Bài giảng Quản trị Linux: Quản trị người dùng. Nội dung chính trong chương này giới về hệ thống người dùng trên Linux và các lệnh quản trị người dùng. Mời các bạn cùng tham khảo để biết thêm các nội dung chi tiết.
Đặng Thanh Bình Quản trị người dùng Nội dung • Giới thiệu hệ thống người dùng Linux • Các lệnh quản trị người dùng NGƯỜI DÙNG Người dùng Linux • Linux cung cấp loại người dùng: – Super user, gọi Root user – System user – Normal user – Network user – Pseudo user Root user • User ID (UID) = • Là người dùng tối cao có quyền tuyệt đối máy tính cài Linux • ID user đổi can thiệp vào file cấu hình • Thường sử dụng cho mục đích quản trị • Root user Ubuntu thường mặc định trạng thái ‘lock’ Người dùng khuyến khích làm công việc cần quyền root cách dùng lệnh sudo System user • Được tạo mặc định OS • UID mặc định từ – 499 – Đây range mặc định, Linux hỗ trợ nhiều số 500 system user • Tương tự normal user có thêm số quyền quyền truy cập vào số chương trình mà người dùng thông thường không phép truy cập Normal user • UID mặc định từ >500 đến 6000 • Các tài khoản user thuộc loại thường sử dụng quản trị viên để – Kiểm tra hoạt động mạng – Kết nối đến dịch vụ mạng, vd MySQL, NNTP, … Pseudo user • Là người dung root • Được sử dụng user cần phân quyền root • Chỉ root có quyền cung cấp quyền truy cập đến loại tài khoản cho user khác Các lệnh • Kiểm tra xem – whoami – id – id • Chuyển người dùng: – su – su - 10 Thêm người dùng • useradd – useradd [options] USERNAME – -c: comment thông tin user – -d: directory cá nhân user – -g group • adduser – Cú pháp tương tự useradd – Thường khai báo username, thông tin khác hệ thống hỏi sau – Một lệnh thú vị Ubuntu/Debian 17 Xóa người dùng • userdel [tham số] – Xóa user giữ lại thông tin người dùng, bao gồm group, thư mục người dùng, mail dir • sudo userdel – Xóa hết thơng tin người dùng hệ thống • sudo userdel –r • sudo deluser 18 Sửa thông tin người dùng • usermod [options] – Chỉ super user thực thi lệnh – Các option bản: • -c = We can add comment field for the useraccount • -d = To modify the directory for any existing user account • -e = Using this option we can make the account expiry in specific period • -g = Change the primary group for a User • -G = To add a supplementary groups • -a = To add anyone of the group to a secondary group • -l = To change the login name from tecmint to tecmint_admin • -L = To lock the user account This will lock the password so we can’t use the account 19 Sửa thơng tin người dùng • usermod [options] – Chỉ super user thực thi lệnh – Các option bản: • -m = moving the contents of the home directory from existing home dir to new dir • -p = To Use un-encrypted password for the new password (NOT Secured) • -s = Create a Specified shell for new accounts • -u = Used to Assigned UID for the user account between to 999 • -U = To unlock the user accounts This will remove the password lock and allow us to use the user account 20 Sửa thơng tin người dùng • usermod [options] – Các file sau bị ảnh hưởng • • • • /etc/passwd – User account information /etc/shadow – Secure account information /etc/group – Group account information /etc/gshadow – Secure group account information • /etc/login.defs – Shadow password suite configuration 21 User Profile Security • Kiểm tra phân quyền thư mục home user – ls -ld /home/username – Dùng lệnh chmod để chỉnh lại phân quyền 22 Password Policy • Chiều dài tối thiểu – Lưu file /etc/pam.d/common-password – password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=8 • Thời điểm hết hiệu lực – Xem thông tin: sudo chage -l username – Thiết lập: sudo chage username • • • • • sudo chage -E 01/31/2011 -m -M 90 -I 30 -W 14 username Ngày hết hạn: explicit expiration date (-E) Số ngày tồn tối thiểu: minimum password age (-m) Số ngày tồn tối đa: maximum password age (-M) Số ngày không hoạt động sau mật hết hiệu lực: inactivity period (-I) • Thời gian cảnh báo trước lúc hết hạn: warning time period (-W) 23 Các vấn đề bảo mật khác • Truy cập SSH tài khoản bị vơ hiệu – Việc khóa/vơ hiệu hóa tài khoản khơng ngăn người dùng dùng tài khoản để truy cập thông qua SSH họ thiết lập RSA public key authentication – Họ truy cập SSH vào server mà không cần mật – Kiểm tra xem có tồn thiết lập khơng cách xem thư mục /home/username/.ssh/authorized_keys 24 Các vấn đề bảo mật khác • Truy cập SSH tài khoản bị vô hiệu – Cách xử lý: • Đổi tên thư mục ssh • Kiểm tra xem người dung có kết nối SSH khơng, có ==> kill kết nối – who |grep username (to get the pts/# terminal) – sudo pkill -f pts/# • Giới hạn quyền truy cập SSH cho nhóm người dùng cụ thể – Mở file /etc/ssh/sshd_config – Thiết lập biến: AllowGroups sshlogin – Thêm người dung vào nhóm sshlogin khởi động lại dịch vụ » sudo adduser username sshlogin » sudo service ssh restart 25 Quản lý group • Thêm nhóm – sudo addgroup groupname • Xóa nhóm – sudo delgroup groupname • Thêm người dùng vào nhóm – sudo adduser username groupname 26 Các file liên quan • Mỗi tạo nhóm, file sau cập nhật – /etc/passwd – chứa thông tin user – /etc/shadow – chứa mật user dạng mã hóa – /etc/group – chứa thơng tin nhóm – /etc/gshadow – chứa mật group có 27 Các file liên quan • File /etc/passwd GID Password Home directory Description Username Shell UID Shell 28 Các file liên quan • File /etc/shadow Ngày user bị warn không thay đối pass Password Username Ngày trước phải thay đổi password Lần thay đổi password cuối Ngày sau phải thay đổi password 29 Các file liên quan • File /etc/group Groupmember Grouppassword Groupname GID 30 Q&A 31 ...Nội dung • Giới thiệu hệ thống người dùng Linux • Các lệnh quản trị người dùng NGƯỜI DÙNG Người dùng Linux • Linux cung cấp loại người dùng: – Super user, gọi Root user – System user... đổi phân quyền tập tin 13 Quản lý user GUI • Cài đặt cơng cụ quản trị user group (gnome-system-tools) • Hoặc dùng command line sudo apt-get install gnome-system-tools 14 Quản lý user GUI • Tìm kiếm... Xóa người dùng • userdel [tham số] – Xóa user giữ lại thơng tin người dùng, bao gồm group, thư mục người dùng, mail dir • sudo userdel – Xóa hết thơng tin người dùng