АДМИНИСТРИРОВАНИЕ И БЕЗОПАСНОСТЬ ОПЕРАЦИОННЫХ СИСТЕМ LINUX

Листинг 2. Содержимое файла /etc/shadow

Обычно первый пароль пользователю назначает администратор при соз-дании учетной записи. Обновление паролей происходит в соответствии с вы-бранной политикой администрирования. В системе предусмотрена команда passwd, с помощью которой каждый пользователь может изменить свой пароль (если минимальный срок действия старого пароля еще не истек). Passwd — это одна из утилит, которая запускается обычным пользователем, а выполняется с правами администратора, поскольку ей приходится записывать новые данные в теневой файл /etc/shadow, доступ к которому разрешен только пользователю root. Такие исполняемые файлы имеют так называемый эффективный идентификатор SUID, речь о котором пойдет ниже. Программа passwd запрашивает у пользователя старый пароль, а затем требует ввести новый. На систему возлагается обязанность проверять вновь введенный пароль по словарю и по длине. Если введенный пароль окажется слишком простым, программа предупредит пользователя об опасности и запросит у него другой пароль.

Для модификации существующей учетной записи можно использовать команду usermod, которая имеет такой же синтаксис, что и команда useradd. В команде указываются только те опции, которые подлежат изменению.

9

Команда userdel позволяет администартору удалить учетную запись. До удаления учетной записи пользователь должен завершить сеанс работы. Обычное задание команды без опций:

userdel user_name — удаляет учетную запись пользователя, сохраняя его каталоги, которые могут содержать файлы, необходимые учреждению. При задании опции -г учетная запись удаляется вместе с каталогами и файлами пользователя.

Пользователи получают во владение созданные ими объекты файловой системы и имеют определенные системой или администратором права доступа к существующим объектам. Всего существует три вида доступа:

> чтение (г — read),

> запись (w — write)

> исполнение (х — execute).

Остальные права образуются путем комбинации первичных прав.

Все зарегистрированные в системе пользователи по отношению к каждому из объектов доступа разделяются на три неравных по численности категории:

> владелец файла,

> члены группы, в которую входит владелец. Поскольку один пользователь может являться членом многих групп, здесь имеется в виду основная, пер-вичная группа,

>- все остальные зарегистрированные пользователи, за исключением владельца файла и его основной группы.

Для каждой из категорий определяется набор первичных прав доступа. Вывод информации о правах доступа к объектам файловой системы производится с помощью команды Is (list — список). Результат выполнения этой команды представлен в листингах 5 и 15. Первый столбец в выводимой таблице как раз и указывает на тип файла и права доступа к нему.

Права доступа для каждой категории пользователей записываются в би

нарном виде и представляют собой восьмеричную цифру. Отсутствующее право

доступа обозначается дефисом. Например:

г — х =101 = 5

- w х =011 = 3

г = 100 = 4 и т.д.

Создавая новый каталог, можно сразу определить права доступа к нему. Это производится с помощью команды mkdir и опции -т, например:

Страниц: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65