ການຄຸ້ມຄອງຜູ້ໃຊ້ແລະກຸ່ມ, ການອະນຸຍາດເອກະສານແລະຄຸນລັກສະນະແລະການເປີດໃຊ້ງານ sudo ໃນບັນຊີ - ສ່ວນທີ 8

ໃນເດືອນສິງຫາທີ່ຜ່ານມາ, ມູນນິທິ Linux ໄດ້ເລີ່ມຕົ້ນການຢັ້ງຢືນ LFCS (Linux Foundation Certified Sysadmin), ເຊິ່ງເປັນໂຄງການ ໃໝ່ ທີ່ມີຈຸດປະສົງເພື່ອໃຫ້ບຸກຄົນທົ່ວທຸກແຫ່ງແລະທຸກແຫ່ງຫົນເຂົ້າສອບເສັງເພື່ອໃຫ້ໄດ້ຮັບການຢັ້ງຢືນໃນຂັ້ນພື້ນຖານເພື່ອສະ ໜັບ ສະ ໜູນ ການປະຕິບັດງານ ສຳ ລັບລະບົບ Linux ເຊິ່ງປະກອບມີ ສະ ໜັບ ສະ ໜູນ ລະບົບແລະການບໍລິການທີ່ແລ່ນພ້ອມກັບການຕິດຕາມແລະວິເຄາະໂດຍລວມ, ບວກກັບການຕັດສິນໃຈທີ່ສະຫຼາດເພື່ອໃຫ້ສາມາດຕັດສິນໃຈໄດ້ໃນເວລາທີ່ ຈຳ ເປັນຕ້ອງຍົກບັນຫາໃຫ້ກັບທີມງານສະ ໜັບ ສະ ໜູນ ລະດັບສູງ.

ກະລຸນາເບິ່ງວິດີໂອຕໍ່ໄປນີ້ທີ່ອະທິບາຍກ່ຽວກັບການແນະ ນຳ ກ່ຽວກັບໂປແກຼມການຢັ້ງຢືນມູນນິທິ Linux.

ບົດຂຽນນີ້ແມ່ນພາກທີ 8 ຂອງປື້ມແບບຮຽນຍາວ 10-tutorial, ໃນນີ້ພາກນີ້, ພວກເຮົາຈະແນະ ນຳ ທ່ານກ່ຽວກັບວິທີການຈັດການຜູ້ ນຳ ໃຊ້ແລະກຸ່ມສິດໃນລະບົບ Linux, ເຊິ່ງ ຈຳ ເປັນ ສຳ ລັບການສອບເສັງຢັ້ງຢືນ LFCS.

ເນື່ອງຈາກ Linux ແມ່ນລະບົບປະຕິບັດການທີ່ມີຜູ້ ນຳ ໃຊ້ຫຼາຍຄົນ (ໃນນັ້ນມັນອະນຸຍາດໃຫ້ຜູ້ໃຊ້ຫລາຍໆຄົນໃນຄອມພິວເຕີ້ຫລືສະຖານີຕ່າງໆເຂົ້າເຖິງລະບົບດຽວ), ທ່ານ ຈຳ ເປັນຕ້ອງຮູ້ວິທີການປະຕິບັດການຄຸ້ມຄອງຜູ້ໃຊ້ທີ່ມີປະສິດທິພາບຄື: ວິທີເພີ່ມ, ແກ້ໄຂ, ໂຈະຫຼືລົບ ບັນຊີຜູ້ໃຊ້ພ້ອມກັບການໃຫ້ສິດທີ່ ຈຳ ເປັນໃນການເຮັດວຽກທີ່ໄດ້ຮັບມອບ ໝາຍ.

ເພີ່ມບັນຊີຜູ້ໃຊ້

ເພື່ອເພີ່ມບັນຊີຜູ້ໃຊ້ ໃໝ່, ທ່ານສາມາດໃຊ້ສອງ ຄຳ ສັ່ງຕໍ່ໄປນີ້ເປັນຮາກ.

# adduser [new_account]
# useradd [new_account]

ເມື່ອບັນຊີຜູ້ໃຊ້ໃຫມ່ຖືກເພີ່ມເຂົ້າໃນລະບົບ, ການປະຕິບັດງານຕໍ່ໄປນີ້ຈະຖືກປະຕິບັດ.

1. ໄດເລກະທໍລີຢູ່ເຮືອນຂອງລາວຖືກສ້າງຂື້ນ (/ເຮືອນ/ຊື່ຜູ້ໃຊ້ ໂດຍຄ່າເລີ່ມຕົ້ນ).

2. ເອກະສານທີ່ເຊື່ອງໄວ້ຕໍ່ໄປນີ້ຈະຖືກຄັດລອກໄປທີ່ໄດເລກະທໍລີເຮືອນຂອງຜູ້ໃຊ້, ແລະຈະຖືກ ນຳ ໃຊ້ເພື່ອສະ ໜອງ ຕົວແປສະພາບແວດລ້ອມ ສຳ ລັບກອງປະຊຸມຜູ້ໃຊ້ຂອງລາວ.

.bash_logout
.bash_profile
.bashrc

3. ອີເມວ spool ຖືກສ້າງຂື້ນ ສຳ ລັບຜູ້ໃຊ້ທີ່/var/spool/mail/ ຊື່ຜູ້ໃຊ້ .

