{"id":291,"date":"2017-03-16T21:54:05","date_gmt":"2017-03-16T20:54:05","guid":{"rendered":"http:\/\/miroslaw.borodziuk.eu\/?p=291"},"modified":"2017-05-18T17:49:59","modified_gmt":"2017-05-18T15:49:59","slug":"lokalne-pliki-autentykacyjne","status":"publish","type":"post","link":"http:\/\/miro.borodziuk.eu\/index.php\/2017\/03\/16\/lokalne-pliki-autentykacyjne\/","title":{"rendered":"Lokalne pliki autentykacyjne"},"content":{"rendered":"

Aby autoryzowana osoba mog\u0142a uzyska\u0107 dost\u0119p do systemu musi by\u0107 jej\u00a0 przypisany login i musi by\u0107 dla niej za\u0142o\u017cone konto systemowe. Taki u\u017cytkownik przypisany zostaje r\u00f3wnie\u017c do jednej lub wielu grup systemowych. Cz\u0142onkowie tej samej grupy posiadaj\u0105 takie same prawa do plik\u00f3w i katalog\u00f3w. Inni u\u017cytkownicy i grupy mog\u0105 opcjonalnie r\u00f3wnie\u017c mie\u0107 przyznany dost\u0119p do tych plik\u00f3w i katalog\u00f3w. Dane o kontach i grupach zapisane s\u0105 w wielu plikach, kt\u00f3re mog\u0105 by\u0107 sprawdzone pod k\u0105tem sp\u00f3jno\u015bci i edytowane r\u0119cznie przez jednego administratora w okre\u015blonym czasie. RHEL wspiera trzy typy kont systemowych: root, konto zwyk\u0142ego u\u017cytkownika i konto us\u0142ugi.\u00a0 U\u017cytkownik root, superu\u017cytkownik lub administrator posiada pe\u0142ny dost\u0119p do wszystkich us\u0142ug, narz\u0119dzi administracyjnych, og\u00f3lnie rzecz ujmuj\u0105c posiada pe\u0142n\u0105 kontrol\u0119 nad systemem. U\u017cytkownik root jest automatycznie tworzony w czasie instalacji systemu. Normalni u\u017cytkownicy posiadaj\u0105 przywileje na standardowym poziomie u\u017cytkownika, nie mog\u0105 oni przeprowadza\u0107 czynno\u015bci administracyjnych ale mog\u0105 uruchamia\u0107 r\u00f3\u017cne aplikacje i programy o ile maj\u0105 do tego odpowiednie uprawnienia. Konta us\u0142ug systemowych odpowiedzialne s\u0105 za opiek\u0119 nad zainstalowanymi us\u0142ugami. Informacje o kontach u\u017cytkownik\u00f3w zawarte s\u0105 w czterech plikach w katalogu \/etc: passwd, sgadow, group, gshadow<\/em> i s\u0105 one aktualizowane gdy konto jest zak\u0142adane, modyfikowane lub kasowane.<\/p>\n

Plik \/etc\/passwd<\/span>
\nKa\u017cda linia pliku zawiera informacje o koncie u\u017cytkownika. Linia ppodzielona jest na siedem p\u00f3l oddzielonych dwukropkiem.<\/p>\n

\"\"<\/p>\n

Plik ten powinien mie\u0107 uprawnienia 644, a jego w\u0142a\u015bcicielem powinien by\u0107 root.<\/p>\n

Plik \/etc\/shadow<\/span>
\nImplementacja mechanizmu shadow pozwala zwi\u0119kszy\u0107 bezpiecze\u0144stwo dla lokalnych u\u017cytkownik\u00f3w poniewa\u017c has\u0142a przechowywane w tym pliku s\u0105 zaszyfrowane. Ponadto mo\u017cliwe jest ustawienie limit\u00f3w w postaci wyga\u015bni\u0119cia has\u0142a dla konta systemowego lub przypominania o konieczno\u015bci odnowienia has\u0142a. Takie limity i inne ustawienia definiowane s\u0105 w pliku \/etc\/login.defs. W przeciwie\u0144stwie do pliku passwd, kt\u00f3ry jest mo\u017cliwy do odczytania przez wszystkich u\u017cytkownik\u00f3w, plik shadow mo\u017cliwy jest do odczytania tylko przez roota.<\/p>\n

\"\"<\/p>\n

Plik ten powinien mie\u0107 uprawnienia 000, a jego w\u0142a\u015bcicielem powinien by\u0107 root.<\/p>\n

