Hệ điều hành Linux - Quản trị người dùng
Chiều dài tối thiểu
– Lưu trong file /etc/pam.d/common-password
– password [success=1 default=ignore] pam_unix.so
obscure sha512 minlen=8
• Thời điểm hết hiệu lực
– Xem thông tin: sudo chage -l username
– Thiết lập: sudo chage username
• sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 username
• Ngày hết hạn: explicit expiration date (-E)
• Số ngày tồn tại tối thiểu: minimum password age (-m)
• Số ngày tồn tại tối đa: maximum password age (-M)
• Số ngày không hoạt động sau khi mật khẩu hết hiệu lực:
inactivity period (-I)
• Thời gian cảnh báo trước lúc hết hạn: warning time period
31 trang |
Chia sẻ: huyhoang44 | Lượt xem: 712 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Hệ điều hành Linux - Quản trị người dùng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Đặng Thanh Bình
Quản trị người dùng
2Nội dung
• Giới thiệu về hệ thống người dùng trên Linux
• Các lệnh quản trị người dùng
NGƯỜI DÙNG
4Người dùng trên Linux
• Linux cung cấp 5 loại người dùng:
– Super user, còn gọi là Root user
– System user
– Normal user
– Network user
– Pseudo user
5Root user
• User ID (UID) = 0
• Là người dùng tối cao và có quyền tuyệt đối
trên máy tính cài Linux
• ID của user này có thể được đổi nếu can
thiệp vào file cấu hình
• Thường được sử dụng cho mục đích quản trị
• Root user trên Ubuntu thường được mặc
định ở trạng thái ‘lock’. Người dùng được
khuyến khích làm các công việc cần quyền
root bằng cách dùng lệnh sudo
6System user
• Được tạo mặc định bởi OS
• UID mặc định từ 1 – 499
– Đây chỉ là range mặc định, Linux hỗ trợ nhiều
hơn con số 500 system user
• Tương tự normal user nhưng có thêm 1 số
quyền và quyền truy cập vào 1 số chương
trình mà người dùng thông thường không
được phép truy cập
7Normal user
• UID mặc định từ >500 đến <6000
• Được tạo bởi root
• Có quyền truy cập giới hạn vào các tài
nguyên
• Phải được root cấp quyền mới được truy cập
vào các dịch vụ và tài nguyên quan trọng
trên hệ thống
8Network user
• UID mặc định từ >6000
• Các tài khoản user thuộc loại này thường
được sử dụng bởi quản trị viên để
– Kiểm tra các hoạt động trên mạng
– Kết nối đến các dịch vụ trên mạng, vd MySQL,
NNTP,
9Pseudo user
• Là bản sao của người dung root
• Được sử dụng khi một user cần được phân
quyền như root
• Chỉ root mới có quyền cung cấp quyền truy
cập đến loại tài khoản này cho các user khác
10
Các lệnh cơ bản
• Kiểm tra xem mình là ai
– whoami
– id
– id
• Chuyển người dùng:
– su
– su -
QUẢN TRỊ NGƯỜI DÙNG
12
Vấn đề
• Làm thế nào để thêm/xóa user ?
• Có thể cấp quyền limited access cho user
không?
• Làm thế nào để thêm vào 1 group và
them user vào group đó?
• Làm thế nào để phân quyền cho những
người dùng trong 1 nhóm cụ thể nào đó?
• Việc phân quyền có thể được thay đổi sau
này không?
• Có phải ai cũng có quyền phân quyền
không?
13
Một số quy định cơ bản
• Chỉ người dùng root có quyền tạo user
• Chỉ người dùng root và người sở hữu tập tin
có quyền thay đổi phân quyền trên tập tin
14
Quản lý user bằng GUI
• Cài đặt công cụ quản trị user và group
(gnome-system-tools)
• Hoặc dùng command line
sudo apt-get install gnome-system-tools
15
Quản lý user bằng GUI
• Tìm kiếm trên Dash và chạy chương trình quản lý
16
Lệnh quản trị user và group
• Enable user root
– sudo passwd
• Lock và unlock user
– sudo passwd -l username
– sudo passwd -u username
17
Thêm người dùng
• useradd
– useradd [options] USERNAME
– -c: comment thông tin về user
– -d: directory cá nhân của user
– -g group
• adduser
– Cú pháp tương tự useradd
– Thường chỉ được khai báo username, các
thông tin khác sẽ được hệ thống hỏi sau
– Một lệnh rất thú vị trên Ubuntu/Debian
18
Xóa người dùng
• userdel [tham số] <tài khoản cần
xóa>
– Xóa user nhưng giữ lại các thông tin người
dùng, bao gồm cả group, thư mục người
dùng, mail dir
• sudo userdel
– Xóa hết mọi thông tin về người dùng trong
hệ thống
• sudo userdel –r
• sudo deluser
19
Sửa thông tin người dùng
• usermod [options]
– Chỉ super user mới được thực thi lệnh này
– Các option cơ bản:
• -c = We can add comment field for the useraccount.