4. ກຸ່ມຖືກສ້າງຂື້ນແລະຕັ້ງຊື່ດຽວກັບບັນຊີຜູ້ໃຊ້ ໃໝ່.

ຂໍ້ມູນບັນຊີເຕັມຮູບແບບແມ່ນເກັບໄວ້ໃນແຟ້ມ /etc/passwd . ເອກະສານນີ້ມີບັນທຶກຕໍ່ບັນຊີຜູ້ໃຊ້ລະບົບແລະມີຮູບແບບຕໍ່ໄປນີ້ (ບັນດາເຂດຂໍ້ມູນຖືກ ກຳ ນົດໂດຍຈໍ້າສອງເມັດ).

[username]:[x]:[UID]:[GID]:[Comment]:[Home directory]:[Default shell]

<

ຂໍ້ມູນຂອງກຸ່ມແມ່ນເກັບໄວ້ໃນແຟ້ມ /etc/group . ແຕ່ລະບັນທຶກມີຮູບແບບຕໍ່ໄປນີ້.

[Group name]:[Group password]:[GID]:[Group members]

<

ຫຼັງຈາກເພີ່ມບັນຊີ, ທ່ານສາມາດແກ້ໄຂຂໍ້ມູນຕໍ່ໄປນີ້ (ເພື່ອຕັ້ງຊື່ສອງສາມຊ່ອງ) ໂດຍໃຊ້ ຄຳ ສັ່ງ usermod , ເຊິ່ງ syntax ພື້ນຖານຂອງ usermod ແມ່ນດັ່ງຕໍ່ໄປນີ້.

# usermod [options] [username]

ໃຊ້ເຄື່ອງ ໝາຍ p ເລັ່ງລັດ ຕິດຕາມດ້ວຍວັນທີໃນຮູບແບບ YYYY-MM-DD .

# usermod --expiredate 2014-10-30 tecmint

ໃຊ້ທາງເລືອກ -aG ທີ່ຢູ່ລວມກັນ, ຫຼື ໃຊ້ຈ່າຍ ກຸ່ມ , ຕິດຕາມດ້ວຍບັນຊີລາຍຊື່ກຸ່ມທີ່ແຍກດ້ວຍຈຸດ.

# usermod --append --groups root,users tecmint

ໃຊ້ຕົວເລືອກ -d , ຫຼື home , ຕິດຕາມດ້ວຍເສັ້ນທາງຢ່າງແທ້ຈິງທີ່ຈະໄປທີ່ໄດເລກະທໍລີບ້ານ ໃໝ່.

# usermod --home /tmp tecmint

ໃຊ້ shell , ຕາມດ້ວຍເສັ້ນທາງໄປຫາຫອຍ ໃໝ່.

# usermod --shell /bin/sh tecmint

# groups tecmint
# id tecmint

ດຽວນີ້ໃຫ້ປະຕິບັດ ຄຳ ສັ່ງທັງ ໝົດ ຂ້າງເທິງນີ້ດຽວ.

# usermod --expiredate 2014-10-30 --append --groups root,users --home /tmp --shell /bin/sh tecmint

ໃນຕົວຢ່າງຂ້າງເທິງ, ພວກເຮົາຈະ ກຳ ນົດວັນ ໝົດ ອາຍຸຂອງບັນຊີຜູ້ໃຊ້ tecmint ຮອດວັນທີ 30 ເດືອນຕຸລາປີ 2014. ພວກເຮົາຍັງຈະເພີ່ມບັນຊີເຂົ້າໃນຮາກແລະກຸ່ມຜູ້ໃຊ້ ນຳ ອີກ. ສຸດທ້າຍນີ້, ພວກເຮົາຈະຕັ້ງ sh ເປັນຫອຍເລີ່ມຕົ້ນຂອງມັນແລະປ່ຽນທີ່ຕັ້ງຂອງໄດເລກະທໍລີໂຮມຢູ່ໃນ/tmp:

ອ່ານຍັງ :

<

ສຳ ລັບບັນຊີທີ່ມີຢູ່, ພວກເຮົາຍັງສາມາດເຮັດສິ່ງຕໍ່ໄປນີ້.

ໃຊ້ຕົວ -L (ທີ່ໃຫຍ່ຂື້ນ L) ຫຼືທາງເລືອກ –lock ເພື່ອລັອກລະຫັດລັບຂອງຜູ້ໃຊ້.

# usermod --lock tecmint

ໃຊ້ຕົວເລືອກ u ຫຼືຕົວເລືອກ unlock ເພື່ອປົດລັອກລະຫັດລັບຂອງຜູ້ໃຊ້ທີ່ຖືກສະກັດກ່ອນ ໜ້າ ນີ້.

# usermod --unlock tecmint

ດໍາເນີນການຊຸດຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອບັນລຸເປົ້າຫມາຍ.

