Адміністрування клієнт-серверних інформаційно-комунікаційних систем та мереж на базі ОС UNIX/Linux

План

6.1. Управління обліковими записами користувачів і груп

6.2. Правила доступу до об'єктів файлової системи Ext3

6.3. Створення розподілених мережних ресурсів засобами мережної файлової системи

6.4. Віддалене адміністрування сервера за допомогою сервера терміналів OpenSSH

6.1. Управління обліковими записами користувачів і груп

Для управління роботою користувачів у ОС Linux реалізовано механізм облікових записів і груп. Система опрацьовує дані про облі­кові записи користувачів і груп, використовуючи такі конфігураційні файли:

/etc/passwd – дані про облікові записи користувачів (окрім паролей);

/etc/shadow – шифровані паролі облікових записів користува­чів;

/etc/group – дані про облікові записи груп користувачів;

/etc/default/useradd – властивості, які присвоюють новим об­ліковим записам;

/etc/login.defs – параметри безпеки паролів (мінімальна довжи­на, термін дії тощо);

/etc/skel – файли налаштувань, які у процесі створення нового облікового запису користувача копіюються в домашній каталог останнього.

У файлі /etc/passwd дані про облікові записи користувачів записані у такому вигляді:

username:password:UID:GID:full_name:home_dir:login_shell,

де

username – реєстраційне ім'я (логін користувача); (

password – у файлі /etc/passwd у цьому полі записано знак «*», а криптований пароль міститься у файлі /etc/shadow;

UID – унікальний числовий ідентифікатор облікового запису користувача;

GID – унікальний числовий ідентифікатор облікового запису первинної групи користувачів; окрім первинної групи обліковий запис може належати й до інших груп;

full_name – повне ім'я користувача; \

home_dir – домашній каталог користувача; по замовчуванню він міститься у каталозі /home;

login_shell – командний інтерпретатор – програма для виконання команд, уведених користувачем. Наприклад, запис про користувача student у файлі /etc/passwd має вигляд:

student:x:501:501:Student TNPU:/home/student:/bin/bash

Якщо в розглянутому записі замість «х» ввести «!!», то пароль вважа­ється не введеним і користувач не зможе зареєструватися в системі.

Використання двох файлів з обліковими записами користувачів (/etc/passwd та /etc/shadow) є виправданим з точки зору безпеки системи. Зазвичай, до файла /etc/passwd доступ для читання мають усі користувачі. До файла /etc/shadow такий доступ має лише користувач root.

Дані про облікові записи груп користувачів містяться у файлі /еtc/group у такому форматі:

groupname:password:GID:member_group,

де

/ groupname – ім'я групи;

/ password – пароль групи (практично не використовують);

/ GID – унікальний числовий ідентифікатор облікового запису групи користувачів;

/ member_group – облікові записи користувачів, які є членами групи.

Наведемо приклад запису з файла /etc/group:

webmasters:*:250:victor,alex.

Звичайно, додавати облікові записи користувачів і груп можна редагуванням файлів /etc/passwd та /etc/group. Проте ОС Linux надає й стандарт утиліти для виконання цих завдань. Розглянемо деякі з них.

Команда useradd додає новий обліковий запис користувача. Синтаксис команди такий:

useradd [-опції] <ім'я користувача>

Важливими опціями команди useradd є:

-d <каталог> – домашній каталог користувача;

-g <група> – основна група, до якої буде додано обліковий запис користувача; за замовчуванням в ОС Fedora для кожного нового облікового запису користувача створюється аналогічний запис і про групу;

-G <групи> – список інших груп, до складу яких буде додано обліковий запис користувача;

-s <файл> – командний інтерпретатор.

Команда groupadd додає новий обліковий запис групи користувачів. Синтаксис команди такий:

groupadd <ім'я групи>

Для встановлення пароля облікового запису користувача викорис­товують команду passwd. Як і у випадку ОС Windows, адміністратор може змінити пароль будь-якого користувача системи. Для цього йому досить виконати команду:

passwd <логін>

Якщо команду passwd виконає звичайний користувач, то він зможе змінити лише власний пароль, але для цього йому доведеться ввести старий пароль.

Для зміни параметрів облікового запису користувача, використовують команду usermod. Синтаксис команди аналогічний до команди useradd. Важливими опціями команди usermod є:

-d <каталог> – домашній каталог користувача;

-s <файл> – командний інтерпретатор;

-u <UID> – числовий ідентифікатор облікового запису користувача;

-g <група> – основна група;

-е <12/31/2009> – дата закінчення терміну дії облікового запису.

