Алексей Береснев администрирование gnu/Linux с нуля санкт-Петербург «бхв-петербург» 2007

Скачать 6.43 Mb.

Название	Алексей Береснев администрирование gnu/Linux с нуля санкт-Петербург «бхв-петербург» 2007
страница	3/48
Дата публикации	28.05.2015
Размер	6.43 Mb.
Тип	Документы

100-bal.ru > Информатика > Документы

1 2 3 4 5 6 7 8 9 ... 48

Глава 2. Начало работы в GNU/Linux

В этой главе вы познакомитесь с процедурой входа в сеанс и узнаете, как GNU/Linux идентифицирует пользователей. Вы попробуете выполнить первые простые команды и научитесь менять пароль. Вы также узнаете, как получить список пользователей, работающих в системе.

Учетные записи и вход в сеанс

GNU/Linux –. это многопользовательская операционная система. Она обеспечивает возможность одновременной работы нескольких пользователей. Администратор регистрирует пользователей, т.е. заводит учетные записи (accounts) для каждого пользователя системы. Учетная запись содержит необходимую для входа в сеанс информацию о пользователе.

Одна из обязанностей системного администратора GNU/Linux заключается в разработке системной политики – документа, определяющего правила работы системы. В системной политике должны быть установлены правила именования пользователей. Так, например, в системной политике может быть установлено, что имена учетных записей пользователей составляются из первой буквы человеческого имени пользователя и не более восьми букв из его фамилии. В таком случае для пользователя Натальи Симоновой имя пользователя может быть nsimonova.

Важно, что в системе не могут быть зарегистрированы два пользователя, имеющие одинаковые имена. Системные утилиты, позволяющие регистрировать пользователей, не допускают этого.

Имя пользователя в GNU/Linux может содержать разнообразные символы. Допускается регистрация пользователей с именами, составленными из символов кириллицы. Однако в целях исключения возможных конфликтных ситуаций с программным обеспечением и из соображений совместимости с другими системами настоятельно рекомендуется придерживаться следующих правил:
□ используйте буквы английского алфавита, цифры и символ подчеркивания;

□ избегайте использования символа пробела;

□ запрещено использование символа двоеточия;

□ следует избегать использования метасимволов (@, #, $ и пр.);

□ не используйте специальные символы, например, символ табуляции.
В современных версиях GNU/Linux не налагается жестких ограничений на длину имени пользователя, как это было до недавнего времени во многих UNIX-системах. Тем не менее, из соображений совместимости разумно ограничивать максимальную длину имени пользователя 32 символами.

В больших организациях процедура регистрации нового пользователя может занимать достаточно продолжительное время, в течение которого проверяется подлинность данных о нем, а также определяются его полномочия в системе.

Обычная схема аутентификации (т.е. проверки подлинности) пользователя, производимая при попытке его входа в систему, требует ввода пользователем его пароля. Пароль пользователя является важнейшим инструментом защиты системы от несанкционированного доступа. Фактически парольная защита – это первый эшелон обороны системы от несанкционированного доступа.

В системной политике должны быть с особой тщательностью сформулированы правила формирования паролей пользователей.

Имеются несложные правила выбора паролей и работы с ними:
□ пароль должен содержать количество символов, не меньшее установленного в системной политике;

□ пароль должен обладать заданным уровнем сложности, т.е. должен быть составлен из символов в верхнем и нижнем регистрах, а также цифр и метасимволов;

□ не следует выбирать пароли, основанные на имени пользователя или на его характерных чертах (антропометрических, эмоциональных и пр.);

□ пароль не должен быть словарным словом;

□ опасно использовать пароли с неограниченным сроком действия, поэтому у пароля должен быть максимальный срок действия;

□ необходимо также устанавливать минимальный срок действия пароля. Это позволяет исключить попытки возврата старого пароля сразу после изменения пароля, произведенного после системного напоминания об устаревании пароля;

□ при смене пароля новый пароль должен значительно отличаться от старого;

□ желательно использовать пароли, которые можно запомнить. Это не отменяет требований, изложенных выше;

□ нельзя произносить пароли вслух;

□ следует искоренять попытки пользователей обменяться паролями;

□ при использовании программ автоматической генерации паролей следует проверить степень энтропии результатов генерации паролей.
Итак, имя пользователя идентифицирует последнего в системе, а пароль предназначен для исключения несанкционированного входа в сеанс.

Процедуру входа в систему правильнее называть входом в сеанс, который может представлять собой работу в текстовой оболочке, например, Bourne Shell, либо же работу с системой посредством графической системы X Window.

