Linuxのユーザー管理のセキュリティ最適化[2]

序文

前回のブログでは、我々はおそらく、設定ファイルのユーザ管理部の役割を理解しています。このブログレッツ・ドゥそれは、また、ブログの記事の検証です。

ビューのユーザー情報

• ID番号を表示指定されたユーザID情報
  -u＃は、ユーザーのuid閲覧
  -g＃ユーザーのGID閲覧
  -G＃すべてのグループIDのユーザー閲覧
  表示せずに＃IDはデジタル表示名-nを
  例に：

  [root@workstation ~]# id
  uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
  [root@workstation ~]# id -u
  0
  [root@workstation ~]# id -g
  0
  [root@workstation ~]# id -G
  0
  [root@workstation ~]# id -nu
  root
  注意：-n不能单独使用
  

モードの切り替え、ユーザーのIDと環境変数

• logoutコマンドを描く、クリックしてマウスを使用しなくても、あなたは、現在のユーザーをログオフすることができますシェルで次のコマンドを入力して
  、現在のユーザーオフのgnome-セッション終了--forceを##

• suとsuコマンド-
  suコマンドはユーザーのみに切り替え、ユーザー環境を切り替えていない
  よう：

  [root@workstation Desktop]# useradd new
  [root@workstation Desktop]# su new
  
  (process:8443): dconf-CRITICAL **: 00:33:40.752: unable to create directory '/run/user/0/dconf': Permission denied.  dconf will not work properly.
  (process:8443): dconf-CRITICAL **: 00:33:40.753: unable to create directory '/run/user/0/dconf': Permission denied.  dconf will not work properly.
  (process:8443): dconf-WARNING **: 00:33:40.759: failed to commit changes to dconf: Could not connect: Permission denied
  [new@workstation Desktop]$ pwd
  /root/Desktop
  虽然切换进了new可当前环境还在/root/Desktop中
  

  SU - ユーザーのIDとユーザーの環境を切り替えるには

  [root@workstation Desktop]# su - new
  Last login: Wed Jan  8 00:33:40 EST 2020 on pts/0
  [new@workstation ~]$ pwd
  /home/new
  此时可以看到，路径已经切换到了用户的家目录
  

  注：
  他のユーザーにすべてのSUが作動した後に終了する必要があり、その後、他のユーザーに再び切り替え
  の高度な実装に切り替えるには、低レベルのユーザーのニーズを必要とされていない低レベルのユーザーのパスワードにスイッチへのユーザーの高度な
  フラットなユーザーも、スイッチを切り替える必要があります

作成し、ユーザーとユーザーグループを削除します

ユーザーを作成するにはuseraddを、ユーザーが確立され、（パートIのブログを参照してください）に/etc/login.defsルールを決定するために、ファイルの内容を読んで
、このコマンドを使用する前に、新たなリアルタイム監視を追加するユーザーのためのモニタリング駅までの最初のセット
のコマンドを次のように：

[root@workstation Desktop]# watch -n 1 'tail -n 3 /etc/passwd /etc/group;echo "= =>home message<= ="; ls -l /home/' 
该命令会每隔一秒对上述文件进行更新显示。对我们新加或修改的参数实时更新。
Every 1.0s: tail -n ...  workstation.lab.example.com: Wed Jan  8 00:52:56 2020
==> /etc/passwd <==
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
==> /etc/group <==
dip:x:40:
==>home message<==
total 0
drwx------. 4 student student 110 Jan  8 00:10 student

• useraddの一般的に使用されるパラメーター：
  -uを指定したユーザのuid＃

  [root@workstation Desktop]# useradd -u 1005 haizhizhuer
  

  リアルタイムのモニタリングステーションのアップデート：

  haizhizhuer:x:1005:1005::/home/haizhizhuer:/bin/bash
  haizhizhuer:x:1005:
  drwx------. 4 haizhizhuer haizhizhuer  93 Jan  8 01:02 haizhizhuer
  

  ：コマンドの残りの部分は同じである
  GID -g＃、ユーザの指定
  、追加のグループ-G＃指定されたユーザを
  （グループ設定に、一つだけを設定することができたときにグループと追加のグループはAグループに、することができないである、異なっていますグループB.が、追加のグループに重複して含めることができます。次の:)

  [root@workstation Desktop]# useradd -G 40 haizhizhuer
  ==> /etc/group <= =
  slocate:x:21:
  dip:x:40:haizhizhuer
  haizhizhuer:x:1001:
  

