[ Pobierz całość w formacie PDF ]
.," usuń lub przekaż uprawnienia do list dyskusyjnych prowadzonych przez usunię-tego użytkownika.Zanim usuniesz czyjś katalog domowy, pamiętaj o tym, aby przenieść w inne miej-sce wszelkie pliki, które mogą być potrzebne innym użytkownikom.Zazwyczaj trudnookreślić, o jakie pliki może chodzić, dlatego przed ich usunięciem zawsze warto wykonaćdodatkową kopię zapasową katalogu domowego użytkownika i skrzynki pocztowej.Po usunięciu użytkownika możesz sprawdzić, czy jego stary numer UID nie jest wła-ścicielem plików w systemie.Aby wyszukać takie osierocone pliki, możesz użyć polecenia12/etc/security/{passwd,group} w systemie AIX. SEK.7.7 USUWANIE U%7łYTKOWNIKW287find z argumentem  nouser.Ponieważ polecenie find potrafi  uciec na serwery sieciowe,jeśli nie zachowasz ostrożności, zwykle najbezpieczniej sprawdzać osobno poszczególnesystemy plików za pomocą opcji  xdev:$ sudo find system_plików -xdev -nouserZabicie działających procesów usuniętego użytkownika może być nieco utrudnionew środowiskach rozproszonych.W kalendarzach grupowych i systemach rezerwacjipomieszczeń mogą istnieć aktywne wpisy wprowadzone przez nieistniejącego już użyt-kownika i należy je stamtąd usunąć.Prawdopodobnie w swoim środowisku znajdzieszwięcej tego rodzaju miejsc, z których trzeba usunąć ślady po użytkowniku  zrób własnąlistę, np.w formie skryptu czyszczącego.Jeśli w Twojej organizacji przydziela się użytkownikom własne stacje robocze, naogół najprostszym i najbardziej wydajnym rozwiązaniem jest powtórne odtworzeniecałego systemu z głównego obrazu przed przekazaniem go nowemu użytkownikowi.Przed przeprowadzeniem nowej instalacji warto jednak wykonać kopię lokalnych plikówznajdujących się na dysku twardym na wypadek, gdyby były potrzebne w przyszłości.W każdym z naszych przykładowych systemów występuje polecenie userdel, któreautomatyzuje proces usuwania użytkownika.Najprawdopodobniej nie przeprowadziono tego zdania tak dokładnie, jak byś sobie tego życzył, chyba że skrupulatnie wprowa-dzisz do niego nowe funkcje, rozszerzające liczbę miejsc, w których przechowywane sąinformacje związane z użytkownikiem.W systemie Ubuntu deluser to skrypt Perla, który wywołuje tradycyjne polecenieuserdel; cofa on wszystkie operacje wykonane przez adduser.Aby ułatwić lokali-zację ustawień, wywołuje skrypt deluser.local, jeśli taki istnieje.Plik konfiguracyjny/etc/deluser.conf umożliwia ustawienie następujących opcji." Czy usunąć katalog domowy i skrzynkę pocztową użytkownika?" Czy wykonać kopię plików użytkownika i gdzie je umieścić?" Czy usunąć wszystkie pliki należące do użytkownika?" Czy usunąć grupę, jeśli nie ma już żadnych członków?SUSE obsługuje zestaw skryptów do wykonywania zadań wstępnych i końco-wych, a także skrypt userdel.local, który wspomaga polecenie userdel,informując domyślne narzędzie o lokalnych ustawieniach.Możesz je skonfigurowaćw pliku /etc/login.defs.W systemie Red Hat istnieje skrypt userdel.local, ale nie ma żadnych skryptówdo wykonywania zadań wstępnych i końcowych, które automatyzowałyby takierzeczy jak wykonywanie kopii plików użytkownika przeznaczonego do usunięcia.Systemy Solaris i AIX mają kilka dodatkowych miejsc, w których prze-chowywane są informacje o użytkownikach, przede wszystkich chodzi DODAWANIE NOWYCH U%7łYTKOWNIKW ROZ.7288tu o pliki kontrolujące role i klasy autoryzacji.Dlatego też polecenia userdel w tychsystemach mają nieco więcej pracy do wykonania przy czyszczeniu wszystkich odwołańdo usuniętego użytkownika.Przykładowo, oprócz /etc/passwd i /etc/group, polecenie userdel w systemie Solarisaktualizuje również pliki /etc/shadow, /etc/project i /etc/user_attr.W systemie AIX polecenieuserdel modyfikuje w