Cvicenie 9

103
-1

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
103
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Cvicenie 9

  1. 1. Správa používateľov Zabezpečenie prístupu k počítaču Proces zavádzania operačného systému Spôsob prihlasovania Výtváranie a mazanie používateľov Zmenu informácií Nastavovanie skupín používateľov Nastavovanie obmedzení Nastavovanie oprávneníBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 1
  2. 2. Zabezpečenie prístupu (1) ● Fyzická bezpečnosť – zabrániť prístupu k stroju (ale aj diskom a iným médiám). ● Boot-ovacie médium – nastaviť heslo do BIOS-u, zakázať boot- ovanie z vymeniteľných médií, – v prípade boot-ovania z “flash” alebo CD- ROM je možné získať prístup k súboro- vému systému (pokiaľ nie je šifrovaný) ● zrušiť/zmeniť heslá k boot-loaderu (/boot/grub/grub.conf: password), ● zmeniť heslo root-a.Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 2
  3. 3. Zabezpečenie prístupu (2) ● Boot-loader – boot-loader umožňuje odovzdávať parametre jadru, napríklad aj “runlevel”, – umožňuje teda získať administrátorský prístup cez “Single-User mode”, – nastaviť heslo boot-loadera. ● Heslo administrátora – má v systéme všetky práva. ● Šifrované disky ● Zabezpečená sieť, aktualizácie, ...Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 3
  4. 4. Proces “boot­ovania” ● Po štarte počítača BIOS načíta a spustí z boot-sektoru boot-loader (lilo, grub, ...) ● Boot-loader zavedie do pamäte a spustí jadro OS (prípadne ďalšie časti, napr. obraz ramdisku initrd). ● Jadro po inicializácii spustí proces init. ● boot-loader odovzdá jadru parametre, e.g. – nastavenia siete, – umiestnenie súborového systému / (root), – runlevel, ...Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 4
  5. 5. “Runlevel” ● Režim práce operačného systému. ● Je ich 7, sú definované v /etc/inittab a RC skriptami (/etc/rc[0­6].d), e.g. – 0, Halt – 1, Single-User mode – 3, Multi-User mode, textový režim – 5, Multi-User mode, grafický režim (X) – 6, Reboot ● Prepínanie “runlevel-ov” – runlevel, telinitBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 5
  6. 6. “Single­User mode” ● Režim poskytuje len jednu textovú konzolu pre administrátora (root). ● Nie sú spustené služby (démony), neumožňuje prihlásenie používateľov. ● Len pre údržbu, opravu, konfiguráciu. ● Umožňuje získať výlučný prístup k systému, za týchto predpokladov: – prístup ku konzole stroja po reštarte, – možnosť pridať boot-ovací parameter jadra “single” (poznať heslo boot-loadera).Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 6
  7. 7. Používateľ v Linuxe Používateľ je niekto, kto má oprávnenie používať daný systém Má priradené svoje meno - “username” Je identifikovaný jednoznačným UID Patrí do skupiny s jednoznačným GID Autentifikuje sa menom a heslom (typicky) Po prihlásení sa spustí shell (interpret príkazov, typicky /bin/bash)Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 7
  8. 8. Prihlasovanie cez terminál START init: fork +  exec /sbin/getty getty: wait for user getty: read username exec /bin/login login: read password no login: exit match? yes login: exec shell shell: read and  execute commands shell: exitBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 8
  9. 9. Čo sa stane init spustí fork a následne getty (prípadne agetty) /sbin/getty vypíše uvítaciu správu /etc/issue vyžiada prihlasovacie meno username spustí login /sbin/login získa username ako parameter vyžiada heslo vypíše /etc/motd (message of the day) vypíše kontrolu e-mailuBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 9
  10. 10. Dôležité súbory pri prihlasovaní Zoznam aktuálnych prihlásení /var/run/utmp Zoznam predchádzajúcich prihlásení /var/run/wtmp Zoznam typov terminálov /etc/ttytype Potlačenie výpisu systémových správ $HOME/.hushloginBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 10
