gestão de utilizadores e grupos linux
TRANSCRIPT
Índice1. Gestão de Utilizadores e Grupos................................................................................................................................................3
1.1. Ficheiros importantes na gestão de grupos e utilizadores.................................................................................................3
1.1.1. etc/passwd...................................................................................................................................................................3
1.1.2. etc/shadow..................................................................................................................................................................3
1.1.3. etc/group......................................................................................................................................................................3
1.1.4. Verificar a integridade do ficheiro /etc/passwd..........................................................................................................4
1.1.5. Verificar a integridade do ficheiro /etc/group............................................................................................................4
1.1.6. etc/shells......................................................................................................................................................................4
1.1.7. Outros ficheiros relacionados......................................................................................................................................4
1.2. Gestão de utilizadores.........................................................................................................................................................4
1.2.1. Criar um utilizador........................................................................................................................................................4
1.2.2. Criar um utilizador num grupo secundário previamente criado.................................................................................5
1.2.3. Criar um utilizador em vários grupos previamente criados........................................................................................5
1.2.4. Criar um utilizador num grupo primário previamente criado.....................................................................................5
1.2.5. Definir a password do utilizador..................................................................................................................................5
1.2.6. Apagar um utilizador....................................................................................................................................................5
1.3. Gestão de Grupos................................................................................................................................................................5
1.3.1. Criar um novo grupo....................................................................................................................................................5
1.3.2. Apagar um grupo..........................................................................................................................................................5
1.3.3. Alterar um grupo..........................................................................................................................................................5
1.4. Alterar dados das contas de utilizadores............................................................................................................................5
1.4.1. Alterar a password do utilizador..................................................................................................................................5
1.4.2. Adicionar/alterar/remover grupo(s) secundário(s) de um utilizador.........................................................................5
1.4.3. Alterar o grupo primário de um utilizador...................................................................................................................6
1.4.4. Alterar informação adicional, usado pelo finger.........................................................................................................6
1.4.5. Altera a shell de um login.............................................................................................................................................6
1.5. Controlo das contas de utilizador.......................................................................................................................................6
1.5.1. Verificar a que grupos pertence um utilizador............................................................................................................6
1.5.2. Verificar os últimos logins efectuados no sistema......................................................................................................6
1.5.3. Verificar quem se encontra logado no sistema...........................................................................................................6
1.5.4. Ver informações sobre a conta de utilizador...............................................................................................................6
1.5.5. Bloquear um utilizador (inactivar a conta)..................................................................................................................6
1.5.6. Desbloquear um utilizador (activar a conta)...............................................................................................................7
1.5.7. Alterar a shell para não permitir login (nologin).........................................................................................................7
1.5.8. Alterar a shell para permitir login................................................................................................................................7
1.5.9. Verificar utilizadores com passwords vazias...............................................................................................................7
1.5.10. Verificar utilizadores não root que têm o UID 0........................................................................................................7
1.6. Password aging....................................................................................................................................................................7
1.6.1. Ver informação acerca do aging da password.............................................................................................................7
1.6.2. Forçar a alteração da password no próximo login......................................................................................................7
1.6.3. Password nunca expira................................................................................................................................................7
1.6.4. Alterar outros parâmetros de aging............................................................................................................................7
1.7. Políticas de Password..........................................................................................................................................................8
1.7.1. Aplicar políticas nas passwords dos utilizadores.........................................................................................................8
1.7.2. Limitar a reutilização de passwords.............................................................................................................................8
1.7.3. Verificar as tentativas falhadas de login......................................................................................................................8
1.7.4. Reset aos contadores de falhas de login......................................................................................................................8
1.7.5. Desbloquear uma conta após falha de login...............................................................................................................9
1.8. Linux-PAM (apenas referência)...........................................................................................................................................9
2. Gestão de Discos......................................................................................................................................................................10
2.1. Discos.................................................................................................................................................................................10
2.1.1. Nomes dos discos.......................................................................................................................................................10
2.1.2. Nomes dos discos.......................................................................................................................................................11
2.2. Partições............................................................................................................................................................................11
2.3. Gestão de quotas..............................................................................................................................................................11
1. Gestão de Utilizadores e Grupos
1.1. Ficheiros importantes na gestão de grupos e utilizadores
1.1.1. /etc/passwd
Ficheiro que contém todas as informações relativas aos utilizadores, com o seguinte formato:username : password : user_number(UID) : group_number(GID) : user_info : home_directory : shell_type
Exemplo:root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/bin/bash cquoi:x:500:100:Cool.:/home/cquoi:/bin/bash
O parâmetro password contém o valor x, o que significa que a password está definida de forma encriptada no ficheiro shadow. Qualquer alteração neste parâmetro que não o x, provocará o bloqueio da conta.