  -c＃ユーザの指示が指定し
  たユーザ名/ /ホームデフォルト、＃は、ユーザのホームディレクトリを指定する-d
  -s＃ユーザーのデフォルトのシェルを指定
  しますが、環境を復元したいときに設定した各時間は、userdelコマンドを使用する必要があります。ご注意を。

• userdelの
  次のように削除ユーザーは、確立されています。

  [root@workstation Desktop]# userdel -r haizhizhuer
  

  （注：-rパラメータを追加、または単にhaizhizhuer、このユーザ情報がまだ存在するディレクトリを削除してください。）

• groupaddのとgroupdelグループ
  新しいグループと削除グループ
  の新グループは次の通りです：

  [root@workstation Desktop]# groupadd hi
  监控台
  ==> /etc/group <= =
  hi:x:1002:
  

  他のプログラムもまた、文書のグループを確立するために支援することで、閲覧することができ
  、次のようにグループを削除するには：

  [root@workstation Desktop]# groupdel hi
  

  注：
  現在のグループは、ユーザーの指定したグループである場合は、それを直接削除することはできません、あなたが必須それらを削除するには、-fオプションを追加することができます。しかし、この時間は、ユーザーがグループを指定しません。

ユーザーとユーザーグループの情報管理

• groupmodの-g
  次のように：

  [root@workstation Desktop]# groupmod -n haizhizhu hii
  修改组名，可查看help文档去修改组的其它参数。
  

• usermodの
  ユーザー名を変更-l
  -uは、ユーザーの変更uidに
  GID -gは、ユーザの変更
  -agは、追加のユーザー・グループに指定し
  たユーザのを修正するには-c指示を
  /ホームに、ユーザのホームディレクトリを変更-MDデフォルトを/ usernameは
  、ユーザーのを修正-sシェル型
  注：
  のみの/ etc名/ passwdファイル、ディレクトリ、および本当のチェンジディレクトリを変更-d
  ディレクトリの変更、名前を変更するだけではなく、デフォルトに/ホーム/ユーザ名、ユーザのホームディレクトリを変更-MD
  -Gを添付できません、追加のグループにのみ変更することができ
  、指定ユーザの-ag追加のグループ
  の例は、-dように：

  [root@workstation Desktop]# usermod -d /home/hi haizhizhu
  

  モニタリング：

  ==> /etc/passwd <==
  gnome-initial-setup:x:976:976::/run/gnome-initial-setup/:/sbin/nologin
  avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
  haizhizhu:x:1001:1001::/home/hi:/bin/bash
  
  ==> /etc/group <==
  slocate:x:21:
  dip:x:40:
  haizhizhu:x:1001:
  ==> /home/ message <==
  total 0
  drwx------. 4 haizhizhu haizhizhu 93 Jan  8 02:15 haizhizhu
  drwx------. 4 student   student   89 May 21  2019 student
  

  次の例では、-MD：

  [root@workstation Desktop]# usermod -md /home/hi haizhizhu
  

  モニター

  ==> /etc/passwd <==
  gnome-initial-setup:x:976:976::/run/gnome-initial-setup/:/sbin/nologin
  avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
  haizhizhu:x:1001:1001::/home/hi:/bin/bash
  
  ==> /etc/group <==
  slocate:x:21:
  dip:x:40:
  haizhizhu:x:1001:
  ==> /home/ message <==
  total 0
  drwx------. 4 haizhizhu haizhizhu 93 Jan  8 02:15 hi
  drwx------. 4 student   student   89 May 21  2019 student
  

  注：改革のパスは下の/ home /このパスに変更する必要があり、実験結果の注意深い観察から異なり、それ以外の場合は、モニターを反映することはできません。

ユーザー認証管理

• passwdのは、
  次のようにヘルプファイルを表示します。

  [root@workstation Desktop]# passwd --help
  Usage: passwd [OPTION...] <accountName>
  -k, --keep-tokens       keep non-expired authentication tokens
  -d, --delete            delete the password for the named account (root
                     only); also removes password lock if any
  -l, --lock              lock the password for the named account (root only)
  -u, --unlock            unlock the password for the named account (root only)
  -e, --expire            expire the password for the named account (root only)
  -f, --force             force operation
  -x, --maximum=DAYS      maximum password lifetime (root only)
  -n, --minimum=DAYS      minimum password lifetime (root only)
  -w, --warning=DAYS      number of days warning users receives before
                     password expiration (root only)
  -i, --inactive=DAYS     number of days after password expiration when an
                     account becomes disabled (root only)
  -S, --status            report password status on the named account (root
                     only)
  --stdin             read new tokens from stdin (root only)
  

  -l＃ロック
  、アンロックに-u＃
  -S＃現在の状態を表示する
  ＃-nは、パスワードを変更するために最低日数を要する
  -w＃警告
  も-i＃パスワードを使用することができ、数日有効期限が切れます
  ...