# groupadd common_group # Add a new group
# chown :common_group common.txt # Change the group owner of common.txt to common_group
# usermod -aG common_group user1 # Add user1 to common_group
# usermod -aG common_group user2 # Add user2 to common_group
# usermod -aG common_group user3 # Add user3 to common_group

ທ່ານສາມາດລຶບກຸ່ມດ້ວຍ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# groupdel [group_name]

ຖ້າມີໄຟລ໌ທີ່ເປັນເຈົ້າຂອງໂດຍ ກຸ່ມ_name , ພວກມັນຈະບໍ່ຖືກລຶບອອກ, ແຕ່ເຈົ້າຂອງກຸ່ມຈະຖືກຕັ້ງໃຫ້ GID ຂອງກຸ່ມທີ່ຖືກລຶບອອກ.

ການອະນຸຍາດເອກະສານ Linux

ນອກ ເໜືອ ຈາກການອ່ານ, ຂຽນແລະການອະນຸຍາດຂັ້ນພື້ນຖານທີ່ພວກເຮົາໄດ້ສົນທະນາໃນເຄື່ອງມືຈັດເກັບແລະການ ກຳ ນົດຄຸນລັກສະນະເອກະສານ - ພາກທີ 3 ຂອງຊຸດນີ້, ຍັງມີການຕັ້ງຄ່າການອະນຸຍາດທີ່ໃຊ້ (ແຕ່ບໍ່ ສຳ ຄັນ), ບາງຄັ້ງກໍ່ເອີ້ນວ່າ“ ພິເສດ ສິດອະນຸຍາດ ”.

ເຊັ່ນດຽວກັນກັບສິດອະນຸຍາດຂັ້ນພື້ນຖານທີ່ໄດ້ກ່າວມາກ່ອນ ໜ້າ ນີ້, ພວກເຂົາຖືກ ກຳ ນົດໂດຍໃຊ້ເອກະສານ octal ຫຼືຜ່ານຈົດ ໝາຍ (ສັນຍາລັກທີ່ເປັນສັນຍາລັກ) ເຊິ່ງສະແດງເຖິງປະເພດການອະນຸຍາດ.

ທ່ານສາມາດລຶບບັນຊີ (ພ້ອມກັບບັນດາໄດເລກະທໍລີຢູ່ເຮືອນ, ຖ້າມັນເປັນເຈົ້າຂອງໂດຍຜູ້ໃຊ້ແລະເອກະສານທັງ ໝົດ ທີ່ຢູ່ໃນນັ້ນ, ແລະຍັງມີແຟ້ມຈົດ ໝາຍ) ໂດຍໃຊ້ ຄຳ ສັ່ງ userdel ດ້ວຍ ຄຳ ສັ່ງ –remove ທາງເລືອກ.

# userdel --remove [username]

ທຸກໆຄັ້ງທີ່ມີບັນຊີຜູ້ໃຊ້ ໃໝ່ ເຂົ້າໃນລະບົບ, ກຸ່ມທີ່ມີຊື່ດຽວກັນກໍ່ຖືກສ້າງຂື້ນດ້ວຍຊື່ຜູ້ໃຊ້ເປັນສະມາຊິກຄົນດຽວ. ຜູ້ໃຊ້ອື່ນໆສາມາດຖືກເພີ່ມເຂົ້າໃນກຸ່ມພາຍຫຼັງ. ໜຶ່ງ ໃນຈຸດປະສົງຂອງກຸ່ມແມ່ນການຈັດຕັ້ງປະຕິບັດການຄວບຄຸມການເຂົ້າເຖິງງ່າຍໆກັບເອກະສານແລະຊັບພະຍາກອນລະບົບອື່ນໆໂດຍ ກຳ ນົດສິດທີ່ຖືກຕ້ອງໃນຊັບພະຍາກອນເຫຼົ່ານັ້ນ.

ຕົວຢ່າງ, ສົມມຸດວ່າທ່ານມີຜູ້ໃຊ້ຕໍ່ໄປນີ້.

<

ພວກເຂົາທັງ ໝົດ ຕ້ອງການການເຂົ້າເຖິງ ອ່ານ ແລະ ຂຽນ ການເຂົ້າເຖິງໄຟລ໌ທີ່ເອີ້ນວ່າ common.txt ທີ່ຕັ້ງຢູ່ບ່ອນໃດ ໜຶ່ງ ໃນລະບົບທ້ອງຖິ່ນຂອງທ່ານ, ຫຼືບາງທີໃນເຄືອຂ່າຍສ່ວນແບ່ງທີ່ user1 ໄດ້ສ້າງຂື້ນແລ້ວ. ທ່ານອາດຈະຖືກລໍ້ລວງໃຫ້ເຮັດບາງຢ່າງເຊັ່ນ,

# chmod 660 common.txt
OR
# chmod u=rw,g=rw,o= common.txt [notice the space between the last equal sign and the file name]

ເຖິງຢ່າງໃດກໍ່ຕາມ, ສິ່ງນີ້ຈະໃຫ້ການເຂົ້າເຖິງ ອ່ານ ແລະ ຂຽນ ໃຫ້ເຈົ້າຂອງແຟ້ມແລະຜູ້ທີ່ເປັນສະມາຊິກຂອງກຸ່ມເຈົ້າຂອງເອກະສານ ( ຜູ້ໃຊ້ 1 ໃນກໍລະນີນີ້). ອີກເທື່ອ ໜຶ່ງ, ທ່ານອາດຈະຖືກລໍ້ລວງໃຫ້ເພີ່ມ user2 ແລະ user3 ເຂົ້າໄປໃນກຸ່ມ user1 , ແຕ່ວ່າມັນຍັງຈະຊ່ວຍໃຫ້ພວກເຂົາເຂົ້າເຖິງເອກະສານທີ່ເຫລືອຢູ່. ໂດຍຜູ້ໃຊ້ user1 ແລະກຸ່ມ user1 .

