Správa používateľov Zabezpečenie prístupu

Transcription

1 Správa používateľov Zabezpečenie prístupu k počítaču Proces zavádzania operačného systému Spôsob prihlasovania Vytváranie a mazanie používateľov Zmenu informácií Nastavovanie skupín používateľov Nastavovanie obmedzení Nastavovanie oprávnení Zabezpečenie prístupu Fyzická bezpečnosť o zabrániť prístupu k stroju (ale aj diskom a iným médiám). Boot-ovacie médium o nastaviť heslo do BIOS-u, zakázať bootovanie z vymeniteľných médií, o v prípade boot-ovania z flash alebo CDROM je možné získať prístup k súborovému systému (pokiaľ nie je šifrovaný) zrušiť/zmeniť heslá k boot-loaderu (/boot/grub/grub.conf: password), zmeniť heslo root-a. Boot-loader o boot-loader umožňuje odovzdávať parametre jadru, napríklad aj runlevel, o umožňuje teda získať administrátorský prístup cez Single-User mode, o nastaviť heslo boot-loadera. Heslo administrátora o má v systéme všetky práva. Šifrované disky Zabezpečená sieť, aktualizácie,... 1

2 Proces bootovania Po štarte počítača BIOS načíta a spustí z boot-sektoru boot-loader (lilo, grub,...) Boot-loader zavedie do pamäte a spustí jadro OS (prípadne ďalšie časti, napr. obraz ramdisku initrd). Jadro po inicializácii spustí proces init. boot-loader odovzdá jadru parametre, e.g. o nastavenia siete, o umiestnenie súborového systému / (root), o runlevel,... Runlevel Režim práce operačného systému. Je ich 7, sú definované v /etc/inittab a RC skriptami (/etc/rc[0-6].d), e.g. o 0, Halt o 1, Single-User mode o 3, Multi-User mode, textový režim o 5, Multi-User mode, grafický režim (X) o 6, Reboot Prepínanie runlevel-ov o runlevel, telinit SingleUser mode Režim poskytuje len jednu textovú konzolu pre administrátora (root). Nie sú spustené služby (démony), neumožňuje prihlásenie používateľov. Len pre údržbu, opravu, konfiguráciu. Umožňuje získať výlučný prístup k systému, za týchto predpokladov: o prístup ku konzole stroja po reštarte, o možnosť pridať boot-ovací parameter jadra single (poznať heslo boot-loadera). 2

3 Používateľ v Linuxe Používateľ je niekto, kto má oprávnenie používať daný systém Má priradené svoje meno - username Je identifikovaný jednoznačným UID Patrí do skupiny s jednoznačným GID Autentifikuje sa menom a heslom (typicky) Po prihlásení sa spustí shell (interpret príkazov, typicky /bin/bash) Prihlasovanie cez terminál 3

4 Čo sa stane init spustí fork a následne getty (prípadne agetty) /sbin/getty vypíše uvítaciu správu /etc/issue vyžiada prihlasovacie meno username spustí login /sbin/login získa username ako parameter vyžiada heslo vypíše /etc/motd (message of the day) vypíše kontrolu u Dôležité súbory pri prihlasovaní Zoznam aktuálnych prihlásení: /var/run/utmp Zoznam predchádzajúcich prihlásení: /var/run/wtmp Zoznam typov terminálov: /etc/ttytype Potlačenie výpisu systémových správ: $HOME/.hushlogin Databáza používateľov /etc/passwd Jednotlivé polia sú oddelené dvojbodkou : Prihlasovacie meno 1-32 znakov dlhé Heslo znak x znamená, že heslo je uložené zašifrované v /etc/shadow UID jedinečný identifikátor používateľa UID 0 rezervované pre používateľa root UID 1-99 rezervované pre preddefinovaných používateľov UID rezervované pre administráciu systému a systémové kontá GID Číslo skupiny, do ktorej používateľ primárne patrí Informácie o používateľovi Priestor na ďalšie doplňujúce informácie Domovský adresár absolútna cesta k adresáru, do ktorého bude používateľ prihlásený. Ak zadaný adresár neexistuje, stane sa domovským adresárom adresár / Príkazový interpret / príkaz absolútna cesta k príkazu alebo k interpretu príkazov, ktorý sa spustí po prihlásení (typicky /bin/bash) Pridanie používateľa do systému Pridanie používateľa s preddefinovanými nastaveniami pomocou useradd a useradd m username, prepínač -m zabezpečí vytvorenie domovského adresára 4