• チャゲ

  [root@workstation Desktop]# chage --help
  Usage: chage [options] LOGIN
  
  Options:
  -d, --lastday LAST_DAY        set date of last password change to LAST_DAY
  -E, --expiredate EXPIRE_DATE  set account expiration date to EXPIRE_DATE
  -h, --help                    display this help message and exit
  -I, --inactive INACTIVE       set password inactive after expiration
                            to INACTIVE
  -l, --list                    show account aging information
  -m, --mindays MIN_DAYS        set minimum number of days before password
                            change to MIN_DAYS
  -M, --maxdays MAX_DAYS        set maximum number of days before password
                            change to MAX_DAYS
  -R, --root CHROOT_DIR         directory to chroot into
  -W, --warndays WARN_DAYS      set expiration warning days to WARN_DAYS
  

  -l＃の後また、パスワードの有効期限日を使用することができます
  -d＃変更最近の日付のパスワード
  現在のユーザーのパスワードの有効期限が切れる-E番号
  （注：必要のないシステムにユーザーIDがパスワードをリセットする場合、現在のユーザーのパスワードは、期限が切れるが、しかし、再入力したときに、平均的なユーザーパスワード）をする必要が
  最短翌日は、あなたのパスワードを変更することができ-m＃山岳
  -M＃最長の山岳日が自分のパスワードを変更する必要があります
  。-W＃警告
  ...
  私は、特定の効果を発揮しませんこれは、中に/ etc見るために監視することができます/表示の内容を変更するには、passwd。

ユーザー権限の委任

sudoは、いくつかの超大国は、ターゲット委任することができ、かつ平均的なユーザーはそう権利に関する制限なしのsuをSUDO、rootのパスワードを知っている必要はありません、それは、非常に安全なプロセスが現在rootユーザーにスイッチにコマンドsudoを実行しているあります実行が完了した後、次に、rootとしてコマンドを実行し、単に現在のユーザーに戻る
と前提としたものをその承認のためのsudo設定ファイル経由の/ etc / sudoersファイル

たとえば、rootユーザーのみが、新しいユーザーを追加することができ、我々は、エラーがあるだろう実行すると、普通のユーザーは、この権限を持つことはできません。私の現在の普通のユーザーは、ユーザーの権限を追加、削除することができますので、この時点で、我々は、sudoersファイルを変更することができます。
十分な権限は、拒否されました：

[haizhizhu@workstation ~]$ useradd hiii
useradd: Permission denied.
useradd: cannot lock /etc/passwd; try again later.

Sudoerは、ファイルを変更します。

在101行加入
haizhizhu   workstation.lab.example.com=(root)  NOPASSWD: /usr/sbin/useradd, /usr/sbin/userdel
在这里只是设置给haizhizhu了创建删除免密的权限。
workstation.lab.example.com因人而异，hostname命令来查看自己的主机名。

フリーのためのユーザ秘密を追加するには、このシステムhaizhizhu変更に切り替えた後：

[root@workstation Desktop]# su - haizhizhu
Last login: Wed Jan  8 02:50:01 EST 2020 on pts/0
[haizhizhu@workstation ~]$ sudo useradd luu
监控：
==> /etc/passwd <==
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
haizhizhu:x:1001:1001::/home/haizhizhu:/bin/bash
luu:x:1002:1002::/home/luu:/bin/bash

==> /etc/group <==
dip:x:40:
haizhizhu:x:1001:
luu:x:1002:
==> /home/ message <==
total 0
drwx------. 4 haizhizhu haizhizhu 130 Jan  8 02:50 haizhizhu
drwx------. 4 luu	luu        93 Jan  8 02:52 luu
drwx------. 4 student   student    89 May 21  2019 student
添加成功！

追伸

この基本的な操作のユーザー管理は基本的に関係しています。しかし、多くの異なるアクセス許可が見られ、また実際の動作していないがあります。必要性は、現在のシンプルな管理プロセスに非常に精通して、将来の研究や仕事のための基礎を築くためになるような経験の蓄積も実質的にゼロが、一般的な方向性を把握するためには、私たちの新しい決意異なる問題の基礎です。