Plik \/etc\/group<\/span>
\nZawiera informacje o grupach zdefiniowanych w systemie. Ka\u017cda linia, sk\u0142adaj\u0105ca si\u0119 z czterech p\u00f3l oddzielonych dwukropkiem,\u00a0 przechowuje dane o jednej grupie. Ka\u017cdy u\u017cytkownik systemu musi by\u0107 przypisany minimum do jednej grupy. Domy\u015bln\u0105 grup\u0105 u\u017cytkownika jest nazwa u\u017cytkownika, nazywana Grup\u0105 Prywatn\u0105 U\u017cytkownika (UPG – User Private Group) .<\/p>\n

\"\"<\/p>\n

Plik ten powinien mie\u0107 uprawnienia 644, a jego w\u0142a\u015bcicielem powinien by\u0107 root.<\/p>\n

Plik \/etc\/gshadow<\/span>
\nMechanizm gshadow dostarcza r\u00f3wnie\u017c ochron\u0119 na poziomie grupy. Gdy mechanizm jest w\u0142\u0105czony\u00a0 has\u0142a grup s\u0105 zaszyfrowane i sk\u0142adowane w pliku \/etc\/gshadow, kt\u00f3ry przeznaczony jest do odczytu tylko dla roota.<\/p>\n

\"\"<\/p>\n

Uprawnienia pliku gshadow powinny by\u0107 ustawione na 000, w\u0142a\u015bcicielem pliku powinien by\u0107 root.<\/p>\n

Zarz\u0105dzanie integralno\u015bci\u0105 plik\u00f3w autentykacyjnych<\/span>
\n# pwck<\/code> – raportuje wykryte niesp\u00f3jno\u015bci w plikach passwd<\/em> i shadow<\/em>.
\n# grpck<\/code> – weryfikuje informacje i sp\u00f3jno\u015b\u0107 plik\u00f3w group<\/em> i gshadow<\/em>.<\/p>\n

Zapobieganie uszkodzeniom plik\u00f3w autentykacyjnych<\/span>
\n# vipw<\/code> – pozwala na edycj\u0119 pliku passwd<\/em> wy\u0142\u0105czaj\u0105c mo\u017cliwo\u015b\u0107 edycji pliku innym u\u017cytkownikom w czasie tej edycji.
\n# vipgr<\/code> – pozwala na edycj\u0119 pliku group<\/em> wy\u0142\u0105czaj\u0105c mo\u017cliwo\u015b\u0107 edycji pliku innym u\u017cytkownikom w czasie tej edycji.<\/p>\n

W\u0142\u0105czanie i wy\u0142\u0105czanie mechanizmu shadow<\/span>
\n# pwconv <\/code> – tworzy i wykonuje aktualizacj\u0119 pliku shadow<\/em> oraz przenosi has\u0142a z pliku passwd<\/em> do shadow<\/em>.
\n# pwunconv<\/code> – przenosi z powrotem has\u0142a do pliku passwd<\/em> i usuwa plik shadow<\/em>.
\n# grpconv<\/code> – tworzy i wykonuje aktualizacj\u0119 pliku gshadow<\/em> oraz przenosi has\u0142a z pliku group<\/em> do gshadow<\/em>.
\n# grpunconv<\/code> – przenosi z powrotem has\u0142a do pliku group<\/em> i usuwa plik gshadow<\/em>.<\/p>\n

Programy aktywuj\u0105ce mechanizm shadow<\/em> odnosz\u0105 si\u0119 w momencie uruchomienia tak\u017ce do pliku \/etc\/login.defs<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Aby autoryzowana osoba mog\u0142a uzyska\u0107 dost\u0119p do systemu musi by\u0107 jej\u00a0 przypisany login i musi by\u0107 dla niej za\u0142o\u017cone konto systemowe. Taki u\u017cytkownik przypisany zostaje r\u00f3wnie\u017c do jednej lub wielu grup systemowych. Cz\u0142onkowie tej samej grupy posiadaj\u0105 takie same prawa do plik\u00f3w i katalog\u00f3w. Inni u\u017cytkownicy i grupy mog\u0105 opcjonalnie r\u00f3wnie\u017c mie\u0107 przyznany dost\u0119p do … <\/p>\n

Continue reading “Lokalne pliki autentykacyjne”<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[31],"tags":[],"_links":{"self":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts\/291"}],"collection":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/comments?post=291"}],"version-history":[{"count":17,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts\/291\/revisions"}],"predecessor-version":[{"id":1231,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts\/291\/revisions\/1231"}],"wp:attachment":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/media?parent=291"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/categories?post=291"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/tags?post=291"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}