Bài giảng Quản trị Linux - Chủ đề 2: Quản trị người dùng

pdf 31 trang phuongnguyen 3440
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Quản trị Linux - Chủ đề 2: Quản trị người dùng", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_quan_tri_nguoi_dung.pdf

Nội dung text: Bài giảng Quản trị Linux - Chủ đề 2: Quản trị người dùng

  1. Đặng Thanh Bình Quản trị người dùng
  2. Nội dung • Giới thiệu về hệ thống người dùng trên Linux • Các lệnh quản trị người dùng 2
  3. NGƯỜI DÙNG
  4. Người dùng trên Linux • Linux cung cấp 5 loại người dùng: – Super user, còn gọi là Root user – System user – Normal user – Network user – Pseudo user 4
  5. Root user • User ID (UID) = 0 • Là người dùng tối cao và có quyền tuyệt đối trên máy tính cài Linux • ID của user này có thể được đổi nếu can thiệp vào file cấu hình • Thường được sử dụng cho mục đích quản trị • Root user trên Ubuntu thường được mặc định ở trạng thái ‘lock’. Người dùng được khuyến khích làm các công việc cần quyền root bằng cách dùng lệnh sudo 5
  6. System user • Được tạo mặc định bởi OS • UID mặc định từ 1 – 499 – Đây chỉ là range mặc định, Linux hỗ trợ nhiều hơn con số 500 system user • Tương tự normal user nhưng có thêm 1 số quyền và quyền truy cập vào 1 số chương trình mà người dùng thông thường không được phép truy cập 6
  7. Normal user • UID mặc định từ >500 đến <6000 • Được tạo bởi root • Có quyền truy cập giới hạn vào các tài nguyên • Phải được root cấp quyền mới được truy cập vào các dịch vụ và tài nguyên quan trọng trên hệ thống 7
  8. Network user • UID mặc định từ >6000 • Các tài khoản user thuộc loại này thường được sử dụng bởi quản trị viên để – Kiểm tra các hoạt động trên mạng – Kết nối đến các dịch vụ trên mạng, vd MySQL, NNTP, 8
  9. Pseudo user • Là bản sao của người dung root • Được sử dụng khi một user cần được phân quyền như root • Chỉ root mới có quyền cung cấp quyền truy cập đến loại tài khoản này cho các user khác 9
  10. Các lệnh cơ bản • Kiểm tra xem mình là ai – whoami – id – id • Chuyển người dùng: – su – su - 10
  11. QUẢN TRỊ NGƯỜI DÙNG
  12. Vấn đề • Làm thế nào để thêm/xóa user ? • Có thể cấp quyền limited access cho user không? • Làm thế nào để thêm vào 1 group và them user vào group đó? • Làm thế nào để phân quyền cho những người dùng trong 1 nhóm cụ thể nào đó? • Việc phân quyền có thể được thay đổi sau này không? • Có phải ai cũng có quyền phân quyền không? 12
  13. Một số quy định cơ bản • Chỉ người dùng root có quyền tạo user • Chỉ người dùng root và người sở hữu tập tin có quyền thay đổi phân quyền trên tập tin 13
  14. Quản lý user bằng GUI • Cài đặt công cụ quản trị user và group (gnome-system-tools) • Hoặc dùng command line sudo apt-get install gnome-system-tools 14
  15. Quản lý user bằng GUI • Tìm kiếm trên Dash và chạy chương trình quản lý 15
  16. Lệnh quản trị user và group • Enable user root – sudo passwd • Lock và unlock user – sudo passwd -l username – sudo passwd -u username 16
  17. Thêm người dùng • useradd – useradd [options] USERNAME – -c: comment thông tin về user – -d: directory cá nhân của user – -g group • adduser – Cú pháp tương tự useradd – Thường chỉ được khai báo username, các thông tin khác sẽ được hệ thống hỏi sau – Một lệnh rất thú vị trên Ubuntu/Debian 17
  18. Xóa người dùng • userdel [tham số] – Xóa user nhưng giữ lại các thông tin người dùng, bao gồm cả group, thư mục người dùng, mail dir • sudo userdel – Xóa hết mọi thông tin về người dùng trong hệ thống • sudo userdel –r • sudo deluser 18