  11. 11. Databáza  používateľov /etc/passwd Jednotlivé polia sú oddelené dvojbodkou : Prihlasovacie meno – 1 - 32 znakov dlhé Heslo – znak “x” znamená, že heslo je uložené zašifrované v /etc/shadow UID – jedinečný identifikátor používateľa UID 0 – rezervované pre používateľa root UID 1-99 – rezervované pre preddefinovaných používateľov UID 100-999 – rezervované pre administráciu systému a systémové kontáBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 11
  12. 12. Databáza  používateľov /etc/passwd GID – Číslo skupiny, do ktorej používateľ primárne patrí Informácie o používateľovi – Priestor na ďalšie doplňujúce informácie Domovský adresár – absolútna cesta k adresáru, do ktorého bude používateľ prihlásený. Ak zadaný adresár neexistuje, stane sa domovským adresárom adresár / Príkazový interpret / príkaz – absolútna cesta k príkazu alebo k interpretu príkazov, ktorý sa spustí po prihlásení (typicky /bin/bash)Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 12
  13. 13. Pridanie používateľa do systému Pridanie používateľa s preddefinovanými nastaveniami pomocou “useradd” a useradd ­m username Prepínač “-m” zabezpečí vytvorenie domovského adresára Výpísanie preddefinovaných nastavení useradd ­D Zmena preddefinovanej skupiny useradd ­D ­g 3434 Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 13
  14. 14. Pridanie používateľa do systému Pridanie pomocou skriptu (v niektorých distribúciach je to len symbolická linka na useradd) adduser Pridanie skupiny s GID 1234 groupadd ­g 1234 studenti Pridajte používateľa student1 do skupiny studenti useradd ­g studenti student1Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 14
  15. 15. Pridanie používateľa ručne Pridanie používateľa do databázy používateľov. Treba si dať pozor na syntax! vipw student2:x: 1001:1234::/home/student2:/bin/bash Zosúladenie súborov /etc/passwd a /etc/shadow a /etc/group a /etc/gshadow pwck, grpck Konvertovanie medzi jednolivými súbormi pwconv, pwunconv, grpconv, grpunconvBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 15
  16. 16. Pridanie používateľa ručne Vytvorenie skupiny ručne vigr Vytvorenie domovského adresára používateľa mkdir /home/student2 Skopírovanie prednastaveného obsahu domovského adresára cp ­r /etc/skel/* /home/student2/Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 16
  17. 17. Pridanie používateľa ručne Zmena vlastníka adresáru chown ­R  student2:studenti /home/student2 Nastavenie prístupových práv na adresár chmod ­R 755 /home/student2 Nastavenie hesla používateľa passwd student2 Otestovanie prihlásenia používateľa su – student2; ls ­laBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 17
  18. 18. Zmazanie používateľského konta Zmazanie používateľského konta userdel student2 vipw, vigr Zmazanie konta aj súborov v domovskom adresári userdel ­r student2 Vyhľadanie všetkých súborov patriacich používateľovi find / ­user student2Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 18
  19. 19. Zmena používateľského konta Zmeny používateľského konta usermod student2 (man usermod) Zmena informácií o používateľovi chfn student2 Zmena prihlasovacieho “shell-u” chsh student2 Zmena platnosti konta chage student2 Zablokovanie konta passwd ­l student2Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 19
  20. 20. Obmedzenie pihlasovania Zoznam terminálov, z ktorých sa môže prihlásiť root /etc/securetty Zabránenie prihlásenia iných používateľov ako root (v prípade, ak existuje). Vytvára ho skript shutdown /etc/nologin Nastavenie “shell-u” na nepovolený /bin/false /sbin/nologin Zoznam povolených shell-ov /etc/shellsBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 20