Наприклад, якщо для облікового запису student потрібно встановити домашнім каталогом папку /home/student1, то потрібно виконай команду:

usermod -d /home/student1 student

Для зміни параметрів облікового запису групи користувачів використовують команду groupmod.

Команда userdel видаляє обліковий запис користувача. Синтаксис команди такий:

userdel [-опції] <ім'я користувача>

Якщо вказати опцію -r ,то буде видалено не лише обліковий запис із файлів /etc/passwd, /etc/shadow, а й відповідний домашній каталог.

Контрольні запитання

1. Як Ви розумієте зміст понять: користувач, обліковий запис корис­тувача, обліковий запис групи користувачів?

2. Де зберігаються дані про облікові записи користувачів і груп ОС Linux?

3. Для чого в ОС Linux використовують файли /etc/passwd та letc/shadow?

4. Перелічіть команди для роботи з обліковими записами користу­вачів і груп.

5. Чи може обліковий запис користувача ОС Linux одночасно на­лежати до декількох груп?

6. Пригадайте поля, які Ви заповнювали у процесі створення облі­кового запису користувача ОС Windows Server 2003. Чи можливо реалізувати їх в ОС Linux?

6.2. Правила доступу до об'єктів файлової системи Ext3

Оскільки Linux є багатокористувацькою ОС, то її файлова система підтримує механізм захисту файлів користувача від інших користувачів. Такий механізм відомий як система правил доступу до об'єктів файлової системи.

Кожен обліковий запис користувача може входити в одну із трьох категорій: власник, член групи власника, інші користувачі. Першим власником файла є користувач, що його створив. У подальшому можна змінити користувача та групу, які є власниками. Для цього застосо­вують команду:

chown [-опції] <користувач> [:<група>] файл

або

chgrp [-опції] <група> файл

У деяких дистрибутивах Linux змінити власника може лише адмі­ністратор, в інших – адміністратор і власник файла.

Правила доступу бувають трьох типів: читання (read), запис (write) виконання (execute). У символьному вигляді правила записують як rwx, де r – читання, w – запис, х – виконання, знак «-» (мінус) позначає відсутність правила. Очевидно, що такі правила можна подати як двійкову тріаду. Наприклад, правило r–х, можна записати як 101₍₂₎ або як цифру 5₍₈₎ у вісімковій системі числення.

Оскільки правила доступу стосуються трьох типів користувачів (власник, група, інші), то абсолютні правила доступу повинні мати вигляд:

<правила_власника><правила_групи><правила_інших>

У вісімковому поданні абсолютні правила мають вигляд трицифрового числа, в якому старший розряд позначає правила власника, другий – групи, третій – інших користувачів.

Використовуючи команду ls з опцією -1, можна одержати на екрані перелік файлів у форматі, що містить відомості про права доступу.

Наприклад:

Якщо в колонці правил доступу замість першого знака «мінус» виведено літеру «d», то це означає, що такий запис стосується каталогу.

Для зміни правил доступу використовують команду chmod. Синтаксис команди такий:

chmod [-опції] <правила доступу> <файл (каталог)>

Важливою опцією команди chmod є -R. Вона дає змогу застосувати правила доступу до каталогу рекурсивно – правила будуть застосовані до всіх його дочірніх каталогів і файлів.

У команді chmod, окрім вісімкового подання, можна застосовувати й символьні позначення правил доступу (таблиця 6.1)

Наприклад, для того щоб додати право на виконання файла run.sh групі-власнику й іншим користувачам потрібно виконати команду:

chmod go+x run.sh

Назва біта «прилипання» походить з тих часів, коли обсяг опеативної пам'яті був незначним, а процес підкачування повільним. Тоді наявність цього біта давала змогу залишати в пам'яті невеликі файли, які часто використовувались. На сьогодні визначення цього біта застосовують до каталогів. Це означає, що видаляти файли з каталогу матимуть право лише власники каталогу або файла. Зазвичай такий біт використовують до каталогів, відкритих для запису, наприклад, до каталогу /tmp.

Правило зміни ідентифікатора користувача (s) означає, що під час виконання файл буде завантажено від імені користувача root. Таке правило є потенційною небезпекою в системі. Для надання користувачам прав інших користувачів можна скористатися командою:

su <користувач>

Контрольні запитання

1. Які Вам відомі правила доступу до файлової системи Ext3?

2. Яких категорій користувачів стосуються правила доступу до фай­лової системи Ext3?