O parâmetro UID, tem por norma reservado de 0 a 99 as contas internas da máquina, e valores superiores a 100, para contas de utilizadores. Uma conta com os privilégios máximos (root) tem como UID o valor 0.
O parâmetro GID refere-se ao grupo primário a que pertence o utilizador. Normalmente por omissão é criado um com o mesmo nome do utilizador.
1.1.2. /etc/shadow
Ficheiro que contém as passwords das contas de utilizador de forma encriptada. Este ficheiro contém exactamente as mesmas entradas que no ficheiro /etc/passwd.username : password : last_password_changed : minimum : maximum : warn : inactive : ::::
Exemplo:root:$1$LZVQZlk4$.j9fHIIbnChj6ZIf4IVGz.:13920:0:99999:7:::news:*:13920:0:99999:7:::proxy:$1$CM50sn/p$u.tsP2Hj8Cu6DalStZdPK/:13920:0:99999:7:::
Password : password encriptada do utilizador. Se começar por $, está encriptada pelo algoritmo DES, se começar por outro carácter, é porque não é o algoritmo DES. Exemplo : se começar por $1$, utiliza o algoritmo MD5.
last_password_changed: Nº de dias em que a password foi alterada pela última vez. minimum: Nº minimo de dias entre alterações à password. maximum: Nº máximo de dias em que a password é válida. warn : Alertar n dias antes da password expirar. inactive : número de dias depois da password expirar inactivar a conta de utilizador. Os últimos campos tem a ver com Password aging, em que se utiliza o comando chage.
1.1.3. /etc/group
Ficheiro que contém todos os grupos e respectivos membrosgroup_name : password : group_number(GID) : member1(UID1), member2(UID2)
Exemplo:root:x:0:rootbin:x:1:root,bin,daemondisk:x:6:
O parâmetro password, neste ficheiro com o valor x, só é utilizado em casos muito excepcionais como o de grupos privilegiados. O último parâmetro indica os membros do grupo(UIDs) separados por virgulas.
1.1.4. Verificar a integridade do ficheiro /etc/passwd
# pwck
1.1.5. Verificar a integridade do ficheiro /etc/group
# grpck
1.1.6. /etc/shells
Ficheiro que contém todas as shells disponíveis, por omissão e a mais usada é a /bin/bash.Uma shell é um programa ou ambiente que possibilita a interacção com o utilizador, ou seja, um interpretador de comandos. Existem várias shells, mas todas têm como função interpretar comandos, só que esses comandos/funções dependem de shell para shell.