ນີ້ແມ່ນບ່ອນທີ່ກຸ່ມຕ່າງໆເຂົ້າໃຈງ່າຍແລະນີ້ແມ່ນສິ່ງທີ່ທ່ານຄວນເຮັດໃນກໍລະນີແບບນີ້.

ເມື່ອການອະນຸຍາດ setuid ຖືກ ນຳ ໃຊ້ກັບເອກະສານທີ່ສາມາດປະຕິບັດໄດ້, ຜູ້ໃຊ້ທີ່ ກຳ ລັງແລ່ນໂປແກຼມນີ້ຈະສືບທອດສິດທິພິເສດຂອງເຈົ້າຂອງໂປແກມ. ເນື່ອງຈາກວິທີການນີ້ສາມາດເຮັດໃຫ້ຄວາມກັງວົນກ່ຽວກັບຄວາມປອດໄພສົມເຫດສົມຜົນ, ຈຳ ນວນເອກະສານທີ່ມີການອະນຸຍາດຕັ້ງກໍ່ຕ້ອງຖືກເກັບໄວ້ເປັນ ຈຳ ນວນ ໜ້ອຍ. ທ່ານອາດຈະພົບກັບໂປແກຼມທີ່ມີການ ກຳ ນົດສິດນີ້ເມື່ອຜູ້ໃຊ້ລະບົບຕ້ອງເຂົ້າຫາເອກະສານທີ່ເປັນເຈົ້າຂອງໂດຍຮາກ.

ການສະຫຼຸບ, ມັນບໍ່ພຽງແຕ່ວ່າຜູ້ໃຊ້ສາມາດປະຕິບັດເອກະສານຖານສອງເທົ່ານັ້ນ, ແຕ່ມັນຍັງສາມາດເຮັດໄດ້ດ້ວຍສິດທິພິເສດຂອງຮາກ. ຍົກຕົວຢ່າງ, ໃຫ້ກວດເບິ່ງສິດທິຂອງ /bin/passwd . ຖານຂໍ້ມູນນີ້ຖືກໃຊ້ເພື່ອປ່ຽນລະຫັດລັບຂອງບັນຊີ, ແລະດັດແປງເອກະສານ /etc/ເງົາ . superuser ສາມາດປ່ຽນລະຫັດຜ່ານຂອງໃຜຜູ້ ໜຶ່ງ, ແຕ່ວ່າຜູ້ໃຊ້ອື່ນໆຄວນຈະສາມາດປ່ຽນແປງຕົວເອງໄດ້.

ດັ່ງນັ້ນ, ຜູ້ໃຊ້ຄົນໃດຄວນມີສິດອະນຸຍາດໃຫ້ ດຳ ເນີນການ /bin/passwd , ແຕ່ວ່າພຽງແຕ່ຮາກເທົ່ານັ້ນທີ່ຈະສາມາດລະບຸບັນຊີ. ຜູ້ໃຊ້ອື່ນໆສາມາດປ່ຽນລະຫັດຜ່ານທີ່ສອດຄ້ອງກັນຂອງພວກເຂົາເທົ່ານັ້ນ.

ເມື່ອ setgid ຖືກຕັ້ງຄ່າ, GID ຂອງຜູ້ໃຊ້ຈິງຈະກາຍເປັນຂອງເຈົ້າຂອງກຸ່ມ. ດັ່ງນັ້ນ, ຜູ້ໃຊ້ຄົນໃດຄົນ ໜຶ່ງ ສາມາດເຂົ້າເບິ່ງເອກະສານພາຍໃຕ້ສິດທິພິເສດທີ່ມອບໃຫ້ເຈົ້າຂອງກຸ່ມຂອງເອກະສານດັ່ງກ່າວ. ນອກຈາກນັ້ນ, ເມື່ອ setgid bit ຖືກຕັ້ງຢູ່ໃນໄດເລກະທໍລີ, ໄຟລ໌ທີ່ສ້າງຂື້ນມາ ໃໝ່ ຈະສືບທອດກຸ່ມດຽວກັນກັບໄດເລກະທໍລີແລະໄດເລກະທໍລີຍ່ອຍທີ່ຖືກສ້າງຂື້ນມາ ໃໝ່ ກໍ່ຈະສືບທອດມໍລະດົກຂອງ setgid ຂອງໄດເລກະທໍລີພໍ່ແມ່. ທ່ານສ່ວນຫຼາຍຈະໃຊ້ວິທີການນີ້ທຸກຄັ້ງທີ່ສະມາຊິກຂອງກຸ່ມໃດ ໜຶ່ງ ຕ້ອງການການເຂົ້າເຖິງທຸກໆເອກະສານໃນໄດເລກະທໍລີ, ໂດຍບໍ່ສົນເລື່ອງກຸ່ມຄົນຕົ້ນຕໍຂອງເຈົ້າຂອງແຟ້ມ.