В GNU/Linux можно использовать так называемые виртуальные терминалы. С помощью них можно открывать сразу несколько сеансов на одном физическом терминале. Для переключения между виртуальными терминалами используется комбинация клавиш + – переход на первый виртуальный терминал, + – на второй и т.д. Обычно запускается шесть виртуальных терминалов. Их количество определяется количеством экземпляров программы getty (или аналогичной), называемой сервером терминала.

Если используется графическая система X Window, то она запускается на первом свободном виртуальном терминале – обычно на седьмом. Важно отметить, что для переключения на некоторый виртуальный терминал из графики необходимо использовать комбинацию клавиш ++ +, где # – номер требуемого терминала.

В примере 2.1 показано характерное приглашение для ввода имени пользователя при входе в сеанс в текстовом режиме.
Пример 2.1. Приглашение для ввода имени пользователя I
GNU/Linux on TTY2

login:
После приглашения login: следует ввести имя пользователя, зарегистрированного в системе. Ввод следует завершить нажатием клавиши
. После этого на экран будет выведено приглашение для ввода пароля (пример 2.2).
Пример 2.2. Приглашение для ввода пароля
password:
Ввод пароля не сопровождается отображением вводимых символов. Если при вводе имени пользователя или пароля была допущена ошибка, на экране будет отображено сообщение о неудачной попытке входа в сеанс (пример 2.3).
Пример 2.3. Приглашение для ввода попытке входа в сеанс

В примере 2.3 пользователь student попытался войти в сеанс, однако ввел неверный пароль. Поэтому система выдала сообщение login uncorrect, и вход в сеанс осуществлен не был. Причем система не сообщает о том, что было введено неверно: имя пользователя или пароль.

Одна из наиболее распространенных ошибок, возникающих при попытке входа в сеанс, заключается в том, что пользователи ошибочно вводят свой пароль в тот момент, когда система ожидает ввода имени пользователя. В таком случае пароль отображается на экране и может быть скомпрометирован (пример 2.4).
Пример 2.4. Сообщение об ошибке при попытке входа в сеанс
GNU/Linux on TTY2

login: student password:

login incorrect

login: # 4T), k%%

password:
Обратите внимание, что в примере 2.4 пользователь ошибочно ввел пароль после приглашения ввести имя пользователя. В результате этого пароль мог быть скомпрометирован.

Система GNU/Linux может быть настроена так, что после нескольких неудачных попыток входа терминал может быть заблокирован.

Для выхода из сеанса необходимо набрать команду exit. Можно также использовать команду logout. Удобно также использовать комбинацию клавиш +. Это сочетание клавиш генерирует символ EOF – конец файла, который воспринимается оболочкой, как команда на завершение сеанса. Однако это сочетание клавиш может быть заблокировано с помощью специальной Команды set -о ignoreeof.

После выхода из сеанса на экране вновь появится приглашение ввести имя пользователя login:.
Задания
• Пройдите процедуру регистрации и войдите в сеанс. Выйдите из сеанса.

• Попытайтесь войти в сеанс, используя неверное имя пользователя. Выдается ли при этом приглашение ввести пароль?

• Попытайтесь войти в сеанс, используя неверный пароль. Какое сообщение выдается при этом?

• Войдите в сеанс и выполните в нем команду set -о ignoreecf. Удается ли после этого покинуть сеанс с помощью комбинации клавиш +?

Как вводить команды в shell?

Оболочка предоставляет интерфейс командной строки, в котором управление операционной системой и запуск программ осуществляется с помощью команд в текстовом виде. Ввод команд осуществляется с клавиатуры. Команда запускается на исполнение нажатием клавиши .

Когда оболочка готова исполнять команды пользователя, она выводит специальное приглашение. Приглашение командной строки может быть настроено в соответствии с предпочтениями пользователя, но чаще всего оно выглядит так, как показано в примере 2.5.
Пример 2.5. Типичный вид приглашения командной строки
[tania@work tmp]$
В примере 2.5 пользователь tania работает на компьютере с именем work и текущим каталогом является tmp.

Вид приглашения командной строки легко изменить с помощью переменной окружения psi, однако следует придерживаться таких правил:
□ строка приглашения должна заканчиваться символом доллара $ или знаком больше >, если это сеанс простого пользователя (в С Shell часто используют %);

□ если в сеанс зашел суперпользователь (root), то приглашение командной строки заканчивается символом решетки # (пример 2.6).
Пример 2.6. Вид приглашения командной строки сеанса суперпользователя

Если команда введена неверно, то система выводит соответствующее сообщение об ошибке (пример 2.7).
Пример 2.7. Ошибочный, ввод команды

Оболочка сообщает, что команда two не найдена. Это сообщение выведено вследствие ошибочного ввода команды who.