katalogu /etc/security następujące pliki: user, user.roles, lastlog,environ, audit/config, limits, passwd i group.Solaris nie jest tak skrupulatny, jak możnaby oczekiwać: jego polecenie userdel pozostawiło testowy login z profilem skonfiguro-wanym w pliku user_attr, który powinien zostać wyczyszczony.W systemie HP-UX polecenie userdel to banalny, prosty skrypt, który usuwazmiany wprowadzone przez useradd.Modyfikuje tylko pliki passwd, shadowi group.7.8.WYACZANIE KONT7.8Wyłączanie kontCzasami zdarza się, że konto użytkownika musi zostać tymczasowo wyłączone.Najprost-szym sposobem jest dopisanie gwiazdki lub innego znaku na początku zaszyfrowanegohasła użytkownika w plikach /etc/security/passwd (AIX) lub /etc/shadow.Uniemożliwi towiększość prób dostępu na hasło, ponieważ tak zmodyfikowanego hasła nie da się sensow-nie odszyfrować.Jednak takie polecenia jak ssh, które niekoniecznie muszą sprawdzaćhasła systemowe, mogą nadal funkcjonować.We wszystkich dystrybucjach Linuksa polecenia usermod -L użytkownik i usermod-U użytkownik umożliwiają łatwe zablokowanie i odblokowanie hasła.Jest to poprostu szybszy sposób wykonania na haśle opisanych powyżej operacji: opcja -Lumieszcza znak ! na początku zaszyfrowanego hasła w pliku /etc/shadow, a opcja -U gousuwa.W systemie Solaris użytkownik root może zablokować konto za pomocąpolecenia passwd -l nazwa_użytkownika, zmusić użytkownika do zmianyhasła za pomocą opcji -f lub odblokować konto za pomocą opcji  u.Zablokowanie kontapowoduje wstawienie znaków *LK* do pola z hasłem w pliku /etc/shadow.Jest to równieżwartość ustawiana dla użytkowników przez polecenie useradd.System HP-UX obsługuje tylko hasła zaszyfrowane algorytmem crypt.Znak *nigdy nie występuje w polu hasła wygenerowanym przez crypt, dlatego dopisaniego do zaszyfrowanego hasła uniemożliwi zalogowanie się użytkownika.W systemie AIX konto jest zablokowane, jeśli plik /etc/passwd zamiast znaku !zawiera *.Za pomocą polecenia pwdadm można wymusić na użytkowniku zmianęhasła lub zablokować jego konto, tak aby tylko administrator mógł zmienić hasło.Niestety, zmodyfikowanie hasła użytkownika po prostu uniemożliwi logowanie.Użyt-kownik nie zostanie powiadomiony o zawieszeniu konta ani poinformowany o powodach, SEK.7.9 ZARZDZANIE U%7łYTKOWNIKAMI289dla których konto nie działa.Innym sposobem wyłączenia konta jest zastąpienie powłokiużytkownika programem, który wyświetli komunikat z wyjaśnieniem i wytłumaczy, conależy zrobić w takiej sytuacji.Następnie program zakończy działanie, zamykając sesjęlogowania.Takie podejście ma zarówno zalety, jak i wady.Nie zostaną wyłączone te formy dos-tępu, które sprawdzają hasło, ale nie zwracają uwagi na powłokę.Aby ułatwić prze-prowadzenie sztuczki z wyłączeniem powłoki, wiele demonów zapewniających dostępbez logowania do systemu (np.ftpd) sprawdza, czy powłoka logowania użytkownika jestwymieniona w pliku /etc/shells; jeśli jej tam nie ma, następuje odmowa dostępu.O takiezachowanie nam chodzi.Niestety, nie jest ono powszechne, jeśli więc zdecydujesz sięna wyłączanie kont przez modyfikowanie powłoki, będziesz musiał przeprowadzić dośćwyczerpujące testy.Kolejny problem polega na tym, że jeśli użytkownik spróbuje się zalogować przezsystem X Window lub za pośrednictwem emulatora terminala, który nie pozostawiawidocznego wyjścia po wylogowaniu, może nigdy nie zobaczyć Twojego starannie napi-sanego wyjaśnienia powodów zawieszenia konta.Domyślnie program sendmail nie dostarczy poczty użytkownikowi, którego powłoka niewystępuje w pliku /etc/shell.Zakłócanie przepływu poczty to zły pomysł, nawet jeśli odbiorcai tak nie może jej natychmiast przeczytać [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • lunamigotliwa.htw.pl
  •