# chmod g+s [filename]

ເພື່ອ ກຳ ນົດ setgid ໃນຮູບແບບ octal, ເພີ່ມ ຈຳ ນວນ 2 ໃສ່ສິດອະນຸຍາດພື້ນຖານໃນປະຈຸບັນ (ຫຼືຕ້ອງການ).

# chmod 2755 [directory]

ເມື່ອ " ໜຽວ " ຕັ້ງຢູ່ໃນແຟ້ມ, Linux ພຽງແຕ່ຈະບໍ່ສົນໃຈມັນ, ໃນຂະນະທີ່ ສຳ ລັບລາຍຊື່ມັນມີຜົນໃນການປ້ອງກັນຜູ້ໃຊ້ຈາກການລຶບຫຼືແມ້ກະທັ້ງປ່ຽນຊື່ແຟ້ມທີ່ມັນມີເວັ້ນເສຍແຕ່ວ່າຜູ້ໃຊ້ເປັນເຈົ້າຂອງໄດເລກະທໍລີ, file, ຫຼືແມ່ນຮາກ.

# chmod o+t [directory]

ເພື່ອ ກຳ ນົດ ໜຽວ ໃນຮູບແບບ octal, ເພີ່ມ ຈຳ ນວນ 1 ໃສ່ສິດອະນຸຍາດພື້ນຖານໃນປະຈຸບັນ (ຫລືຕ້ອງການ).

# chmod 1755 [directory]

ຖ້າບໍ່ມີສ່ວນ ໜຽວ, ຜູ້ໃດທີ່ສາມາດຂຽນໄປທີ່ໄດເລກະທໍລີສາມາດລຶບຫລືປ່ຽນຊື່ໄຟລ໌. ດ້ວຍເຫດຜົນດັ່ງກ່າວ, ສ່ວນ ໜຽວ ແມ່ນພົບທົ່ວໄປໃນບັນດາໄດເລກະທໍລີເຊັ່ນ /tmp ທີ່ສາມາດຂຽນໄດ້ໃນໂລກ.

ຄຸນລັກສະນະເອກະສານ Linux ພິເສດ

ມີຄຸນລັກສະນະອື່ນໆທີ່ຊ່ວຍໃຫ້ຂໍ້ ຈຳ ກັດເພີ່ມເຕີມຕໍ່ກັບການ ດຳ ເນີນງານທີ່ອະນຸຍາດໃນແຟ້ມເອກະສານ. ຍົກຕົວຢ່າງ, ປ້ອງກັນບໍ່ໃຫ້ເອກະສານດັ່ງກ່າວຖືກປ່ຽນຊື່, ຍ້າຍ, ລຶບ, ຫຼືດັດແປງ. ພວກມັນຖືກຕັ້ງດ້ວຍ ຄຳ ສັ່ງ chattr ແລະສາມາດເບິ່ງໄດ້ໂດຍໃຊ້ເຄື່ອງມື lsattr, ດັ່ງຕໍ່ໄປນີ້.

# chattr +i file1
# chattr +a file2

ຫຼັງຈາກປະຕິບັດ ຄຳ ສັ່ງທັງສອງ ຄຳ ສັ່ງດັ່ງກ່າວແລ້ວ, file1 ຈະບໍ່ສາມາດປ່ຽນແປງໄດ້ (ໝາຍ ຄວາມວ່າມັນບໍ່ສາມາດຍ້າຍ, ປ່ຽນຊື່, ດັດແປງຫຼືລຶບ) ໃນຂະນະທີ່ file2 ຈະເຂົ້າໄປໃນຮູບແບບເພີ່ມເຕີມເທົ່ານັ້ນ (ພຽງແຕ່ສາມາດ ເປີດໃນຮູບແບບເພີ່ມເຕີມ ສຳ ລັບການຂຽນ).

ການເຂົ້າເຖິງບັນຊີຮາກແລະການໃຊ້ sudo

ໜຶ່ງ ໃນວິທີທີ່ຜູ້ໃຊ້ສາມາດເຂົ້າເຖິງບັນຊີຮາກແມ່ນໂດຍການພິມ.

$ su

ແລະຫຼັງຈາກນັ້ນໃສ່ລະຫັດຜ່ານຂອງຮາກ.

ຖ້າການກວດສອບໄດ້ຮັບຜົນ ສຳ ເລັດ, ທ່ານຈະເຂົ້າສູ່ລະບົບເປັນ ຮາກ ກັບໄດເລກະທໍລີເຮັດວຽກໃນປະຈຸບັນຄືກັນກັບທີ່ທ່ານເຄີຍເຮັດມາກ່ອນ. ຖ້າທ່ານຕ້ອງການທີ່ຈະຖືກຈັດໃສ່ໃນບັນທຶກເຮືອນຂອງ root ແທນທີ່ຈະ, ດໍາເນີນການ.

$ su -

ແລະຫຼັງຈາກນັ້ນໃສ່ລະຫັດຜ່ານຂອງຮາກ.