3. Як переглянути правила доступу до папки, файла?

4. Як позначають правила доступу із застосуванням вісімкової сис­теми числення?

5. Для чого застосовують біт «прилипання» та правило зміни іден­тифікатора користувача?

6.3. Створення розподілених мережних ресурсів засобами мережної файлової системи

Мережна файлова система NFS (Network Filesystem) є засобом створення розподілених ресурсів у ОС типу Unix.

Ресурси, доступ до яких здійснюється за допомогою NFS, з точки зору користувача опрацьовуються так, як і локальні ресурси. Після монтування віддалений ресурс стає частиною локальної файлової сис­теми користувача. NFS-система, що абстрагована від типів файлових систем як сервера, так і клієнта. Існує значна кількість реалізація NFS-серверів та клієнтів для різних операційних систем.

Основою NFS є однойменний протокол (NFS), який має ту особливість, що кожен запит між клієнтом і сервером містить всі потрібні дані, а тому не потребує попередніх трансакцій. Це дає можливість зупиняти сервери NFS й знову завантажувати без перезавантаженні клієнтів.

Для конфігурування сервера NFS використовують файл /etc/exports
У цьому файлі варто створити набір послідовних записів, кожен з яких визначатиме експортований каталог. Кожен такий запис повинен займати один рядок і мати такий формат:

каталог [клієнт1(опції)] [клієнт2(опції) [...]]

,

Першою складовою запису є повний маршрут до каталогу, який варто зробити доступним через мережу. Наприклад, таким маршруток може бути /tmp/share.

Існує кілька способів опису клієнтів у файлі /etc/export.

- Один комп'ютер можна визначити, вказавши його IP-адресу або DNS-ім'я. Наприклад, один комп'ютер може бути визначений так 172.25.3.5 або ws-403-03.fizmat.tnpu.edu.ua.

- Групу комп'ютерів можна визначити, вказавши їх маску підмережі, наприклад 172.25.3.0/24.

- Групу комп'ютерів можна визначити, вказавши їх DNS-імена, поєднанні з відомими символами * (зірочка) та ? (знак питання). Проте потрібно врахувати, що зазначені символи не позначають крапку, яка традиційно присутня в DNS-іменах. Наприклад, запис *.fizmat.tnpu.edu.ua не передбачатиме отриманні доступу комп'ютера з DNS-іменем ws-403-05.lab403.fizmat.tnpu.edu.ua: З точки зору безпеки системи доцільно використовувати для ідентифікації комп'ютерів IP-адреси, а не DNS-імена.

Для кожного клієнта або їх групи можна задати окремий набір опцій. Ці опції містяться в дужках і вказуються після ідентифікатора клієнта. Опції відділяють одна від одної комами. Наведемо найбільш важливі з них:

- sync або async – задають відповідно синхронний і асинхронний ре­жими виконання операцій. У процесі запису в асинхронному режи­мі сервер може повідомити клієнта про те, що операція завершена, у той час як запис на диск ще триває. Це прискорює процес обміну даними, але створює загрозу їхній цілісності. За замовчуванням у сучасних серверах NFS передбачено асинхронний режим;

- wdelay та no_wdelay – відтермінування сервером процедури запису. В багатьох випадках такий підхід дозволяє збільшити продуктивність сервера;

- secure – вимагає, щоб запити до сервера надходили з портів привілейованого діапазону (1-1023). Протилежною за значениям є опція insecure.

Інші опції дають змогу управляти доступом до розподілених ресурсів. NFS-сервер не може перевірити ім'я користувача й пароль, як це відбувається, наприклад, у системі Microsoft Windows. NFS-клієнт працює, як правило, від імені nobody або nfsnobody. Тому для такого клієнта, що заслуговує довіри, рішення про надання доступу при­ймається на підставі відомостей про належність файла власникові й відповідних його прав.