Часто бывает необходимо очистить экран от команд, введенных ранее, и результатов их работы. Это можно сделать с помощью команды clear.
Задание
Попробуйте ввести команду who или who. Что при этом происходит?

Смена пароля пользователя

В системной политике должен быть установлен порядок изменения пароля пользователя. В современных версиях GNU/Linux имеется специальный набор библиотек для аутентификации и авторизации пользователей, так называемая система РАМ (Pluggable Authentication Module). Эта система, в частности, позволяет настраивать правила выбора нового пароля пользователя.

Администратор системы, естественно, имеет право в любой момент времени изменить пароль любого пользователя системы.

Распространенные дистрибутивы обычно настроены с помощью РАМ следующим образом.
□ Пароль, вводимый для пользователя администратором, проверяется на предмет удовлетворения элементарным требованиям безопасности. При вводе нового пароля пользователя администратор не должен вводить старый пароль пользователя.

□ Пользователь может изменить собственный пароль, если это не противоречит ограничениям, установленным для этого пользователя администратором. Перед установкой нового пароля пользователю будет предложено ввести его старый пароль в целях безопасности. При вводе нового пароля он будет проверен в соответствии с настройками модуля РАМ. Если новый пароль не удовлетворяет требованиям безопасности, то пароль изменен не будет.

Сменить пароль можно командой passwd, как показано в примере 2.8.
Пример 2.8. Диалог изменения пароля пользователя

Пример 2.8 демонстрирует диалог смены пароля для пользователя coiobok. После того как пользователь ввел команду passwd и свой старый пароль, он дважды ввел выбранный пароль и получил от системы подтверждение об успешной смене пароля.

Если пароль для пользователя меняет администратор, то он должен указать имя пользователя в качестве аргумента (пример 2.9).
Пример 2.9. Смена пароля пользователя администратором

Задания
• Придумайте себе новый пароль и попробуйте установить его.

• Удается ли установить в качестве пароля строку Iinux123?

Идентификация пользователя

Каждый пользователь системы в своей учетной записи имеет два числа – UID и GID. Эти числа идентифицируют пользователя и предназначены для определения его прав доступа к файлам в системе. UID – идентификатор пользователя (User ID), GID – идентификатор первичной группы пользователя (Group ID). Каждый пользователь в Linux может быть одновременно членом многих групп, но только одна из них устанавливается на вновь создаваемые пользователем файлы и каталоги – первичная группа.

Идентификаторы пользователя, а также все группы, в которых пользователь участвует, удобно использовать команду id (пример 2.10).
Пример 2.10. Идентификаторы пользователя

Из информации, выведенной командой id, легко увидеть, что U1D пользователя colobok – 503, первичной группой для этого пользователя является группа colobok с GID 503. Кроме этой группы пользователь входит в группу cdrom, идентификатор которой 22.

Чаще всего в Linux для обычных пользователей назначаются UID, начиная с некоторого числа, например 100 или 500 (настройки можно увидеть в файле/etc/login.defs). Для привилегированных и специальных пользователей отводится нижний диапазон UID.
Заданий
• Узнайте свои UID и GID.

• К каким группам вы принадлежите?

• Какие идентификаторы имеет пользователь root?

• Как получить только UID пользователя с помощью команды id? Подсказка: используйте команду id –help для получения помощи по команде.

Кто сейчас работает в системе?

Команда who выводит список пользователей, вошедших в сеанс и работающих в настоящее время (пример 2.11).
Пример 2.11. Команда who

Команда who отобразила список из трех пользователей системы. Во втором столбце команда показывает терминал, с которого пользователь вошел в систему. Пользователь coiobok вошел в сеанс с удаленной машины через сеть, поэтому для него вместо обычного терминала используется псевдотерминал. Имена псевдотерминалов начинаются со строки pts.

Вы можете узнать имя текущего терминала, используя команду tty.

Информацию о пользователях, работающих в настоящее время в системе, команда who извлекает из файла/var/run/utmp (файл бинарный).

Список команд, выполненных пользователями, можно увидеть, выполнив команду w (пример 2.12).
Пример 2.12. Команда w

Еще более важно бывает знать, какие пользователи и когда входили в сеанс ранее. Информацию об этом можно получить с помощью команды last, которая извлекает данные из бинарного файла/var/log/wtmp. Это показано в примере 2.13.
Пример 2.13. Команда last

Задания
• Используйте команду who с опцией -H. Удобнее ли она?

• Какие действия предпринимают в данный момент пользователи данной системы.

• Получите список пользователей, входивших в сеанс в вашу систему ранее,

• Выполните команду who /var/log/wtmp. Работает ли она?