.


[*]
[*]
[*]

[*]
index


Az elérési jogok szabályozása

A felhasználói adatbázis a szokások szerint a /etc/passwd  fájlban van. Néhány rendszer árnyék jelszavakat (shadow passwords) használ, azaz a jelszavakat a /etc/shadow -ba teszi. Azokon a helyeken, ahol több számítógép osztozik a felhasználói engedélyeken, a NIS, vagy más módszer az, amit a felhasználói adatbázis tárolására használnak; ezek automatikusan másolhatják az adatbázist egy központi helyről a többi számítógépre.

A felhasználói adatbázis nemcsak a jelszavakat, hanem néhány egyéb információt is tartalmaz a felhasználóról, mint pl. a valódi nevük, home könyvtáruk és a bejelentkezési burokprogramjuk (login shell). Ezek az utóbbi információk publikusak, ezért az ezekez tároló /etc/passwd  fájl mindenki számára olvasható. Emiatt viszont az itt tárolt jelszavakat titkosítani kell. Ennek megvan az a hátránya, hogy a titkosított jelszóhoz mindenki hozzáférhet, és különféle titkosítási módszerekkel kísérletezhet visszakódolásán bejelentkezési kísérletek nélkül. Az árnyék jelszó pontosan ez ellen kíván védekezni az által, hogy a titkosított jelszavakat olyan fájlba viszi, melyet csak a root olvashat. Bizonyos Linux terjesztések esetén azonban bonyolult egy már futó rendszerre telepíteni az árnyék jelszavak használatát.

Mindenképpen fontos, hogy a rendszer összes jelszava jó, azaz nehezen kitalálható legyen. A crack  program használható jelszavak feltörésére; minden jelszó, amit ez megtalál, definíció szerint rossz. A crack -et nemcsak a behatoló futtathatja, hanem a rendszeradminisztrátor is, hogy védekezzen a rossz jelszavak ellen. Jó jelszavakat a passwd  program is kikényszeríthet; ez hatékonyabb is a CPU-t tekintve, mert a jelszavak feltörése sok számítást igényel.

A felhasználói csoportok adatbázisa a /etc/group  fájlba, illetve árnyékjelszavak esetén a /etc/shadow.group  fájlban található.

Egy jól felépített rendszerben a root általában nem tud bejelentkezni a legtöbb terminálon, illetve hálózaton keresztül, csak akkor, ha a terminál fel van sorolva a /etc/securetty  fájlban. Ez lehetetlenné teszi, hogy egy nem előírt helyről root-ként lehessen bejelentkezni, azaz növeli a biztonségot. Igaz ugyan, hogy bárhonnét be lehet jelentkezni normál felhasználóként, majd a su  paranccsal root jogosultságokat szerezni, ha ismerjük a root jelszavát.

[*]
Linux rendszeradminisztrátorok kézikönyve (első javított változat; SAG-HU 0.6b1)