Cum de a deveni un superutilizator - cunostinte solide de-sisteme UNIX

Comanda su: schimbarea ID-ul utilizatorului

Este mai bine să utilizați comanda su. Dacă fără argumente, se va cere parola de root și apoi executați un shell cu privilegii de root. Interpret va rula în modul privilegiat până când închideți (prin comanda de ieșire sau prin tastele de presare ). Su comanda nu înregistrează acțiunile efectuate în mediul de interpret, dar adaugă o intrare în fișierul jurnal, informând despre cine și când autentificat sub parola de root.

Su comandă este, de asemenea, posibilitatea de a substitui rădăcină, alte nume de utilizator. Uneori, singura cale de a rezolva problema de utilizator - introduceți prin comanda su în mediul său.

Știind parola altcuiva, vă puteți înregistra direct în sistem sub numele său, utilizatorul comanda suimya. În unele sisteme, parola de root permite să înregistrați folosind su sau conectare sub orice nume și în altele trebuie să devină mai întâi root folosind comanda su. și apoi utilizați aceeași comandă pentru a trece la un alt cont.

Ar trebui să-l ia o regulă cu comanda de a utiliza numele complet calea, de exemplu, / bin / su și / usr / bin / su. nu doar su. Acest lucru este într-o anumită măsură, vă protejează de aceste programe cu numele su. care în mod deliberat au fost înregistrate în atacator PATH intenționează să „adune o recoltă bună“ parole.

În multe sisteme pentru a executa comanda su may membrii grupului numai pe roți.

Programul sudo: o versiune limitată a comenzii su

Programul sudo ca argument primește un șir de comandă care trebuie luate root cu drepturi de utilizator (sau alt utilizator autorizat). Programul se referă la fișierul / etc / sudoers. care conține o listă de utilizatori care au permisiunea de punerea sa în aplicare, precum și lista de echipe pe care le pot folosi pe o anumită mașină. În cazul în care comanda propusă este permis, programul sudo solicită utilizatorului să introducă parola proprie și executa comenzi ca root.

Înainte de expirarea perioadei de cinci minute de inactivitate (durata sa poate fi modificată), programul sudo vă permite să efectuați alte comenzi fără a introduce o parolă. Această măsură - protecția acelor utilizatori privilegiați care au aruncat terminalele lor nesupravegheat.

07 decembrie 10:57:19 tigger sudo: randy: TTY = ttypO TTY = ttypO; PWD = / Tigger / utilizatori / gălăgios; USER = rădăcină; COMANDĂ = / bin / pisica / etc / sudoers

Fișierul / etc / sudoers există în versiune unică și este utilizat pe toate computerele. Se pare ceva de genul:

# Definiți pseudonime pentru calculator și fizice facultăți Host_Alias ​​CS = Tigger, ancora, fluierar, raoet, Sigi

Host_Alias ​​FIZICĂ = eprince, pprince, Icar

# Definirea unui set de comenzi

Cmnd_Alias ​​DUMP = / usr / sbin / benă, / usr / sbin / restaura Cmnd_Alias ​​TIPOGRAFII = / usr / sbin / LPC, / usr / sbin / lprm Cmnd_Alias ​​COJI - / bin / sh, / bin / tcsh, / bin / csh

mark, ed FIZICĂ = ALL

plante medicinale CS = / usr / local / bin / tcpdump. FIZICĂ = (operator) DUMP

lynda ALL = (ALL) ALL. COJI

% Wheel ALL. FIZICĂ = NOPASSWD: IMPRIMARE

Următoarele informații sunt incluse pe specificarea drepturilor de acces:

utilizatorii, care includ înregistrarea;

calculatoare care permit utilizatorilor să efectueze anumite acțiuni;

comenzi care pot fi executate de către utilizatori;

utilizatorii în numele căreia comanda poate fi executată.

Prima linie de caietul de sarcini se aplică utilizatorilor mărcii și ed. ai înregistrării în computerele grupului de sistem Fizicii (eprince, pprince și ICARUS). Built-in toate alias le permite sa execute orice comanda. Ca o listă suplimentară de utilizatori în paranteze necunoscute, programul sudo va executa doar comenzi ca root.

