Bài giảng Quản trị Linux: Quản trị người dùng. Nội dung chính trong chương này giới về hệ thống người dùng trên Linux và các lệnh quản trị người dùng. Mời các bạn cùng tham khảo để biết thêm các nội dung chi tiết.
Trang 1Đặng Thanh Bình
Quản trị người dùng
Trang 2Nội dung
• Giới thiệu về hệ thống người dùng trên Linux
• Các lệnh quản trị người dùng
Trang 3
NGƯỜI DÙNG
Trang 4Người dùng trên Linux
• Linux cung cấp 5 loại người dùng:
– Super user, còn gọi là Root user
– System user
– Normal user
– Network user
– Pseudo user
Trang 5• Thường được sử dụng cho mục đích quản trị
• Root user trên Ubuntu thường được mặc định ở trạng thái ‘lock’ Người dùng được khuyến khích làm các công việc cần quyền root bằng cách dùng lệnh sudo
Trang 7Normal user
• UID mặc định từ >500 đến <6000
• Được tạo bởi root
• Có quyền truy cập giới hạn vào các tài nguyên
• Phải được root cấp quyền mới được truy cập vào các dịch vụ và tài nguyên quan trọng trên hệ thống
Trang 8– Kiểm tra các hoạt động trên mạng
– Kết nối đến các dịch vụ trên mạng, vd MySQL, NNTP, …
Trang 9Pseudo user
• Là bản sao của người dung root
• Được sử dụng khi một user cần được phân quyền như root
• Chỉ root mới có quyền cung cấp quyền truy cập đến loại tài khoản này cho các user khác
Trang 11
QUẢN TRỊ NGƯỜI DÙNG
Trang 12Vấn đề
• Làm thế nào để thêm/xóa user … ?
• Có thể cấp quyền limited access cho user không?
• Làm thế nào để thêm vào 1 group và them user vào group đó?
• Làm thế nào để phân quyền cho những người dùng trong 1 nhóm cụ thể nào đó?
• Việc phân quyền có thể được thay đổi sau này không?
• Có phải ai cũng có quyền phân quyền không?
Trang 13Một số quy định cơ bản
• Chỉ người dùng root có quyền tạo user
• Chỉ người dùng root và người sở hữu tập tin
có quyền thay đổi phân quyền trên tập tin
Trang 14Quản lý user bằng GUI
• Cài đặt công cụ quản trị user và group (gnome-system-tools)
• Hoặc dùng command line
sudo apt-get install gnome-system-tools
Trang 15Quản lý user bằng GUI
• Tìm kiếm trên Dash và chạy chương trình quản lý
Trang 16Lệnh quản trị user và group
• Enable user root
– sudo passwd
• Lock và unlock user
– sudo passwd -l username
– sudo passwd -u username
Trang 17Thêm người dùng
• useradd
– useradd [options] USERNAME
– -c: comment thông tin về user
– -d: directory cá nhân của user
Trang 18• sudo userdel <username>
– Xóa hết mọi thông tin về người dùng trong
hệ thống
• sudo userdel –r <username>
• sudo deluser <username>
Trang 19Sửa thông tin người dùng
• usermod [options] <username>
– Chỉ super user mới được thực thi lệnh này
– Các option cơ bản:
• -c = We can add comment field for the useraccount.
• -d = To modify the directory for any existing user account.
• -e = Using this option we can make the account expiry in specific period.
• -g = Change the primary group for a User.
• -G = To add a supplementary groups.
• -a = To add anyone of the group to a secondary group.
• -l = To change the login name from tecmint to tecmint_admin.
• -L = To lock the user account This will lock the password
so we can’t use the account.
Trang 20Sửa thông tin người dùng
• usermod [options] <username>
– Chỉ super user mới được thực thi lệnh này
• -s = Create a Specified shell for new accounts.
• -u = Used to Assigned UID for the user account between 0 to 999.
• -U = To unlock the user accounts This will remove the password lock and allow us to use the user account.
Trang 21Sửa thông tin người dùng
• usermod [options] <username>
– Các file sau sẽ bị ảnh hưởng
• /etc/passwd – User account information.
• /etc/shadow – Secure account information.
• /etc/group – Group account information.
information.
• /etc/login.defs – Shadow password suite configuration
Trang 22User Profile Security
• Kiểm tra phân quyền trên thư mục home của user
– ls -ld /home/username
– Dùng lệnh chmod để chỉnh lại phân quyền
Trang 23Password Policy
• Chiều dài tối thiểu
– Lưu trong file /etc/pam.d/common-password
– password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=8
• Thời điểm hết hiệu lực
– Xem thông tin: sudo chage -l username
– Thiết lập: sudo chage username
• sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 username
• Ngày hết hạn: explicit expiration date (-E)
• Số ngày tồn tại tối thiểu: minimum password age (-m)
• Số ngày tồn tại tối đa: maximum password age (-M)
• Số ngày không hoạt động sau khi mật khẩu hết hiệu lực: inactivity period (-I)
• Thời gian cảnh báo trước lúc hết hạn: warning time period (-W)
Trang 24– Họ vẫn có thể truy cập SSH vào server mà không cần mật khẩu
– Kiểm tra xem có tồn tại thiết lập đó không bằng
/home/username/.ssh/authorized_keys
Trang 25Các vấn đề bảo mật khác
• Truy cập SSH đối với các tài khoản đã bị vô hiệu
– Cách xử lý:
• Đổi tên thư mục ssh
• Kiểm tra xem người dung đó đang có kết nối SSH nào không, nếu có ==> kill kết nối đó
– who |grep username (to get the pts/# terminal)
– sudo pkill -f pts/#
• Giới hạn quyền truy cập SSH cho một nhóm người dùng
cụ thể
– Mở file /etc/ssh/sshd_config
– Thiết lập biến: AllowGroups sshlogin
– Thêm người dung vào nhóm sshlogin và khởi động lại dịch vụ
» sudo adduser username sshlogin
» sudo service ssh restart
Trang 26– sudo delgroup groupname
• Thêm người dùng vào nhóm
– sudo adduser username groupname
Trang 27Các file liên quan
• Mỗi khi tạo nhóm, 4 file sau được cập nhật
– /etc/passwd – chứa thông tin user.
– /etc/shadow – chứa mật khẩu user dưới dạng mã hóa
– /etc/group – chứa thông tin nhóm.
– /etc/gshadow – chứa các mật khẩu group hiện có
Trang 29Ngày sau khi ph i thay ả
đ i password ổ
Ngày user b warn n u ị ế không thay đ i pass ố Ngày tr ướ c khi ph i ả
thay đ i password ổ
Trang 31Q&A