• -d = To modify the directory for any existing user
account.
• -e = Using this option we can make the account expiry in
specific period.
• -g = Change the primary group for a User.
• -G = To add a supplementary groups.
• -a = To add anyone of the group to a secondary group.
• -l = To change the login name from tecmint to
tecmint_admin.
• -L = To lock the user account. This will lock the password
so we can’t use the account.
20
Sửa thông tin người dùng
• usermod [options]
– Chỉ super user mới được thực thi lệnh này
– Các option cơ bản:
• -m = moving the contents of the home directory
from existing home dir to new dir.
• -p = To Use un-encrypted password for the new
password. (NOT Secured).
• -s = Create a Specified shell for new accounts.
• -u = Used to Assigned UID for the user account
between 0 to 999.
• -U = To unlock the user accounts. This will
remove the password lock and allow us to use
the user account.
21
Sửa thông tin người dùng
• usermod [options]
– Các file sau sẽ bị ảnh hưởng
• /etc/passwd – User account information.
• /etc/shadow – Secure account information.
• /etc/group – Group account information.
• /etc/gshadow – Secure group account
information.
• /etc/login.defs – Shadow password suite
configuration..
22
User Profile Security
• Kiểm tra phân quyền trên thư mục
home của user
– ls -ld /home/username
– Dùng lệnh chmod để chỉnh lại phân quyền
23
Password Policy
• Chiều dài tối thiểu
– Lưu trong file /etc/pam.d/common-password
– password [success=1 default=ignore] pam_unix.so
obscure sha512 minlen=8
• Thời điểm hết hiệu lực
– Xem thông tin: sudo chage -l username
– Thiết lập: sudo chage username
• sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 username
• Ngày hết hạn: explicit expiration date (-E)
• Số ngày tồn tại tối thiểu: minimum password age (-m)
• Số ngày tồn tại tối đa: maximum password age (-M)
• Số ngày không hoạt động sau khi mật khẩu hết hiệu lực:
inactivity period (-I)
• Thời gian cảnh báo trước lúc hết hạn: warning time period (-W)
24
Các vấn đề bảo mật khác
• Truy cập SSH đối với các tài khoản đã bị vô
hiệu
– Việc khóa/vô hiệu hóa tài khoản không ngăn
được người dùng dùng tài khoản đó để truy cập
thông qua SSH nếu họ đã thiết lập RSA public
key authentication
– Họ vẫn có thể truy cập SSH vào server mà không
cần mật khẩu
– Kiểm tra xem có tồn tại thiết lập đó không bằng
cách xem thư mục
/home/username/.ssh/authorized_keys
25
Các vấn đề bảo mật khác
• Truy cập SSH đối với các tài khoản đã bị vô hiệu
– Cách xử lý:
• Đổi tên thư mục .ssh
• Kiểm tra xem người dung đó đang có kết nối SSH nào
không, nếu có ==> kill kết nối đó
– who |grep username (to get the pts/# terminal)
– sudo pkill -f pts/#
• Giới hạn quyền truy cập SSH cho một nhóm người dùng
cụ thể
– Mở file /etc/ssh/sshd_config
– Thiết lập biến: AllowGroups sshlogin
– Thêm người dung vào nhóm sshlogin và khởi động lại dịch vụ
» sudo adduser username sshlogin
» sudo service ssh restart
26
Quản lý group
• Thêm nhóm
– sudo addgroup groupname
• Xóa nhóm
– sudo delgroup groupname
• Thêm người dùng vào nhóm
– sudo adduser username groupname
27
Các file liên quan
• Mỗi khi tạo nhóm, 4 file sau được cập
nhật
– /etc/passwd – chứa thông tin user.
– /etc/shadow – chứa mật khẩu user dưới
dạng mã hóa
– /etc/group – chứa thông tin nhóm.
– /etc/gshadow – chứa các mật khẩu group
hiện có
28
Các file liên quan
• File /etc/passwd
Username
Password
UID
GID
Description
Home directory
Shell
Shell
29
Các file liên quan
• File /etc/shadow
Username
Password
L n thay đ i ầ ổ
password cu i cùngố
Ngày sau khi ph i thay ả
đ i passwordổ
Ngày user b warn n u ị ế
không thay đ i passố
Ngày tr c khi ph i ướ ả
thay đ i passwordổ
30
Các file liên quan
• File /etc/group
Groupname GID
Grouppassword
Groupmember
31
Q&A
Các file đính kèm theo tài liệu này:
- 02_manage_users_and_groups_719.pdf