Herb utilizator poate executa o comanda pe masini tqdump grup CS, precum și un control de linie de comandă pe calculatoare de grup FIZICĂ. Rețineți, totuși, că al doilea grup de echipe, în acest caz, nu va avea privilegii de root. operatorul și utilizator. Echipa Real, care ar trebui să intre în planta de utilizator. Se pare ca acest lucru:

Utilizatorul Lynda are dreptul de a executa comenzi ca orice utilizator pe orice mașină, dar nu poate rula unele comune shell. Asta înseamnă că nu poate rula interpretul, fiind rădăcină? Bineinteles ca nu:

În general vorbind o încercare de a rezolva „toate echipele, cu excepția.“ Sortită eșecului, cel puțin din punct de vedere tehnic. Cu toate acestea, este logic să creați fișierul sudoers în acest fel, deoarece aceasta va servi cel puțin ca un memento care cauzează shell ca root nu este recomandată și va preveni tentativa accidentală de apel.

Ultima linie de UNIX-utilizatorilor din grupul wheel li se permite să efectueze 1RS comandă de imprimare și lprm ca root pe toate computerele, cu excepția grupului FIZICĂ de mașini. Mai mult decât atât, acestea nu sunt necesare pentru a introduce o parolă.

Rețineți că comenzile în fișierul / etc / sudoers dat un nume de cale completă, astfel încât utilizatorii nu pot efectua propriile programe și script-uri ca root. Permisiunea este, de asemenea, permisiunea de a specifica argumente pentru fiecare echipă. În general, oportunitățile de fișiere sudoers sunt foarte mari, iar exemplul prezentat ilustrează doar cele mai importante.

Folosind programul sudo are următoarele avantaje:

Datorită înregistrării echipei crește în mod semnificativ gradul de control asupra sistemului;

Operatorii pot efectua activități de rutină, fără privilegiul nelimitat;

parola de root reale știu doar una sau două persoane;

Programul sudo cauza mai repede decât a face comanda su sau autentifica ca root;

utilizatorul poate selecta privilegii fără a schimba parola de root;

Aceasta susține o listă a tuturor utilizatorilor cu privilegii de root;

mai puțin probabil că interpretul de comandă care rulează rădăcină, va duce la consecințe imprevizibile;

controlul accesului la întreaga rețea folosind un singur fișier.

Programul are dezavantajele sale. Cel mai mare dintre acestea este faptul că orice încălcare în securitatea unui utilizator privilegiat este echivalent cu o încălcare a însăși protecția contului de root. Resist acest lucru ușor. Puteți avertiza numai cei care au dreptul de a executa sudo de program. necesitatea de a proteja conturile lor, ca și în cazul în care acestea au fost utilizatorul root.

Un alt dezavantaj - este o oportunitate de a păcăli programul sudo prin intermediul unor astfel de trucuri ca un acces temporar la învelișul programelor permise sau executa comenzi sau sudosu sudocsh. în cazul în care acestea sunt permise.

Problema 3 de distribuție Solus și desktop-Budgie 10.4

Reprezentat de presă Linux-distribuție Solus 3, care nu se bazează pe pachetele din alte distribuții și să dezvolte propriile lor de instalare Budgie desktop, de administrare a pachetelor și configuratorul. Cod.

Acesta conține (n + 1) sec, un protocol pentru crearea de chat-uri descentralizate protejate

După doi ani de proiectare, dezvoltarea și testarea de prototipuri au prezentat un nou protocol pentru crearea de chat de grup protejate - (n + 1) sec. O bibliotecă cu implementările protocol de referință.

Disponibil ReOpenLDAP 1.1.6, o furculiță a proiectului OpenLDAP

Noua versiune ReOpenLDAP - proiect de furcă OPENLDAP, cu îndepărtarea masei de erori și numărul de finalizări pentru replicarea stabilă a muncii. Proiectul este axat pe fiabilitate si performanta.

articole similare