  21. 21. Nastavenie obmedzení Limity pre používateľov /etc/security/limits.conf Syntax súboru <domain> <type> <item> <value> Doménou môže byť username groupname značka * pre default nastaveniaBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 21
  22. 22. Nastavenie obmedzení Limity môžu byť dvoch typov soft – mäkké limity. Tieto môže používateľ meniť hard – pevné limity. Používateľ ich nemôže prekročit Hodnota limitu <value> závisí od konkrétneho atribútuBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 22
  23. 23. Nastavenie obmedzení Nastavenie rôznych obmedzení, napr. core – nastavuje veľkosť core súboru (KB) fsize – maximálna veľkosť súboru (KB) memlock – maximum alokovanej pamäte (KB) nofile – maximálny počet otvorených súborov (KB) cpu – maximálny pridelený čas CPU (KB) nproc – maximálny počet procesov (KB)Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 23
  24. 24. Linux PAM Pluggable Autentification Modules - súbor knižníc umožňujúci administrátorovi nastaviť, akým spôsobom budú jednotlivé aplikácie autentifikovať používateľov Jednotlivé moduly sa nachádzajú v /libs/security Konfiguračný súbor pre konkrétnu aplikáciu /etc/pam.d/* napríklad pre sshd: /etc/pam.d/sshd Syntax <control> <module> <arguments>Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 24
  25. 25. Príklad PAM V tomto príklade sú v systéme uchovávajúcom heslá v md5 povolené heslá minimálnej dĺžky 14 bytov, pričom za špeciálne znaky a číslice môže získať používateľ kredit 2 (v prípade ich použitia stačí kratšie heslo) password  required pam_cracklib.so difok=3 minlen=15  dcredit= 2 ocredit=2 password  required pam_unix.so use_authtok nullok md5 Kredit môže byť aj záporný, vtedy je požadovaný minimálny počet daných znakov password  required pam_cracklib.so dcredit=­1 ocredit=­1  lcredit=0 minlen=8 retry=3Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 25
  26. 26. su vs. sudo Oba programy umožňujú vykonať príkaz (napríklad id) ako iný používateľ sudo ­u student2 id su student2 ­c id su  slúži primárne na zmenu používateľa (switch user) pri prihlásení vyžiada heslo používateľa, na ktorého sa chceme zmeniť sudo slúži primárne na vykonanie príkazu ako iný používateľ (switch user and do) pri prihlásení vyžiada heslo používateľa, ktorý príkaz spúšťaBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 26
  27. 27. sudo Na konfiguráciu slúži súbor /etc/sudoers Povoľ používateľovi student2  spustiť uvedený príkaz bez hesla, ak je prihlásený lokálne (z localhostu) student2 localhost=NOPASSWD:/sbin/halt Povoľ skupine studenti  spustiť uvedené príkazy bez hesla %studenti  ALL=NOPASSWD:/usr/local/bin/zisti_IP,/sb in/ifconfig,/usr/bin/kvmBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 27
  28. 28. Zadanie č. 1 Nastaviť heslo používateľa root. Vytvoriť používateľa student1 a student2 v skupinách users a groups Vytvoriť používateľa admin v skupine wheel, ktorému expiruje heslo za 3 mesiace Po prihlásení používateľa vypíšte: “Ahoj  ´username´” Povoľte používateľovi admin vykonať príkaz su bez heslaBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 28
  29. 29. Zadanie č. 2 Zaraďte používateľa student1 do skupiny studenti Nastavte limit na maximálnu veľkosť súboru 100 kB pre skupinu studenti Nastavte politiku hesiel na: minimálne 4 číslice dĺžka aspoň 10 znakov rozdielne v 3 znakoch od posledného bonus: kontrolujte heslá slovníkomBezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 29
  30. 30. Literatúra a zdroje Manuálové stránky: http://www.manpages.info Linux: Dokumentační projekt (4. vydání) http://www.root.cz/knihy/linux-dokumentacni-proje The Linux System Administrators Guide http://tldp.org/LDP/sag/html/ The Linux-PAM Guides http://www.kernel.org/pub/linux/libs/pam/Bezpečnosť počítačových systémov / Správa používateľov  FIIT STU BA, JA 2009­2010, DB 2011 30
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×