# echo $SHELL
(Comando que mostra a shell corrente) # set
(Comando que mostra todas as variáveis de ambiente, inclusive a shell)
1.1.7. Outros ficheiros relacionados
(ficheiros de sistema init por utilizador shell->bash)/etc/bashrc/etc/profile$HOME/.bashrc$HOME/.bash_profile
(ficheiros de sistema init por utilizador shell->tcsh)/etc/csh.cshrc/etc/csh.login$HOME/.cshrc$HOME/.tcshrc$HOME/.login
(ficheiros de template para novos utilizadores)/etc/skel
(default para alguns comandos)/etc/default
1.2. Gestão de utilizadores
1.2.1. Criar um utilizador
# useradd rocky
(Cria o utilizador e a pasta home)# useradd –m rocky
(debian, a diferença para o anterior, é que este comando preenche informação como o nome completo, email, contacto,etc…)#adduser rocky
1.2.2. Criar um utilizador num grupo secundário previamente criado
# useradd -G grupoteste rocky
1.2.3. Criar um utilizador em vários grupos previamente criados
# useradd -G admins,ftp,www,developers rocky
1.2.4. Criar um utilizador num grupo primário previamente criado
# useradd -g developers rocky
1.2.5. Definir a password do utilizador
# passwd rocky
1.2.6. Apagar um utilizador
# userdel rocky # userdel -r rocky
(esta opção elimina também a pasta home e a spool de mail)
1.3. Gestão de Grupos
1.3.1. Criar um novo grupo
# groupadd grupoteste
1.3.2. Apagar um grupo
# groupdel grupoteste
1.3.3. Alterar um grupo
# groupmod –n grupo_new grupo_old
(Altera o nome do grupo de grupo_old para grupo_new)
1.4. Alterar dados das contas de utilizadores
1.4.1. Alterar a password do utilizador
# passwd rocky
1.4.2. Adicionar/alterar/remover grupo(s) secundário(s) de um utilizador
Adicionar/Alterar (exemplos)Se o utilizador não pertencer a nenhum grupo secundário# usermod -a -G ftp rocky
(adiciona o grupo ftp ao utilizador)
Se o utilizador pertencer a um grupo secundário xpto# usermod -a -G ftp,xpto rocky
(adiciona o grupo ftp ao utilizador)
RemoverSe o utilizador pertencer a dois grupos secundário xpto,ftp# usermod -a -G ftp rocky
(removeu o grupo xpto ao utilizador)
1.4.3. Alterar o grupo primário de um utilizador
# usermod -g www rocky
1.4.4. Alterar informação adicional, usado pelo finger
# chfn
(este comando usado com argumentos, permite alterar o nome completo,etc…)
1.4.5. Altera a shell de um login
# chsh –s /bin/bash rocky
1.5. Controlo das contas de utilizador
1.5.1. Verificar a que grupos pertence um utilizador
# id rocky # id -nG rocky
1.5.2. Verificar os últimos logins efectuados no sistema
# last # last rocky
1.5.3. Verificar quem se encontra logado no sistema
# w # who # users
1.5.4. Ver informações sobre a conta de utilizador
# finger
(neste comando, é possível ver para além da informação da conta, os dados do último login)
1.5.5. Bloquear um utilizador (inactivar a conta)
# passwd -l rocky
(Este comando coloca no ficheiro shadow o prefixo ! na password encriptada relativa ao utilizador.)
1.5.6. Desbloquear um utilizador (activar a conta)
# passwd -u rocky
(Este comando retira no ficheiro shadow o prefixo ! na password encriptada relativa ao utilizador.)
1.5.7. Alterar a shell para não permitir login (nologin)
# usermod -s /sbin/nologin rocky
1.5.8. Alterar a shell para permitir login
# usermod -s /bin/bash rocky
1.5.9. Verificar utilizadores com passwords vazias
# awk -F: '($2 == "") {print}' /etc/shadow
1.5.10. Verificar utilizadores não root que têm o UID 0
# awk -F: '($3 == "0") {print}' /etc/passwd
1.6. Password aging
1.6.1. Ver informação acerca do aging da password
# chage -l rocky
1.6.2. Forçar a alteração da password no próximo login
# chage -d 0 rocky # passwd -e rocky
1.6.3. Password nunca expira
# chage -M 99999 rocky
(atribui 99999 ao número máximo de dias em que a password é válida)
1.6.4. Alterar outros parâmetros de aging
# chage -M 60 -m 7 -W 7 rocky
(Neste exemplo : duração máxima de 60 dias, intervalo mínimo para voltar a alterar 7 dias, alertar 7 dias antes da alteração)
Editar o ficheiro /etc/shadow{userName}:{password}:{lastpasswdchanged}:{Minimumdays}:{Maximumdays}:{Warn}:{Inactive}:{Expire}:
1.7. Políticas de Password
1.7.1. Aplicar políticas nas passwords dos utilizadores
Em debian é necessário instalar o módulo PAM libpam-cracklib para activar o suporte cracklib.# apt-get install libpam-cracklib
Abrir o seguinte ficheiro :# vi /etc/pam.d/system-auth
Alterar o ficheiro, como o exemplo a seguir :password required pam_cracklib.so retry=2 minlen=10 difok=6
retry=2 : Pede ao utilizador mais duas vezes antes de retornar erro, minlen=10 : tamanho mínimo da password, difok=6: quantos caracteres a password pode conter parecidos com a antiga, dcredit=N : Nº de dígitos, ucredit=N : Nº de maiúsculas, lcredit=N : Nº de minúsculas, ocredit=N : Outros caracteres (especiais)
1.7.2. Limitar a reutilização de passwords
Em debian abrir o ficheiro seguinte:# vi /etc/pam.d/common-password
Alterar o ficheiro como exemplo a seguir:password sufficient pam_unix.so use_authtok md5 shadow remember=10
Neste exemplo o utilizador só pode voltar a usar a mesma password após 10 alterações.