ຂັ້ນຕອນຂ້າງເທິງຮຽກຮ້ອງໃຫ້ຜູ້ໃຊ້ທົ່ວໄປຮູ້ລະຫັດຜ່ານຂອງຮາກ, ເຊິ່ງກໍ່ໃຫ້ເກີດຄວາມສ່ຽງດ້ານຄວາມປອດໄພທີ່ຮ້າຍແຮງ. ດ້ວຍເຫດຜົນນັ້ນ, sysadmin ສາມາດຕັ້ງຄ່າ ຄຳ ສັ່ງ sudo ເພື່ອໃຫ້ຜູ້ໃຊ້ທົ່ວໄປສາມາດປະຕິບັດ ຄຳ ສັ່ງທີ່ເປັນຜູ້ ນຳ ໃຊ້ທີ່ແຕກຕ່າງກັນ (ໂດຍປົກກະຕິແມ່ນ superuser) ໃນແບບທີ່ຄວບຄຸມແລະ ຈຳ ກັດ. ດັ່ງນັ້ນ, ຂໍ້ ຈຳ ກັດຕ່າງໆສາມາດຖືກ ກຳ ນົດໃຫ້ກັບຜູ້ໃຊ້ເພື່ອເຮັດໃຫ້ລາວສາມາດ ດຳ ເນີນການ ຄຳ ສັ່ງທີ່ມີສິດທິພິເສດ ໜຶ່ງ ຫລືຫຼາຍ ຕຳ ແໜ່ງ ແລະບໍ່ມີຂໍ້ອື່ນອີກ.

ອ່ານຍັງ : ຄວາມແຕກຕ່າງລະຫວ່າງ su ແລະ sudo User

ເພື່ອກວດສອບຄວາມຖືກຕ້ອງໂດຍໃຊ້ sudo , ຜູ້ໃຊ້ໃຊ້ລະຫັດຜ່ານຂອງຕົນເອງ. ຫຼັງຈາກເຂົ້າ ຄຳ ສັ່ງແລ້ວ, ພວກເຮົາຈະໄດ້ຮັບການກະຕຸ້ນລະຫັດລັບຂອງພວກເຮົາ (ບໍ່ແມ່ນຂອງ superuser's) ແລະຖ້າການກວດສອບທີ່ປະສົບຜົນ ສຳ ເລັດ (ແລະຖ້າຜູ້ໃຊ້ໄດ້ຮັບສິດທິພິເສດໃນການ ດຳ ເນີນການ ຄຳ ສັ່ງ), ຄຳ ສັ່ງທີ່ລະບຸໄດ້ຖືກປະຕິບັດ.

ເພື່ອອະນຸຍາດໃຫ້ເຂົ້າເຖິງ sudo, ຜູ້ຄຸ້ມຄອງລະບົບຕ້ອງດັດແກ້ເອກະສານ /etc/sudoers . ຂໍແນະ ນຳ ວ່າເອກະສານນີ້ຈະຖືກດັດແກ້ໂດຍໃຊ້ ຄຳ ສັ່ງ visudo ແທນທີ່ຈະເປີດມັນໂດຍກົງກັບບັນນາທິການຕົວ ໜັງ ສື.

# visudo

ນີ້ເປີດເອກະສານ /etc/sudoers ໂດຍໃຊ້ ຍ້ອນ (ທ່ານສາມາດເຮັດຕາມ ຄຳ ແນະ ນຳ ທີ່ໃຫ້ໄວ້ໃນການຕິດຕັ້ງແລະ ນຳ ໃຊ້ vim ເປັນບັນນາທິການ - ພາກທີ 2 ຂອງຊຸດນີ້ເພື່ອດັດແກ້ເອກະສານ).

ນີ້ແມ່ນບັນດາສາຍທີ່ກ່ຽວຂ້ອງທີ່ສຸດ.

Defaults    secure_path="/usr/sbin:/usr/bin:/sbin"
root        ALL=(ALL) ALL
tecmint     ALL=/bin/yum update
gacanepa    ALL=NOPASSWD:/bin/updatedb
%admin      ALL=(ALL) ALL

ລອງພິຈາລະນາເບິ່ງໃກ້ໆກັບພວກມັນ.

Defaults    secure_path="/usr/sbin:/usr/bin:/sbin:/usr/local/bin"

ເສັ້ນນີ້ຊ່ວຍໃຫ້ທ່ານສາມາດລະບຸໄດເລກະທໍລີທີ່ຈະຖືກໃຊ້ ສຳ ລັບ sudo , ແລະຖືກ ນຳ ໃຊ້ເພື່ອປ້ອງກັນການ ນຳ ໃຊ້ບັນດາລາຍການທີ່ ນຳ ໃຊ້ໂດຍສະເພາະຜູ້ໃຊ້, ເຊິ່ງອາດຈະເປັນອັນຕະລາຍຕໍ່ລະບົບ.

