Gestionarea utilizatorilor din FreeBSD
permisiuni de utilizator și fișiere care le aparțin, formează conceptul de UNIX. Deoarece FreeBSD este un sistem de operare multiutilizator și aparține familiei de sisteme de operare care aparțin unui nume comun UNIX, astfel încât capacitatea de a gestiona utilizatorii inteligent, pentru a evita diverse probleme.
Conturile de utilizator și grupurile sunt stocate în două fișiere:
• / etc / master.passwd - În acest fișier sunt acreditările de utilizatori și parolele stocate în formă criptată.
• / etc / grup - fișier care este responsabil pentru grupul
În FreeBSD utilizează tehnologia parole shadow - acest lucru este atunci când datele de sistem sunt împărțite în două fișiere:
1.fayl /etc/master.passwd care conține parole criptate, acesta are dreptul numai să citească și să scrie pentru utilizatorul root
2.fayl / etc / passwd. creat de pwd_mkdb (8) comanda (generarea de parole de baze de date) de fișier /etc/master.passwd. el a citit pentru grup și alți utilizatori, parole în ea sunt înlocuite cu *. De asemenea, folosind echipa pwd_mkdb (8) din /etc/master.passwd a creat două fișiere - /etc/pwd.db și /etc/spwd.db (baze de date indexate), acestea sunt destinate să accelereze de căutare, în cazul unui număr mare de sistem utilizatori. fișier /etc/spwd.db este un secret ca /etc/master.passwd și are permisiuni tezhe și dreptul de proprietate.
Luați în considerare sintaxa fișier /etc/master.passwd:
Fiecare nouă linie din fișier descrie utilizatorul, acesta conține coloanele sunt separate prin (:).
Coloanele în ordinea:
câmp home_dir. calea către directorul home al utilizatorului, proprietarul care va fi.
cutie coajă. identifică shell-ul de utilizator, o listă de skin-uri disponibile pentru utilizator pot fi găsite în fișierul / etc / cojile. nu se schimba shell curent pentru utilizatorul root, în mod inutil în cazul unui accident de sistem de fișiere / usr poate fi montat, în urma căreia utilizatorul rădăcină nu are acces la sistem.
Dacă doriți să restricționați accesul utilizatorilor la sistem, înlocuiți-l cu o carapace pe / sbin / nologin. Acest program este mai corect decât celelalte (ex. / Dev / null) va procesa încercarea de conectare de utilizator.
nbsp
nbsp Când adăugați un utilizator nou, trebuie să alegeți un nume unic (nume de conectare), care nu va apărea în fișierul / etc / passwd si / etc / e-mail / pseudonime. Același nume nu trebuie să înceapă cu o cratimă (-), și conțin literele de caractere și mici, deoarece pot exista situații neprevăzute atunci când se lucrează cu e-mail (.). Noul utilizator primeste un ID unic - UID și devine un membru al grupului, al cărui nume este identic cu numele de utilizator, în care el va fi unul. Acest grup de strategie de denumire vă permite să îmbunătățească securitatea și flexibilitatea în controlul accesului. UID și numele de utilizator (nume de conectare) este unic în sistem și va fi utilizat în controlul accesului la sistemul de fișiere. După adăugarea utilizatorului la sistem, în directorul său de origine sunt copiate .profile fișier (executat atunci când intră utilizatorul în sistem), în cazul în care un înveliș / bin / sh sau cshrc (la începutul coajă) și .login (la apelarea utilizatorului la sistem), în cazul în care folosit shell / bin / csh. Toate aceste fișiere sunt copiate din directorul / usr / share / skel.
Restricții de utilizare și de gestionare a resurselor.
Gestionarea utilizatorilor se realizează prin intermediul unor clase, care sunt definite într-un fișier special /etc/login.conf. și setați utilizatorul atunci când este adăugat. În cazul în care orice clasă, atunci este atribuită o clasă nu este definit pentru utilizator - implicit. Fiecare clasă are un set de caracteristici în forma nume = valoare. Pentru a accelera sistemul de acces la date nu citește direct /etc/login.conf fișier. dar în schimb citește fișierul /etc/login.conf.db. care creează comandă specială cap_mkdb (1)
De aceea, după fiecare modificare /etc/login.conf fișier nu uitați să executați cap_mkdb comandă (1)
nbsp Modificarea sau setați clasa de utilizator poate fi /etc/master.passwd fișier. în care există un câmp special pentru această clasă. Acest lucru a fost discutat mai sus. Un utilizator cu uid = 0, adică administratorul de sistem (root) nu are nici o clasă de curent i se aplică în înregistrarea rădăcină sau /etc/login.conf implicit de clasă, în cazul în care intrarea rădăcină lipsește.
utilizator nbsp poate crea pentru ei înșiși un fișier individual din setările de resurse din directorul home numit
/login.conf. Acest fișier utilizează aceeași sintaxă ca fișier /etc/login.conf. dar acesta conține numai intrarea id cu «mine» nume. În acest fișier, utilizatorul poate reduce numai resursele disponibile pentru aceasta, dar nu crește.
nbsp ca delimitator câmp în fișierul /etc/login.conf folosește simbolul (:). Primul câmp din fișierul este numele clasei, care ulterior vor fi aplicate unui anumit utilizator.
nbsp /etc/login.conf Fiecare câmp din fișierul poate avea următoarele valori:
• bool - dacă parametrul este un boolean, poate lua următoarele valori - adevărate sau false; Doar intrarea lui în fișierul /etc/login.conf fără a specifica o valoare explicită este - adevărat. Pentru a determina false, trebuie să specificați în mod explicit.
