Брандмауэры и специальное программное обеспечение 8 Часть 4
| Вид материала | Реферат |
СодержаниеФайл /etc/groups Подробнее о /etc/group Файл /etc/gshadow Файл /etc/login.defs Pass_max_days -1 Pass_inactive -1 Pass_expire -1 |
- Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
- Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
- Программное обеспечение ЭВМ, 209.59kb.
- Программное обеспечение вычислительной системы, 824.71kb.
- Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
- Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
- Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
- Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
- Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
- Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.
Файл /etc/groups
Файл групп по своей природе похож на файл паролей. Из последующих глав вы узнаете больше о значимости файла групп, в этой же главе мы ограничимся обсуждением его структуры. Пример файла групп приведен в листинге 1.3.
Листинг 1.3. Пример файла /etc/group
root::0:
wheel::10:
bin::1:bin,daemon
daemon::2:bin,daemon
sys::3:bin,adm
adm::4:adm,daemon
tty::5:
disk::6:
lp::7:daemon,lp
mem::8:
kmem::9:
operator::11:
mail::12:mail
news:: 13: news
uucp::14:uucp
man::15:
majordom::16:
database::17:
mysql::18:
games::20:
gopher::30:
dip::40:
utmp::45:
ftp::50:
silvia::501:silvia nobody::65534: users::100:david,silvia david::500:david
Подробнее о /etc/group
Каждая запись файла /etc/group состоит из четырех полей, разделенных двоеточиями. Первое поле задает имя группы. Подобно имени пользователя, оно облегчает жизнь системных администраторов (символьные имена запоминаются куда легче числовых идентификаторов).
Второе поле обычно всегда пустое, так как механизм паролей для групп обычно не используется, однако если данное поле не пусто и содержит пароль, то к группе может присоединиться любой пользователь. Для этого нужно выполнить команду newgrp с именем группы в качестве параметра, после чего ввести правильный пароль. Могу предположить, что некоторые из читателей скажут: «Ха, вот автор и попался. У группы root поле пароля пустое, а значит, кто угодно может присоединиться к ней, не вводя никакого пароля. И где здесь безопасность?» Не совсем так. Если пароль для группы не задан, то присоединиться к ней могут только пользователи, перечисленные в списке членов группы (см. описание четвертого поля чуть далее).
Третье поле задает идентификатор группы (Group ID, GID). Смысл его такой же, как и у идентификатора пользователя. Удобней, когда он уникальный, хотя это и необязательно.
Последнее поле представляет собой список имен пользователей, принадлежащих к группе (пробелы между запятой и первым или последним символом имени обычно игнорируются, но для гарантированной работы всех программ лучше не допускать их появления). Имена пользователей перечисляются через запятую без пробелов. Указывать пользователя в списке членов его первичной группе не обязательно, однако это не повредит и может уберечь от некоторой путаницы в дальнейшем. Первичная группа пользователя указывается (в обязательном порядке) в файле passwd и назначается при подключении пользователя к системе исходя из этой информации. Соответственно, если изменить первичную группу пользователя в файле passwd, то пользователь более не сможет присоединиться к своей бывшей первичной группе.
Файл /etc/gshadow
По умолчанию OpenLinux устанавливается без поддержки теневых групповых паролей. Это потому, что хороший системный администратор групповые пароли не использует. Причина проста: групповые пароли трудно хранить в секрете. Если вы практикуете групповые пароли, то можете справедливо полагать, что они известны всем. Важность неразглашения личного пароля до пользователя донести легко, но вот хранить в секрете пароль «который итак все уже знают» пользователи очень быстро устают. Прибавьте к этому потребность пользователей в легко запоминаемых групповых паролях, и вы получите систему, о безопасности которой говорить не приходится.
Но если вы согласны оставить в стороне осторожность и хотите задействовать механизм групповых паролей, то следует использовать теневые, а не обычные пароли. Причины те же, что упоминались при обсуждении теневых паролей для пользователей.
Для использования групповых теневых паролей нужно создать файл gshadow. Переход от системы без теневых групповых паролей (без файла gshadow) к системе с таковыми (с файлом gshadow) и обратно осуществляется аналогично тому, как это делается для файла passwd. Предосторожности ради сначала запустите утилиту grpck, которая проверит файл /etc/group на наличие ошибок, не позволяющих перейти к следующему шагу. Далее запустите утилиту grpconv. После ее выполнения в файле /etc/group в поле хэшированного пароля появится уже знакомый вам символ х, а сами пароли перекочуют в созданный ею файл /etc/gshadow. Записи файла gshadow состоят из четырех полей, разделенных запятой. Первое поле задает имя группы, второе — хэшированный пароль (вся изложенная ранее информация о хэшированных паролях остается верной и для групповых паролей). Третье поле зарезервировано. Четвертое поле представляет собой список членов группы. Подобно файлу shadow, для возвращения к обычному файлу групп запустите grpuncov.
Файл /etc/login.defs
Добавить нового пользователя в систему можно несколькими способами. В Open-Linux для этого используются следующие программы: новая программа coastooL, более старая программа LISA, а также программа useradd. Подойдет любая из них. Утилита COAS использует свой собственный файл, который будет рассмотрен в дальнейшем. А программы useradd и LISA берут информацию о значениях по умолчанию для полей файлов passwd и shadow из файла /etc/login.defs. Содержимое этого файла в сокращенной форме показано в листинге 1.4 (комментарии переведены на русский язык).
Листинг 1.4. Сокращенный файл /etc/login.defs
- Максимальное количество дней, в течение которого разрешается использовать пароль:
- (-1 - смена пароля не обязательна)
PASS_MAX_DAYS -1
Минимальное количество дней между сменами пароля:
PASS_MIN_DAYS О
- За какое количество дней до даты смены пароля должно выдаваться предупреждение:
PASS_WARN_AGE 7
- Какое количество дней должно пройти после истечения допустимого срока
- использования пароля, прежде чем учетная запись будет блокирована:
PASS_INACTIVE -1
- Форсировать истечение срока использования пароля в заданный день:
# (дата идентифицируется количеством дней после 70/1/1, -1 = не форсировать)
PASS_EXPIRE -1
###
- Значения полей создаваемой учетной записи для программы useradd
- группа по умолчанию:
GROUP 100
- домашний каталог пользователя: %s = имя пользователя)
НОMЕ /home/%s
- командная оболочка по умолчанию:
SHELL /bin/bash
- каталог, в котором расположен скелет домашнего каталога:
SKEL /etc/skel
- минимальное и максимальное значения для автоматического выбора gid в groupadd
GID_MIN 100
GID_MAX 60000
Содержимое этого файла задает значения по умолчанию для полей файлов passwd и shadow. Если не переопределить их из командной строки, будут использованы именно они. Как отправная точка, эти значения вполне подойдут, однако для реализации устаревания паролей некоторые из них нужно будет изменить. Значение, равное -1, означает отсутствие ограничений. Не бойтесь подстраивать первоначальные значения под собственные нужды. Но какие значения следует использовать? Это постепенно станет ясно из этой и следующей глав.
В программе COAS дистрибутива Caldera используется графический интерфейс пользователя (для консоли текстовый, но все равно основанный на кнопках и системах меню). Для администрирования учетных записей и групп выберите System Administration (администрирование системы) > Account Administration (администрирование учетных записей) и далее используйте ниспадающие меню.