Z pewnością zauważyliście że poprzednim rozdziale podczas tworzenia użytkowników nie ustawiono im żadnego hasła. Czy to oznacza, że na utworzone konta może zalogować się każdy? Otóż zalogować się na te konta nie można do czasu ustawienia im haseł konta pozostają zablokowane. Do zarządzania hasłami wykorzystuje się następujące polecenia:
- passwd - Ustawienie lub zmiana hasła dla użytkownika
- chage - Konfiguracja parametrów haseł ( złożoność , czas w jakim trzeba je zmienić)
- pwck - Weryfikacja spójności wszystkich haseł
W momencie tworzenia użytkownika można użyć przełącznika "-p" by od razu przypisać mu hasło wymaga to jednak wpisania hasła otwartym tekstem na ekranie i ktoś przechodząc obok mógł by takie hasło zobaczyć. Lepszą metodą jest skorzystanie z polecenia "passwd":
Składnia polecenia passwd: # passwd [opcje] LOGIN
Opcje polecenie passwd:
- -l - Zablokowanie konta użytkownika
- -u - Odblokowanie konta użytkownika
- -s - Ustawienie statusu hasła dla konta
Ustawmy nowe hasło :
# passwd user02
Changing password for user user02.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
Teraz użytkownik User02 będzie proszony o podanie hasła w momencie logowania do systemu. Jest to indywidualne konto na danym systemie i tylko w nim lokalnie. Jeżeli użytkownik będzie potrzebował się logować na inny system tam również musi mieć założone konto i hasło.
By umożliwić tworzenie kont użytkowników w jednej centralnej bazie dając tym samym możliwość logowania się we wszystkich systemach w danej sieci można skorzystać z dodatkowego oprogramowania takiego jak OpenLDAP oraz RedHat Directory Server.
W tej chwili nie będziemy omawiać systemów logowania w domenie itp. Dobrą wiadomością jest fakt, iż utworzone konta użytkowników mogą zostać wykorzystane do pracy z usługami SSH i FTP jeżeli zostaną uruchomione w danym systemie. Teraz stało się jasne w jaki sposób uruchomić i zabezpieczyć konto użytkownika.
GDZIE SĄ HASŁA ? - PLIKI HASEŁ
Hasła w systemie RedHat i innych systemach Linux przechowywane są w plikach :
GDZIE SĄ HASŁA ? - PLIKI HASEŁ
Hasła w systemie RedHat i innych systemach Linux przechowywane są w plikach :
- /etc/passwd
- /etc/shadow
Struktura pliku /etc/passwd :
<username>:<password placeholder>:<UID>:<GID>:<comments>:<home dir>:<shell>
Dla User02 wygląda następująco:
# cat /etc/passwd | grep user02
user02:x:501:501:Avg Joe:/home/user02:/bin/bash
Tworząc nowego użytkownika systemu można zawsze sprawdzić zawartość tego pliku i sprawdzić czy został poprawnie utworzony. Widać tutaj wszystkie opcje ustawione w momencie utworzenia użytkownika. W miejscu hasła widać symbol ":x:" faktycznie znajduje się ono w innym miejscu w /etc/shadow.
Struktura pliku /etc/shadow :
<username>:<encrypted password>:<last passwd change>:<min>:<max>:<warn>:<inactive>:<expires>:<not used>
By zobaczyć informacje dotyczące konkretnego użytkownika :
# cat /etc/shadow | grep user02
user02:$1$cMT6t6Ld$OXCCg5Pm2v2/YXxEjmz9O1:14767:0:99999:7:::
Widzimy nazwę użytkownika i zaszyfrowane hasło. Następna kolumna "14767" jest liczbą dni od kiedy hasło nie było zmieniane. Kolejne pola to liczba dni do zmiany hasła "0" i liczba dni ważności hasła "99999". Wartości te mogą być modyfikowane poleceniem chage.
Składnia polecenia chage: # chage [opcje] Użytkownik
Opcje polecenia chage:
- -d LAST_DAY - Liczba dni do zmiany hasła
- -E EXPIRE_DATE - Data wygaśnięcia konta
- -I INACTIVE - Zmiana hasła zanim konto wygaśnie
- -l - Informacje na temat starzenia się konta
- -m MIN_DAYS - Minimalna liczba dni pomiędzy zmianami hasła
- -M MAX_DAYS - Maksymalna ilość dni gdy hasło jest ważne
- -W WARN_DAYS - Liczba dni przed którymi pojawiać się będzie ostrzeżenie o wygaśnięciu hasła
Krok 1 - Sprawdzenie informacji na temat hasła dla danego użytkownika :
# chage -l user03
Last password change : Oct
26, 2010
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
Krok 2 - Ustawienie wygaśnięcia konta na konkretną datę :
# chage -E 2011-10-28 user03
Krok 3 - Sprawdzenie wprowadzonych zmian :
# chage -l user03
Last password change : Oct
26, 2011
Password expires : never
Password inactive : never
Account expires : Oct 28, 2011
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
W czwartej linii widać ustawioną datę wygaśnięcia konta.
Podczas dodawania i usuwania użytkowników może się zdarzyć tak, że coś nie działa prawidłowo i powodem tego jest fakt iż hasła mogą nie być spójne. Aby zweryfikować spójność haseł zastosujmy polecenie "pwck".
# pwck
user adm: directory /var/adm does not exist
user news: directory /etc/news does not exist
user uucp: directory /var/spool/uucp does not exist
pwck: no changes
Jeżeli w firmie mają pojawić się nowi pracownicy i szef zażąda by wcześniej przygotować im konta tak by nie musieli na nic czekać po przyjściu do pracy. Wiemy już że tworzenie kont użytkowników bez haseł nie jest najlepszym rozwiązaniem i dobrą praktyką jest utworzyć konta z umówionymi hasłami domyślnymi i je zablokować.
Krok 1 - Tworzenie nowego konta
# useradd -c “New User” user06
Krok 2 - Utworzenie domyślnego hasła
# passwd user06
Changing password for user user06.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
Krok 3 - Zablokowanie konta
# usermod -L user06 (dodanie "!" przed hasłem /etc/shadow)
lub
# usermod -s /bin/nologin user06 (zmiana w /etc/passwd)
lub
# usermod -s /bin/nologin user06 (zmiana w /etc/passwd)
Krok 4 - Sprawdzenie czy konto zostało zablokowane
# cat /etc/shadow | grep user06
user06:!$1$t9WeO2v2$MQb3YrqtNPp6n96ALudti0:14805:0:99999:7:::
lub
# cat /etc/passwd | grep user06 ( /bin/nologin)
lub
# cat /etc/passwd | grep user06 ( /bin/nologin)
Krok 5 - Odblokowanie konta
# usermod -U user06
Krok 6 - Sprawdzenie konta
# cat /etc/shadow | grep user06
user06:$1$t9WeO2v2$MQb3YrqtNPp6n96ALudti0:14805:0:99999:7:::
Różnice widać w pojawiającym i znikającym znaku wykrzyknika "!". Jeżeli go nie ma użytkownik powinien zalogować się bez problemu. W dalszych częściach pokazane zostanie jak takie z automatyzować ten proces wykorzystując narzędzie cron.
Komentarze