ສາຍຕໍ່ໄປແມ່ນໃຊ້ເພື່ອ ກຳ ນົດສິດອະນຸຍາດ.

root        ALL=(ALL) ALL

<

tecmint     ALL=/bin/yum update

ຖ້າບໍ່ມີຜູ້ໃຊ້ລະບຸໄວ້ຫຼັງຈາກສັນຍາລັກ = , sudo ຖືວ່າຜູ້ໃຊ້ຮາກ. ໃນກໍລະນີນີ້, ຜູ້ໃຊ້ tecmint ຈະສາມາດເອີ້ນໃຊ້ ການປັບປຸງຂໍ້ມູນ yum ເປັນຮາກ.

gacanepa    ALL=NOPASSWD:/bin/updatedb

ຄຳ ສັ່ງແນະ ນຳ NOPASSWD ຊ່ວຍໃຫ້ຜູ້ໃຊ້ gacanepa ດຳ ເນີນການ /bin/updatedb ໂດຍບໍ່ ຈຳ ເປັນຕ້ອງໃສ່ລະຫັດຜ່ານຂອງລາວ.

%admin      ALL=(ALL) ALL

ສັນຍາລັກ % ຊີ້ໃຫ້ເຫັນວ່າເສັ້ນນີ້ໃຊ້ກັບກຸ່ມທີ່ເອີ້ນວ່າ " admin ". ຄວາມຫມາຍຂອງສ່ວນທີ່ເຫຼືອຂອງເສັ້ນແມ່ນຄືກັນກັບຄວາມຫມາຍຂອງຜູ້ໃຊ້ປົກກະຕິ. ນີ້ ໝາຍ ຄວາມວ່າສະມາຊິກຂອງກຸ່ມ“ admin ” ສາມາດ ດຳ ເນີນການ ຄຳ ສັ່ງທັງ ໝົດ ເປັນຜູ້ ນຳ ໃຊ້ໃນທຸກໂຮດ.

ເພື່ອເບິ່ງວ່າສິດທິພິເສດອັນໃດແດ່ທີ່ທ່ານໄດ້ຮັບໂດຍ sudo, ໃຫ້ໃຊ້“ -l ” ທາງເລືອກເພື່ອບອກພວກເຂົາ.

PAM (ໂມດູນການກວດສອບ Pluggable Modules)

ໂມດູນການພິສູດຄວາມສາມາດ (Plamable Authentication Modules) (PAM) ສະ ເໜີ ຄວາມຍືດຫຍຸ່ນໃນການ ກຳ ນົດລະບົບການກວດສອບຄວາມຖືກຕ້ອງສະເພາະກ່ຽວກັບໃບສະ ໝັກ ແລະ/ຫຼືຕໍ່ການບໍລິການໂດຍໃຊ້ໂມດູນ. ເຄື່ອງມືນີ້ມີຢູ່ໃນທຸກການແຈກແຈງ Linux ທີ່ທັນສະ ໄໝ ໄດ້ເອົາຊະນະບັນຫາທີ່ນັກພັດທະນາປະສົບໃນຊ່ວງຕົ້ນໆຂອງ Linux, ເມື່ອແຕ່ລະໂປແກຼມທີ່ຕ້ອງການການກວດສອບຄວາມຖືກຕ້ອງຕ້ອງໄດ້ລວບລວມເປັນພິເສດເພື່ອຮູ້ວິທີທີ່ຈະໄດ້ຮັບຂໍ້ມູນທີ່ ຈຳ ເປັນ.

ຍົກຕົວຢ່າງ, ກັບ PAM, ມັນບໍ່ ສຳ ຄັນວ່າລະຫັດຜ່ານຂອງທ່ານຈະຖືກເກັບໄວ້ໃນ/etc/shadow ຫລືຢູ່ໃນເຊີບເວີແຍກຕ່າງຫາກພາຍໃນເຄືອຂ່າຍຂອງທ່ານຫຼືບໍ່.

ຕົວຢ່າງເຊັ່ນເມື່ອໂປແກຼມເຂົ້າສູ່ລະບົບຕ້ອງການກວດສອບຜູ້ໃຊ້ທີ່ຖືກຕ້ອງ, PAM ສະ ໜອງ ຫ້ອງສະ ໝຸດ ແບບເຄື່ອນໄຫວທີ່ມີ ໜ້າ ທີ່ ສຳ ລັບລະບົບການກວດສອບຄວາມຖືກຕ້ອງ. ດັ່ງນັ້ນ, ການປ່ຽນແປງລະບົບການກວດສອບຄວາມຖືກຕ້ອງ ສຳ ລັບການສະ ໝັກ ເຂົ້າສູ່ລະບົບ (ຫຼືໂປແກຼມອື່ນໃດທີ່ໃຊ້ PAM) ແມ່ນງ່າຍເພາະວ່າມັນພຽງແຕ່ກ່ຽວຂ້ອງກັບການແກ້ໄຂເອກະສານການຕັ້ງຄ່າ (ສ່ວນຫຼາຍອາດຈະເປັນເອກະສານຕັ້ງຊື່ພາຍໃນແອັບພລິເຄຊັນ, ຕັ້ງຢູ່ພາຍໃນ /etc/pam.d , ແລະມີ ໜ້ອຍ ໃນ /etc/pam.conf ).