Опціями, які управляють доступом у файлі /etc/exports, є:

- ro та rw. Опція ro визначає доступ тільки для читання вмісту експортованого каталогу, а опція rw надає також можливість записувати дані в цей каталог;

- hide та nohide. Наприклад, нехай у файловій системі сер­вера NFS каталог /usr розміщений на одному розділі, а каталог /usr/local – в іншому. Опція nohide визначає необ­хідність надання доступу й до дочірнього каталогу, що міститься на іншому розділі диска (у прикладі таким каталогом є /usr/local);

- noaccess. Опція забороняє доступ до каталогу, навіть якщо він є підкаталогом експортованого каталогу. Наприклад, потрібно надати доступ до піддерева каталогів /home, за винятком каталогу /home/webmaster. Для цього потрібно створити у файлі /etc/exports ) типовий запис для каталогу /home й окремий запис для каталогу /home/webmaster, вказавши в ньому опцію noaccess;

- root_squash і no_root_squash. За замовчуванням сервер NFS відкидає запити, які надходять від імені облікового запису, користувача root, зареєстрованого в системі клієнта NFS. Такі запити, з точки зору безпеки, інтерпретуються як спроби доступу локального анонімного користувача (nobody або nfsnobody). Якщо потрібно виконувати адміністрування сервера з віддаленого вузла, то для того, щоб мати можливість працювати із правами локального користувача root, потрібно задати опцію no_root_squash. Подібна ситуація може трапитися, наприклад при створенні резервних копій файлової системи;

- anonuid і anongid. Опції дають змогу перевизначити ідентифікатори користувача (UID) та групи (GID), від імені яких будуть виконуватися операції на сервері NFS. За замовчуванням такими ідентифікаторами є ідентифікатори облікового запису nobody (nfsnobody).

Після кожної зміни файла /etc/exports потрібно виконувати перезапуск сервера NFS за допомогою команди /etc/init.d/nfs restart або service nfs restart.

Для монтування розподілених каталогів використовують команду mount, яка має такий формат:

mount -t nfs<cepвep:мapшрут_дo_кamaлoгy> <каталог_клієнта>

Опція -t визначає тип файлової системи – NFS. Маршрут до спільного каталогу повинен бути повним (починатися із символу «/»).

Для того щоб експортований каталог був постійно доступний, потрібно створити запис у файлі /etc/fstab.

Контрольні запитання

1.Як Ви розумієте термін розподілений ресурс?

2.Як створити розподілений ресурс за допомогою сервера NFS?

3.Який формат має запис файла /etc/exports?

4.Перелічіть параметри, які потрібно вказати при створенні спіль ного каталогу.

5.Які Вам відомі правила доступу до спільної папки?

6.Як співвідносяться правила доступу сервера NFS і правила доступу до файлової системи Ext3?

6.4. Віддалене адміністрування сервера за допомогою сервера терміналів OpenSSH

Для функціонування сервера терміналів у ОС типу UNIX реалі­зовано протокол SSH (Secure Shell – захищена оболонка). SSH вико­ристовує криптографію з'єднання між двома машинами, а також для ідентифікації користувачів. Протокол SSH можна використовувати для безпечної реєстрації в системі віддаленого сервера, а також для копіювання даних між двома комп'ютерами.

Сервером SSH у системах типу Unix є демон sshd, а клієнтом – про­грама ssh, яка поширюється як для ОС Linux, так і для ОС Windows.

Файл конфігурації сервера sshd називають /etc/ssh/sshd_config. Рядки файла sshd_config, які починаються з символа «#», є коментарями.

Основними параметрами сервера sshd є:

- allowedadress <ІР-адреса_1> [<ІР-адреса_2>] [<IP-adpeca_N>]– перелік IP-адрес, з яких дозволено з'єднання з сервером;

- KeyRegenerationlnterval lh – час (у годинах), протягом якого змінюються ключі шифрування;

- PermitRootLogin по – заборона користувачеві реєструватися з ви­користанням облікового запису root; для адміністрування системи потрібно після реєстрації в системі виконати команду su root;

- LogLevel INFO – режим ведення системного журналу;

- PasswordAuthentication yes – обов'язкова автентифікація з ви­користанням паролів;

- PermicEmptyPasswords по – заборона застосування порожніх паролів;

- LoginGraceTime 2т – час (у хвилинах) для введення пароля;

- RSAAuthentication yes – використання методу шифрування з відкритим ключем;

- X11 Forwarding yes – дозвіл на роботу з графічним інтерфейсом ОС Linux.

Після кожної зміни файла /etc/ssh/sshd_config потрібно виконувати перезапуск сервера sshd за допомогою команди /etc/init.d/sshd restart вбо service sshd restart.

Для приєднання до сервера терміналів sshd використовують ко­манду ssh, формат якої такий: ssh [-опції] <логін>@<сервер>

Контрольні запитання

1. Які параметри сервера терміналів Ви знаєте?

2. З якою метою забороняють вхід на сервер терміналів для корис­тувача root?

3. Де можна переглянути системний журнал сервера sshd?

Поиск по сайту: