Lokalne pliki autentykacyjne

Aby autoryzowana osoba mogła uzyskać dostęp do systemu musi być jej  przypisany login i musi być dla niej założone konto systemowe. Taki użytkownik przypisany zostaje również do jednej lub wielu grup systemowych. Członkowie tej samej grupy posiadają takie same prawa do plików i katalogów. Inni użytkownicy i grupy mogą opcjonalnie również mieć przyznany dostęp do tych plików i katalogów. Dane o kontach i grupach zapisane są w wielu plikach, które mogą być sprawdzone pod kątem spójności i edytowane ręcznie przez jednego administratora w określonym czasie. RHEL wspiera trzy typy kont systemowych: root, konto zwykłego użytkownika i konto usługi.  Użytkownik root, superużytkownik lub administrator posiada pełny dostęp do wszystkich usług, narzędzi administracyjnych, ogólnie rzecz ujmując posiada pełną kontrolę nad systemem. Użytkownik root jest automatycznie tworzony w czasie instalacji systemu. Normalni użytkownicy posiadają przywileje na standardowym poziomie użytkownika, nie mogą oni przeprowadzać czynności administracyjnych ale mogą uruchamiać różne aplikacje i programy o ile mają do tego odpowiednie uprawnienia. Konta usług systemowych odpowiedzialne są za opiekę nad zainstalowanymi usługami. Informacje o kontach użytkowników zawarte są w czterech plikach w katalogu /etc: passwd, sgadow, group, gshadow i są one aktualizowane gdy konto jest zakładane, modyfikowane lub kasowane.

Plik /etc/passwd
Każda linia pliku zawiera informacje o koncie użytkownika. Linia ppodzielona jest na siedem pól oddzielonych dwukropkiem.

Plik ten powinien mieć uprawnienia 644, a jego właścicielem powinien być root.

Plik /etc/shadow
Implementacja mechanizmu shadow pozwala zwiększyć bezpieczeństwo dla lokalnych użytkowników ponieważ hasła przechowywane w tym pliku są zaszyfrowane. Ponadto możliwe jest ustawienie limitów w postaci wygaśnięcia hasła dla konta systemowego lub przypominania o konieczności odnowienia hasła. Takie limity i inne ustawienia definiowane są w pliku /etc/login.defs. W przeciwieństwie do pliku passwd, który jest możliwy do odczytania przez wszystkich użytkowników, plik shadow możliwy jest do odczytania tylko przez roota.

Plik ten powinien mieć uprawnienia 000, a jego właścicielem powinien być root.

Plik /etc/group
Zawiera informacje o grupach zdefiniowanych w systemie. Każda linia, składająca się z czterech pól oddzielonych dwukropkiem,  przechowuje dane o jednej grupie. Każdy użytkownik systemu musi być przypisany minimum do jednej grupy. Domyślną grupą użytkownika jest nazwa użytkownika, nazywana Grupą Prywatną Użytkownika (UPG – User Private Group) .

Plik ten powinien mieć uprawnienia 644, a jego właścicielem powinien być root.

Plik /etc/gshadow
Mechanizm gshadow dostarcza również ochronę na poziomie grupy. Gdy mechanizm jest włączony  hasła grup są zaszyfrowane i składowane w pliku /etc/gshadow, który przeznaczony jest do odczytu tylko dla roota.

Uprawnienia pliku gshadow powinny być ustawione na 000, właścicielem pliku powinien być root.

Zarządzanie integralnością plików autentykacyjnych
# pwck – raportuje wykryte niespójności w plikach passwd i shadow.
# grpck – weryfikuje informacje i spójność plików group i gshadow.

Zapobieganie uszkodzeniom plików autentykacyjnych
# vipw – pozwala na edycję pliku passwd wyłączając możliwość edycji pliku innym użytkownikom w czasie tej edycji.
# vipgr – pozwala na edycję pliku group wyłączając możliwość edycji pliku innym użytkownikom w czasie tej edycji.

Włączanie i wyłączanie mechanizmu shadow
# pwconv – tworzy i wykonuje aktualizację pliku shadow oraz przenosi hasła z pliku passwd do shadow.
# pwunconv – przenosi z powrotem hasła do pliku passwd i usuwa plik shadow.
# grpconv – tworzy i wykonuje aktualizację pliku gshadow oraz przenosi hasła z pliku group do gshadow.
# grpunconv – przenosi z powrotem hasła do pliku group i usuwa plik gshadow.

Programy aktywujące mechanizm shadow odnoszą się w momencie uruchomienia także do pliku /etc/login.defs.

Leave a Reply

Your email address will not be published.