ແຟ້ມພາຍໃນ /etc/pam.d ຊີ້ບອກວ່າໂປແກຼມໃດທີ່ໃຊ້ PAM ພື້ນເມືອງ. ນອກຈາກນັ້ນ, ພວກເຮົາສາມາດບອກໄດ້ວ່າມີໂປແກຼມສະເພາະໃດ ໜຶ່ງ ໃຊ້ PAM ໂດຍການກວດເບິ່ງວ່າຫໍສະ ໝຸດ PAM (libpam) ໄດ້ເຊື່ອມໂຍງກັບມັນ:

# ldd $(which login) | grep libpam # login uses PAM
# ldd $(which top) | grep libpam # top does not use PAM

ໃນຮູບຂ້າງເທິງນີ້ພວກເຮົາສາມາດເຫັນໄດ້ວ່າ libpam ໄດ້ເຊື່ອມໂຍງເຂົ້າກັບການສະ ໝັກ ເຂົ້າສູ່ລະບົບ. ນີ້ເຮັດໃຫ້ມີຄວາມຮູ້ສຶກນັບຕັ້ງແຕ່ຄໍາຮ້ອງສະຫມັກນີ້ມີສ່ວນຮ່ວມໃນການປະຕິບັດງານຂອງການກວດສອບຜູ້ໃຊ້ລະບົບ, ໃນຂະນະທີ່ທາງເທີງບໍ່ໄດ້.

ໃຫ້ກວດເບິ່ງເອກະສານການຕັ້ງຄ່າ PAM ສຳ ລັບ passwd - ແມ່ນແລ້ວ, ຜົນປະໂຫຍດທີ່ມີຊື່ສຽງໃນການປ່ຽນລະຫັດຜ່ານຂອງຜູ້ໃຊ້. ມັນມີທີ່ຕັ້ງຢູ່ /etc/pam.d/passwd:

# cat /etc/passwd

ຖັນ ທຳ ອິດສະແດງເຖິງລະຫັດປະເພດ ປະເພດ ຂອງການກວດສອບຄວາມຖືກຕ້ອງເພື່ອ ນຳ ໃຊ້ກັບ ໂມດູນ - ເສັ້ນທາງ (ຄໍ ລຳ ທີສາມ). ໃນເວລາທີ່ hyphen ປາກົດຢູ່ກ່ອນປະເພດ, PAM ຈະບໍ່ບັນທຶກບັນທຶກລະບົບຖ້າໂມດູນບໍ່ສາມາດໂຫລດໄດ້ເພາະວ່າມັນບໍ່ສາມາດພົບເຫັນຢູ່ໃນລະບົບ.

ປະເພດການກວດສອບຕໍ່ໄປນີ້ມີ:

<

ຖັນທີສອງ (ເອີ້ນວ່າ <ຄວບຄຸມລະຫັດ ) ຊີ້ບອກເຖິງສິ່ງທີ່ຄວນຈະເກີດຂື້ນຖ້າການກວດສອບກັບໂມດູນນີ້ລົ້ມເຫລວ:

<

ຖັນທີສີ່, ຖ້າມີຢູ່, ສະແດງໃຫ້ເຫັນການໂຕ້ຖຽງທີ່ຈະຖືກສົ່ງໄປຫາໂມດູນ.

ສາມສາຍ ທຳ ອິດໃນ /etc/pam.d/passwd (ສະແດງຢູ່ຂ້າງເທິງ), ໂຫລດໂມດູນລະບົບ -uth ເພື່ອກວດສອບວ່າຜູ້ໃຊ້ໄດ້ສະ ໜອງ ຂໍ້ມູນປະ ຈຳ ທີ່ຖືກຕ້ອງ (ບັນຊີ). ຖ້າເປັນດັ່ງນັ້ນ, ມັນຊ່ວຍໃຫ້ລາວປ່ຽນແປງສັນຍາລັກການກວດສອບ (ລະຫັດຜ່ານ) ໂດຍໃຫ້ການອະນຸຍາດໃຫ້ໃຊ້ passwd (auth).

ຍົກຕົວຢ່າງ, ຖ້າທ່ານເພີ່ມເຕີມ

remember=2

ເຖິງເສັ້ນຕໍ່ໄປນີ້

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok

ໃນ /etc/pam.d/system-auth:

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=2

ລະຫັດລັບສອງອັນສຸດທ້າຍຂອງຜູ້ໃຊ້ແຕ່ລະຄົນຖືກບັນທຶກໄວ້ໃນ/etc/security/opasswd ເພື່ອພວກເຂົາຈະບໍ່ຖືກ ນຳ ໃຊ້ຄືນ ໃໝ່:

ບົດສະຫຼຸບ

ທັກສະການຄຸ້ມຄອງຜູ້ໃຊ້ແລະຄຸ້ມຄອງເອກະສານທີ່ມີປະສິດທິຜົນແມ່ນເຄື່ອງມືທີ່ ຈຳ ເປັນ ສຳ ລັບຜູ້ບໍລິຫານລະບົບໃດໆ. ໃນບົດຂຽນນີ້ພວກເຮົາໄດ້ກວມເອົາພື້ນຖານແລະຫວັງວ່າທ່ານຈະສາມາດ ນຳ ໃຊ້ມັນເປັນຈຸດເລີ່ມຕົ້ນທີ່ດີເພື່ອສ້າງ. ປ່ອຍໃຫ້ ຄຳ ເຫັນຫຼື ຄຳ ຖາມຂອງທ່ານຢູ່ຂ້າງລຸ່ມ, ແລະພວກເຮົາຈະຕອບໄວ.