1.7.3. Verificar as tentativas falhadas de login
Abrir o seguinte ficheiro:# vi /etc/pam.d/system-auth
Adicionar dois módulos pam_tally.so:auth required pam_tally.so no_magic_rootaccount required pam_tally.so deny=3 no_magic_root lock_time=180
deny=3 : Negar acesso se falha no login exceder 3 tentativas lock_time=180 : fazer uma espera de 180 secundos depois de uma tentaviva falhada magic_root : o contador de tentativas não é incrementado nas contas com uid=0 no_magic_root : evita o lock da conta root
Verificar as tentativas falhadas de um utilizador# faillog -u rocky
Verificar as tentativas falhadas de todos os utilizadores# faillog –a
1.7.4. Reset aos contadores de falhas de login
# faillog –r # faillog -r -u vivek
1.7.5. Desbloquear uma conta após falha de login
# faillog -r -u rocky
1.8. Linux-PAM (apenas referência)
Linux-PAM (Pluggable Authentication Modules for Linux) é uma suite de livrarias partilhadas que permitem escolher a forma como as aplicações autenticam os utilizadores.
Desta forma enumero alguns dos módulos disponíveis e descrição dos mesmos:
pam_cracklib - verifica as passwords num dicionário de palavras, pam_echo - imprime mensagens de texto, pam_exec - chama um comando externo, pam_ftp - módulo para acesso anónimo, pam_group - módulo para alterar o acesso de grupos, pam_lastlog - mostrar a data do último login, pam_limits - limita recursos, pam_mail - informa acerca de mails disponíveis, pam_mkhomedir - cria a pasta home dos utilizadores, pam_userdb - autentica numa base de dados. etc…
2. Gestão de Discos
2.1. Discos
Todos os devices e mais concretamente os discos em Linux, são tratados como ficheiros que se encontram localizados na pasta /dev. À excepção das placas de rede…
2.1.1. Nomes dos discos
IDEo Cada disco é enumerado de forma sequencial hda, hdb, hdc, hdd,… (Max. Default = 8)o As drives de CDROM, TAPES, etc… IDE caem na mesma numeração anterior.o Cada disco está ligado a um bus que permite a ligação de um máximo de dois discos :
Bus IDE 0Master hdaMaster hdb
Bus IDE 1Master hdcMaster hdd
Bus IDE 2Master hdeMaster hdf
SCSIo Cada disco é enumerado de forma sequencial sda, sdb, sdc, sdd,… (Max. Default = 16)o Cada CDROM é enumerado de forma sequencial scd1, scd2, scd3,,… (Max. Default = 8)o Cada Tape é enumerada de forma sequencial st0, st1, st2,,… (Max. Default = 8)o Cada dispositivo genérico é enumerado de forma sequencial sga, sgb, sgc,,… (Max. Default = 8)
USBo A numeração de cada dispositivo usb é a mesma que os discos SCSI sda, sdb, sdc, sdd,…
SATAo A numeração de cada dispositivo sata é a mesma que os discos SCSI sda, sdb, sdc, sdd,…
SAS
o A numeração de cada dispositivo sas é a mesma que os discos SCSI sda, sdb, sdc, sdd,…
2.1.2. Nomes dos discos
2.2. Partições
2.3. Gestão de quotas