• Категории
  • Подписка
  • Разместить статью
20/12/09 3 1854 Учетные записи пользователей    
-

Пароли учетных записей

passw_uch_zap_securos.org.uaНикогда не допускайте наличие учетных записей без пароля. Если есть хотя бы одна такая запись, взлом системы будет лишь вопросом времени. Когда нужно предоставить кому-то гостевой доступ в систему, создайте учетную запись с ограниченным сроком дей­ствия и назначьте ей пароль. Предоставьте в распоряжение пользователя интерпретатор команд с ограниченными возможностями и задайте с помощью команды chage конечный срок действия пароля.

В Linux есть целый ряд учетных записей, которые заблокированы, т.е. они не имеют корректного пароля и, следовательно, не допускают регистрацию в системе. Ниже приведено несколько записей из файла паролей (файл /etc/shadow не используется). Обратите внимание на записи, у которых в поле пароля стоит звездочка. Через эти учетные записи может зарегистрироваться только суперпользователь с помощью команды su (или sudo). Каждая строка файла представляет собой отдельную запись. Запись — это группа полей, разделенных двоеточиями. Назначение полей таково (в порядке слева направо): имя пользователя, хешированный пароль, идентификатор пользователя (UID), идентификатор группы (GID), комментарий, начальный каталог и интерпретатор команд. Фрагмент файла /etc/passwd:


root:otlYOTgV5e.Bk:0:0:root:/root:/bin/bash

bin:*:l:l:bin:/bin:

daemon:*:2:2:daemon:/sbin:

adm:*:3:4:adm:/var/adm:

lp:*:4:7:lp:/var/spool/lpd:

sync:*:5:0:sync:/sbin:/bin/sync

shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown

halt:*:7:0:halt:/sbin:/sbin/halt

mаrу:.Q17yU3a8bNrK:103:103:Mary Smith:/home/ mаrу:/bin/bash

Учетные записи, не имеющие корректного пароля (символ * во втором поле), су­ществуют для того, чтобы некоторые программы могли выполняться со специальными идентификаторами пользователя (UID). Зарегистрироваться в системе от имени такого пользователя нельзя.

Заблокированные учетные записи имеют еще одно применение. Если пользователь по­кидает организацию, но по каким-то причинам необходимо на время сохранить его среду, заблокируйте его учетную запись. Суперпользователь всегда сможет получить к ней до­ступ при необходимости.

Чтобы запретить доступ к заблокированной учетной записи, недостаточно применить описанный выше прием с паролем. Нужно также удалить файлы .rhosts, .netrc и .forward из начального каталога пользователя и задать в файле /etc/passwd фик­тивный интерпретатор команд, например /dev/null или /bin/false. Последний яв­ляется сценарием, выполняющим команду exit. Таким образом, даже если злоумыш­ленник сможет зарегистрироваться в системе через заблокированную учетную запись, он будет немедленно выведен из системы.

PS: Чем мне нравиться Белорусская мебель (см. www.belmebru.ru)? Тем, что она сделана из натурального сырья!..


3 комментария на «“Пароли учетных записей”»

  1. Познавательная статья. Кое-что новое узнал для себя. Автору респект и уважуха :)

  2. Премного благодарен, что просветили. Никогда бы не подумал :)

  3. Олег:

    Спасибо! На самом деле у нас как раз был случай, когда сотрудника уволили, но его учетная запись была очень нужна еще долгое время. Он работал в области продаж, общался с клиентами и вел базу. Мы знали, что удалив учетную запись, мы потеряем очень много потенциальных клиентов, тогда не знали, что делать, к сожалению, удалили, пришлось.

Добавить комментарий

Яндекс.Метрика