5 Výpísanie preddefinovaných nastavení useradd -D Zmena preddefinovanej skupiny useradd -D g 3434 Pridanie pomocou skriptu (v niektorých distribúciach je to len symbolická linka na useradd) adduser Pridanie skupiny s GID 1234: groupadd -g 1234 studenti Pridanie používateľa student1 do skupiny studenti: useradd -g studenti student1 Pridanie používateľa ručne Pridanie používateľa do databázy používateľov. Treba si dať pozor na syntax! vipw student2:x: 1001:1234::/home/student2:/bin/bash Zosúladenie súborov /etc/passwd a /etc/shadow a /etc/group a /etc/gshadow, pwck, grpck Konvertovanie medzi jednotlivými súbormi pwconv, pwunconv, grpconv, grpunconv Vytvorenie skupiny ručne: vigr Vytvorenie domovského adresára používateľa: mkdir /home/student2 Skopírovanie prednastaveného obsahu domovského adresára: cp -r /etc/skel/* /home/student2/ Zmena vlastníka adresáru: chown R student2:studenti /home/student2 Nastavenie prístupových práv na adresár: chmod R 755 /home/student2 Nastavenie hesla používateľa: passwd student2 Otestovanie prihlásenia používateľa: su student2; ls la 5

6 Zmazanie používateľského konta Zmazanie používateľského konta userdel student2 vipw, vigr Zmazanie konta aj súborov v domovskom adresári userdel r student2 Vyhľadanie všetkých súborov patriacich používateľovi find / -user student2 Zmena používateľského konta Zmeny používateľského konta: usermod student2 (man usermod) Zmena informácií o používateľovi: chfn student2 Zmena prihlasovacieho shell-u : chsh student2 Zmena platnosti konta: chage student2 Zablokovanie konta: passwd l student2 Obmedzenie pihlasovania Zoznam terminálov, z ktorých sa môže prihlásiť root: /etc/securetty Zabránenie prihlásenia iných používateľov ako root (v prípade, ak existuje). Vytvára ho skript shutdown: /etc/nologin Nastavenie shell-u na nepovolený: /bin/false /sbin/nologin Zoznam povolených shell-ov: /etc/shells Nastavenie obmedzení Limity pre používateľov: /etc/security/limits.conf Syntax súboru: <domain> <type> <item> <value> Doménou môže byť: username groupname značka * pre default nastavenia Limity môžu byť dvoch typov soft mäkké limity. Tieto môže používateľ meniť hard pevné limity. Používateľ ich nemôže prekročit Hodnota limitu <value> závisí od konkrétneho atribútu 6

7 Nastavenie rôznych obmedzení, napríklad: core nastavuje veľkosť core súboru (KB) fsize maximálna veľkosť súboru (KB) memlock maximum alokovanej pamäte (KB) nofile maximálny počet otvorených súborov (KB) cpu maximálny pridelený čas CPU (KB) nproc maximálny počet procesov (KB) Linux PAM Pluggable Autentification Modules súbor knižníc umožňujúci administrátorovi nastaviť, akým spôsobom budú jednotlivé aplikácie autentizovať používateľov. Jednotlivé moduly sa nachádzajú v: /libs/security Konfiguračný súbor pre konkrétnu aplikáciu: /etc/pam.d/* napríklad pre sshd: /etc/pam.d/sshd Syntax <control> <module> <arguments> Príklad PAM V tomto príklade sú v systéme uchovávajúcom heslá v md5 povolené heslá minimálnej dĺžky 14 bytov, pričom za špeciálne znaky a číslice môže získať používateľ kredit 2 (v prípade ich použitia stačí kratšie heslo) password required pam_cracklib.so difok=3 minlen=15 dcredit= 2 ocredit=2 password required pam_unix.so use_authtok nullok md5 Kredit môže byť aj záporný, vtedy je požadovaný minimálny počet daných znakov password required pam_cracklib.so dcredit=1 ocredit=1 lcredit=0 minlen=8 retry=3 su vs. sudo Oba programy umožňujú vykonať príkaz (napríklad id) ako iný používateľ sudo u student2 id su student2 c id su slúži primárne na zmenu používateľa (switch user) pri prihlásení vyžiada heslo používateľa, na ktorého sa chceme zmeniť sudo slúži primárne na vykonanie príkazu ako iný používateľ (switch user and do) pri prihlásení vyžiada heslo používateľa, ktorý príkaz spúšťa 7

8 sudo Na konfiguráciu slúži súbor: /etc/sudoers Povolenie používateľovi student2 spustiť uvedený príkaz bez hesla, ak je prihlásený lokálne (z localhostu) student2 localhost=nopasswd:/sbin/halt Povolenie skupine studenti spustiť uvedené príkazy bez hesla %studenti ALL=NOPASSWD:/usr/local/bin/zisti_IP,/sbin/ifconfig,/usr/bin/kvm 8