Пароли учетных записей
Никогда не допускайте наличие учетных записей без пароля. Если есть хотя бы одна такая запись, взлом системы будет лишь вопросом времени. Когда нужно предоставить кому-то гостевой доступ в систему, создайте учетную запись с ограниченным сроком действия и назначьте ей пароль. Предоставьте в распоряжение пользователя интерпретатор команд с ограниченными возможностями и задайте с помощью команды chage конечный срок действия пароля.
В Linux есть целый ряд учетных записей, которые заблокированы, т.е. они не имеют корректного пароля и, следовательно, не допускают регистрацию в системе. Ниже приведено несколько записей из файла паролей (файл /etc/shadow не используется). Обратите внимание на записи, у которых в поле пароля стоит звездочка. Через эти учетные записи может зарегистрироваться только суперпользователь с помощью команды su (или sudo). Каждая строка файла представляет собой отдельную запись. Запись — это группа полей, разделенных двоеточиями. Назначение полей таково (в порядке слева направо): имя пользователя, хешированный пароль, идентификатор пользователя (UID), идентификатор группы (GID), комментарий, начальный каталог и интерпретатор команд. Фрагмент файла /etc/passwd:
root:otlYOTgV5e.Bk:0:0:root:/root:/bin/bash bin:*:l:l:bin:/bin: daemon:*:2:2:daemon:/sbin: adm:*:3:4:adm:/var/adm: lp:*:4:7:lp:/var/spool/lpd: sync:*:5:0:sync:/sbin:/bin/sync shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown halt:*:7:0:halt:/sbin:/sbin/halt mаrу:.Q17yU3a8bNrK:103:103:Mary Smith:/home/ mаrу:/bin/bash
Учетные записи, не имеющие корректного пароля (символ * во втором поле), существуют для того, чтобы некоторые программы могли выполняться со специальными идентификаторами пользователя (UID). Зарегистрироваться в системе от имени такого пользователя нельзя.
Заблокированные учетные записи имеют еще одно применение. Если пользователь покидает организацию, но по каким-то причинам необходимо на время сохранить его среду, заблокируйте его учетную запись. Суперпользователь всегда сможет получить к ней доступ при необходимости.
Чтобы запретить доступ к заблокированной учетной записи, недостаточно применить описанный выше прием с паролем. Нужно также удалить файлы .rhosts, .netrc и .forward из начального каталога пользователя и задать в файле /etc/passwd фиктивный интерпретатор команд, например /dev/null или /bin/false. Последний является сценарием, выполняющим команду exit. Таким образом, даже если злоумышленник сможет зарегистрироваться в системе через заблокированную учетную запись, он будет немедленно выведен из системы.
PS: Чем мне нравиться Белорусская мебель (см. www.belmebru.ru)? Тем, что она сделана из натурального сырья!..
Твитнуть
Познавательная статья. Кое-что новое узнал для себя. Автору респект и уважуха
Премного благодарен, что просветили. Никогда бы не подумал
Спасибо! На самом деле у нас как раз был случай, когда сотрудника уволили, но его учетная запись была очень нужна еще долгое время. Он работал в области продаж, общался с клиентами и вел базу. Мы знали, что удалив учетную запись, мы потеряем очень много потенциальных клиентов, тогда не знали, что делать, к сожалению, удалили, пришлось.