• fișier - opțiune are valoarea ca o cale către fișierul;
• Program - opțiune are valoarea ca o modalitate de a ispolnyaemumu fișiere sau programe;
• Lista - optiune preia valorile dintr-o listă separată prin virgulă sau spații;
• Cale - opțiune ia valori ale tractului, separate prin virgule sau spații. Tilda (
) Descrisă în directorul home al utilizatorului;
• Număr - valoarea numerică în zecimal, hexazecimal sau octal.
• string - sub forma unei linii;
• dimensiunea - dimensiunea. Implicit este în octeți. Următoarele sufixe pot fi luate pentru a se referi la mărimea unităților:
b - octeți
k - kilobyți
m - megabytes
g - gigaocteți
t - terabytes
Poate că unirea valorilor cu suffikosv corespunzătoare: 1m30k
• timp - perioada de timp, implicit exprimat în secunde. Notația următoare este folosit ca sufix:
y - an
w - Săptămâna
d - zi
h - oră
m - pentru minute
s - secunde
Poate că unirea valorilor cu sufixe corespunzătoare: 2h30m
• nelimitat - fără restricții
În opțiunile host.allow și gazde host.deny separator este o virgulă.
nbsp
nbsp Opțiunile times.allow times.deny și înregistrările sunt separate printr-o virgulă. perioadele de timp valori înregistrate într-un format -x 24 de ore, fiecare separate printr-o cratimă.
De exemplu: MoThSa0200-1300 Această intrare este interpretat după cum urmează: accesul utilizatorului este permis în zilele de luni, joi, sambata intre 2 * h în dimineața până la o oră. Dacă ambele opțiuni nu sunt disponibile într-o clasă personalizată, atunci accesul este permis în orice moment. În cazul în care perioada de timp permisă în opțiuni times.allow interzise perioadă de timp în fișierul times.deny. Ea are opțiunea de prioritate times.deny.
nbsp
În Opțiuni nbsp ttys.allow ttys.deny și tty dispozitive conțin înregistrări separate prin virgulă (fără prefix / dev /) și o listă ttygroups (a se vedea getttyent (3) și ttys (5)) are sau nu are acces la care utilizatorul a clasei. Dacă opțiunea nu este înregistrare audio, utilizatorul are acces nelimitat.
nbsp
parametrii parola nbsp, cum ar fi lungimea minimă (minpasswordlen) și este responsabil pentru stabilirea preduprzhdenie, în cazul în care utilizatorul introduce parola numai cu litere mici (minpasswordcase) nu sunt acceptate pentru aceste limitări se aplică modulul pam pam_passwdqc (8).
nbsp clase de locuri de muncă pentru utilizatorii de sistem este un mijloc foarte bun de limite ale utilizatorilor individuali, dar utilizați acest instrument în mod conștient și cu grijă.
Pentru a gestiona utilizatorii și grupurile vor fi utile pentru următoarele comenzi:
• pw (8) - a crea, șterge, modifica, utilizatorii de afișare și grupuri;
• adduser (8) - utilizator nou interactiv;
• rmuser (8), - îndepărtarea din utilizatorul sistemului;
• ID-ul (1) - afișează numele utilizatorului, UID și grupuri în care este compus, cu GID lor;
• degetul (1) - afișează informații despre utilizator de sistem;
• Utilizatorii (1) - afișează o listă a utilizatorilor actuali;
• care (1) - arată cei care sunt în sistem;
• whoami (1) - prezintă efectiv ID-ul utilizatorului corespunzător numelui;
• ultima (1) - indică utilizatorului să folosească terminalul;
• lastlogin (8) - indică informații despre utilizarea anterioară a terminalului;
• lastcomm (1) - afișează o listă de utilizator recente executa comenzi;
• ac (8) - arată că utilizatorul a fost conectat;
• sa (8) - afișează statistici cu privire la utilizatori;
• passwd (8) - schimbarea parolei de utilizator;
• chpass (1) - utilizator schimbă parola;
• chfn (1) - modificarea datelor utilizatorului;
• grupuri (1) - arata cine este în ce grupuri;
• chgrp (1) - Schimbare de grup;
• chkgrp (8) - verifica grupurile de sintaxă fișier;
Pentru a utiliza pe deplin această lastcomm comandă (1). SA (8) Trebuie să activați contabilitatea resurselor utilizate. resursă procesele contabile utilizate este o metodă de protecție, în care un administrator poate monitoriza utilizarea resurselor de sistem și alocarea acestora în rândul utilizatorilor pentru monitorizarea sistemului și comenzi minime de utilizator de urmărire.
Pentru nbsp care ar include utilizarea resurselor sistemului de contabilitate care aveți nevoie pentru a efectua mai multe acțiuni.
După efectuarea 3 pași puteți urmări răspunsurile deja utilizați lastcomm (1) de comandă. sa (8). comanda Accton (8) cuprinde un sistem de contorizare a resurselor utilizate.
Resource sistem contabil de utilizare, comanda lastcomm (1) și sa (8):