel ­r student2 Vyhľadanie všetkých súborov patriacich používateľovi find / ­user student2 Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 18
  • 19. Zmena používateľského konta Zmeny používateľského konta usermod student2 (man usermod) Zmena informácií o používateľovi chfn student2 Zmena prihlasovacieho “shell-u” chsh student2 Zmena platnosti konta chage student2 Zablokovanie konta passwd ­l student2 Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 19
  • 20. Obmedzenie pihlasovania Zoznam terminálov, z ktorých sa môže prihlásiť root /etc/securetty Zabránenie prihlásenia iných používateľov ako root (v prípade, ak existuje). Vytvára ho skript shutdown /etc/nologin Nastavenie “shell-u” na nepovolený /bin/false /sbin/nologin Zoznam povolených shell-ov /etc/shells Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 20
  • 21. Nastavenie obmedzení Limity pre používateľov /etc/security/limits.conf Syntax súboru <domain> <type> <item> <value> Doménou môže byť username groupname značka * pre default nastavenia Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 21
  • 22. Nastavenie obmedzení Limity môžu byť dvoch typov soft – mäkké limity. Tieto môže používateľ meniť hard – pevné limity. Používateľ ich nemôže prekročit Hodnota limitu <value> závisí od konkrétneho atribútu Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 22
  • 23. Nastavenie obmedzení Nastavenie rôznych obmedzení, napr. core – nastavuje veľkosť core súboru (KB) fsize – maximálna veľkosť súboru (KB) memlock – maximum alokovanej pamäte (KB) nofile – maximálny počet otvorených súborov (KB) cpu – maximálny pridelený čas CPU (KB) nproc – maximálny počet procesov (KB) Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 23
  • 24. Linux PAM Pluggable Autentification Modules - súbor knižníc umožňujúci administrátorovi nastaviť, akým spôsobom budú jednotlivé aplikácie autentifikovať používateľov Jednotlivé moduly sa nachádzajú v /libs/security Konfiguračný súbor pre konkrétnu aplikáciu /etc/pam.d/* napríklad pre sshd: /etc/pam.d/sshd Syntax <control> <module> <arguments> Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 24
  • 25. Príklad PAM V tomto príklade sú v systéme uchovávajúcom heslá v md5 povolené heslá minimálnej dĺžky 14 bytov, pričom za špeciálne znaky a číslice môže získať používateľ kredit 2 (v prípade ich použitia stačí kratšie heslo) password  required pam_cracklib.so difok=3 minlen=15  dcredit= 2 ocredit=2 password  required pam_unix.so use_authtok nullok md5 Kredit môže byť aj záporný, vtedy je požadovaný minimálny počet daných znakov password  required pam_cracklib.so dcredit=­1 ocredit=­1  lcredit=0 minlen=8 retry=3 Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 25
  • 26. su vs. sudo Oba programy umožňujú vykonať príkaz (napríklad id) ako iný používateľ sudo ­u student2 id su student2 ­c id su  slúži primárne na zmenu používateľa (switch user) pri prihlásení vyžiada heslo používateľa, na ktorého sa chceme zmeniť sudo slúži primárne na vykonanie príkazu ako iný používateľ (switch user and do) pri prihlásení vyžiada heslo používateľa, ktorý príkaz spúšťa Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 26
  • 27. sudo Na konfiguráciu slúži súbor /etc/sudoers Povoľ používateľovi student2  spustiť uvedený príkaz bez hesla, ak je prihlásený lokálne (z localhostu) student2 localhost=NOPASSWD:/sbin/halt Povoľ skupine studenti  spustiť uvedené príkazy bez hesla %studenti  ALL=NOPASSWD:/usr/local/bin/zisti_IP,/sb in/ifconfig,/usr/bin/kvm Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 27
  • 28. Zadanie č. 1 Nastaviť heslo používateľa 'root'. Vytvoriť používateľa student1 a student2 v skupinách users a groups Vytvoriť používateľa admin v skupine wheel, ktorému expiruje heslo za 3 mesiace Po prihlásení používateľa vypíšte: “Ahoj  ´username´” Povoľte používateľovi admin vykonať príkaz su bez hesla Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 28
  • 29. Zadanie č. 2 Zaraďte používateľa student1 do skupiny studenti Nastavte limit na maximálnu veľkosť súboru 100 kB pre skupinu studenti Nastavte politiku hesiel na: minimálne 4 číslice dĺžka aspoň 10 znakov rozdielne v 3 znakoch od posledného bonus: kontrolujte heslá slovníkom Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 29
  • 30. Literatúra a zdroje Manuálové stránky: http://www.manpages.info Linux: Dokumentační projekt (4. vydání) http://www.root.cz/knihy/linux-dokumentacni-proje The Linux System Administrator's Guide http://tldp.org/LDP/sag/html/ The Linux-PAM Guides http://www.kernel.org/pub/linux/libs/pam/ Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 30