темах возможно определение списка терминалов с которых не может входить в КС суперпользователь.



Работа добавлена на сайт TXTRef.ru: 2019-12-03

телей, работа с различными системными сервисами и т. п.). В Unix-системах возможно определение списка терминалов, с которых не может входить в КС суперпользователь.

Пользователи изменяют свои пароли с помощью команды passwd. Этой же командой может воспользоваться и суперпользователь для задания нового пароля (вместо забытого старого) пользователю с указанным в качестве параметра команды passwd именем учетной записи.

Пароли пользователей записываются в файл учетных записей в хешированном виде. Применяется следующий алгоритм хеширования:

на основе времени суток генерируется случайное значение,
которое затем преобразуется в строку из двух символов и запоми
нается в файле учетных записей как первые два символа поля с
хеш-значением пароля;

магическое значение длиной 64 бита, состоящее из нулей
или пробелов, зашифровывается по алгоритму DES (см. подразд.
4.4), причем в качестве ключа шифрования длиной 56 бит ис
пользуется пароль пользователя, а случайное значение
(salt) при
меняется для модификации алгоритма шифрования;

полученное значение длиной 64 бита вновь зашифровывает
ся на том же ключе (общее число повторений равно 25);

полученное окончательное значение преобразуется в 11 сим
волов (каждым шести битам соответствует один символ из мно
жества
{'.', '/', '0'-'9', 'A'-'Z', 'a'-'z'});

полученная строка символов записывается в файл учетных
записей после случайного значения.

Поскольку пароль используется в алгоритме хеширования в качестве ключа DES-шифрования длиной 56 бит, его минимальную длину целесообразно выбирать равной восьми символам (56 бит в кодировке ASCII). Другим требованием к сложности паролей может быть обязательное наличие в нем строчных и прописных букв, цифр и знаков препинания. Пользователям также может быть запрещено устанавливать собственные пароли, а для входа в систему использовать только сгенерированные ею пароли. В последнем случае генератор паролей может запускаться при выполнении команды passwd, доступ к которой должен быть ограничен.

Для временного отключения учетной записи пользователя администратор может заменить хеш-значение пароля в его учетной записи символом '*'. Для удаления учетной записи пользователя следует удалить его учетную запись из файла /etc/passwd, а также удалить все файлы пользователя и его домашний каталог с помощью команд:

find   /   usr   /   имя домашнего каталога  -exec   rm   (}   \; rmdir  имя домашнего  каталога

 Все учетные записи псевдопользователей должны быть отключены.

По умолчанию к файлу /etc/passwd разрешен доступ по чтению для всех пользователей КС. Это необходимо, поскольку сведения об идентификаторах пользователя и группы, о домашнем каталоге и логическом имени пользователя из этого файла должны быть доступны различным программам. Для защиты хеш-значений паролей от чтения непривилегированными пользователями выполняется процедура затенения (shadow) паролей. В этом случае хеш-значения паролей перемещаются из файла /etc/passwd в файл /etc/ shadow (/etc/security/passwd.adjunct или /etc/master.passwd в других операционных системах). Запись в файле теневых паролей имеет следующий формат:

логическое имя пользователя : хеш-значение пароля : дата последней замены пароля : число дней до возможной смены пароля : число дней до обязательной смены пароля : количество дней до предупреждения пользователя о необходимости замены пароля : число дней после истечения срока действия пароля, по истечении которых происходит отключение учетной записи : дата отключения учетной записи   :   зарезервированное  поле

В исходном файле учетных записей при использовании затенения паролей в поле хеш-значения пароля помещаются специальные символы или случайная строка символов (для усложнения задачи подбора паролей). Доступ к файлу теневых паролей имеет только привилегированный пользователь.

Для работы с теневыми паролями учетных записей пользователей предназначены специальные команды:

useradd — добавление учетной записи нового пользователя;

usermod — замена информации в учетной записи пользователя;

userdel — удаление учетной записи пользователя и его фай
лов;

passwd — отключение учетной записи пользователя (и снятие
отключения), установка максимального и минимального сроков
действия пароля пользователя, установка числа дней для предуп
реждения о необходимости замены пароля, установка числа дней
между истечением срока действия пароля и отключением учетной
записи;

pwck — проверка корректности исходного файла паролей и фай
ла теневых паролей (корректности числа полей, уникальности логи
ческих имен, корректности системных идентификаторов и групп,
корректности первичной группы, домашнего каталога и оболочки
пользователя, наличия учетных записей с пустыми паролями).

Для изменения устанавливаемой по умолчанию подсистемы аутентификации может использоваться архитектура сменных мо-

Другие работы

а. Входная группа это не просто порог и двери...


Разработка входной группы с применением новейших фасадных материалов по выбору: спортивного комплекса банка жилой застройки вокзала аэропорта. В...

Подробнее ...

ПРАВА ПРОФСОЮЗОВ В СФЕРЕ ТРУДОВЫХ ОТНОШЕНИЙ М...


Классификация основных прав профсоюзов. Основные современные проблемы развития и защиты прав профсоюзов в России. 230 КзоТ указывающую что права...

Подробнее ...

РЕФЕРАТ дисертації на здобуття наукового ступ...


В останні 20 років у практику лікування хворих на СКХ впроваджено нетравматичні інструментальні апаратні методи лікування до яких належить перед...

Подробнее ...

Тема- Складання й оформлення службових докуме...


Факси телеграми телефонограми. Не допускається: переносити слова тексту телеграми з одного рядка на інший; робити будьякі виправлення. Службові ...

Подробнее ...