  19. Sửa thông tin người dùng • usermod [options] – Chỉ super user mới được thực thi lệnh này – Các option cơ bản: • -c = We can add comment field for the useraccount. • -d = To modify the directory for any existing user account. • -e = Using this option we can make the account expiry in specific period. • -g = Change the primary group for a User. • -G = To add a supplementary groups. • -a = To add anyone of the group to a secondary group. • -l = To change the login name from tecmint to tecmint_admin. • -L = To lock the user account. This will lock the password so we can’t use the account. 19
  20. Sửa thông tin người dùng • usermod [options] – Chỉ super user mới được thực thi lệnh này – Các option cơ bản: • -m = moving the contents of the home directory from existing home dir to new dir. • -p = To Use un-encrypted password for the new password. (NOT Secured). • -s = Create a Specified shell for new accounts. • -u = Used to Assigned UID for the user account between 0 to 999. • -U = To unlock the user accounts. This will remove the password lock and allow us to use the user account. 20
  21. Sửa thông tin người dùng • usermod [options] – Các file sau sẽ bị ảnh hưởng • /etc/passwd – User account information. • /etc/shadow – Secure account information. • /etc/group – Group account information. • /etc/gshadow – Secure group account information. • /etc/login.defs – Shadow password suite configuration 21
  22. User Profile Security • Kiểm tra phân quyền trên thư mục home của user – ls -ld /home/username – Dùng lệnh chmod để chỉnh lại phân quyền 22
  23. Password Policy • Chiều dài tối thiểu – Lưu trong file /etc/pam.d/common-password – password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=8 • Thời điểm hết hiệu lực – Xem thông tin: sudo chage -l username – Thiết lập: sudo chage username • sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 username • Ngày hết hạn: explicit expiration date (-E) • Số ngày tồn tại tối thiểu: minimum password age (-m) • Số ngày tồn tại tối đa: maximum password age (-M) • Số ngày không hoạt động sau khi mật khẩu hết hiệu lực: inactivity period (-I) • Thời gian cảnh báo trước lúc hết hạn: warning time period (-W) 23
  24. Các vấn đề bảo mật khác • Truy cập SSH đối với các tài khoản đã bị vô hiệu – Việc khóa/vô hiệu hóa tài khoản không ngăn được người dùng dùng tài khoản đó để truy cập thông qua SSH nếu họ đã thiết lập RSA public key authentication – Họ vẫn có thể truy cập SSH vào server mà không cần mật khẩu – Kiểm tra xem có tồn tại thiết lập đó không bằng cách xem thư mục /home/username/.ssh/authorized_keys 24
  25. Các vấn đề bảo mật khác • Truy cập SSH đối với các tài khoản đã bị vô hiệu – Cách xử lý: • Đổi tên thư mục .ssh • Kiểm tra xem người dung đó đang có kết nối SSH nào không, nếu có ==> kill kết nối đó – who |grep username (to get the pts/# terminal) – sudo pkill -f pts/# • Giới hạn quyền truy cập SSH cho một nhóm người dùng cụ thể – Mở file /etc/ssh/sshd_config – Thiết lập biến: AllowGroups sshlogin – Thêm người dung vào nhóm sshlogin và khởi động lại dịch vụ » sudo adduser username sshlogin » sudo service ssh restart 25
  26. Quản lý group • Thêm nhóm – sudo addgroup groupname • Xóa nhóm – sudo delgroup groupname • Thêm người dùng vào nhóm – sudo adduser username groupname 26
  27. Các file liên quan • Mỗi khi tạo nhóm, 4 file sau được cập nhật – /etc/passwd – chứa thông tin user. – /etc/shadow – chứa mật khẩu user dưới dạng mã hóa – /etc/group – chứa thông tin nhóm. – /etc/gshadow – chứa các mật khẩu group hiện có 27
  28. Các file liên quan • File /etc/passwd GID Password Home directory Username Description Shell UID Shell 28
  29. Các file liên quan • File /etc/shadow Ngày user bị warn n ế u không thay đố i pass Password Ngày trướ c khi ph ả i thay đổ i password Username Lầ n thay đ ổ i password cuố i cùng Ngày sau khi phả i thay đổ i password 29
  30. Các file liên quan • File /etc/group Groupmember Grouppassword Groupname GID 30
  31. Q&A 31