User Tools

Site Tools


koriscenje_grupa_da_bi_se_eliminisao_root

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

koriscenje_grupa_da_bi_se_eliminisao_root [2017/04/28 10:25]
koriscenje_grupa_da_bi_se_eliminisao_root [2017/04/28 10:25] (current)
Line 1: Line 1:
 +\\
 +Root lozinka moze biti uzrok prepirke u svakoj organizaciji. Mnogi system administratori ne vole da daju root lozinku, cak ni ljudima koji su odgovorni za odrzavanje dela sistema. Ako ovakvi system administratori neznaju kako da na odgovarajuci nacin rese ovakve stvari, onda ovo protivljenje moze spreciti ljude da budu u mogucnosti da urade njihov posao. Mnogi drugi system administratori daju root jednostavno da bi otkacili skoro svakog ko zeli da ga koristi, i onda se zale kada sistem postane nestabilan. Unix ima mocne mogucnosti za eliminisanje potrebe koriscenja root lozinke. U sledecih nekoliko clanaka, tezicemo tome da smanjimo koriscenje root lozinke. Ovaj clanak opisuje koriscenje grupa kao alternativu.
 +
 +Jedna od cestih situacija je kada je mladji administrator odgovoran za odredjeni deo sistema. Ja sam imao mnoge DNS administratore koji su radili za mene; ove osobe nikada ne instaliraju softver, rekompajliraju kernel, ili izvrsavaju druge sistemske zadatke nizeg nivoa. Oni samo odgovaraju na email, azuriraju zonske fajlove na nameserver-ima,​ i ponovo ucitavaju named. Novi mladji administratori cesto misle da im je potreban root da bi izvrsili ovaj tip posla. Sa odgovarajucim koriscenjem grupa, i sa malo planiranja, nemorate da date pristup root-u uopste! U ovom clanku, implementiracemo bezbednost na osnovu grupa za upravljanje DNS fajlovima. Ista tehnika se moze primeniti i na skoro svaku drugu sekciju sistema.
 +
 +Unix razvrstava korisnike u grupe, gde se svaka grupa sastoji od osoba koji izvode slicne administrativne funkcije. Mozete imati grupu koja se naziva Web, koja ukljucuje osobe koje uredjuju Web stranice, i grupu koja se naziva dns koja ukljucuje osobe koje uredjuju vas nameserver. U zavisnosti od vaseg operativnog sistema, mozda vec imate grupe sa slicnim imenima. Na primer, NetBSD i OpenBSD ukljucuju korisnika i grupu named, dok FreeBSD ima korisnika i grupu bind, koje ce korisiti nameserver. Ovi unapred definisani korisnici i grupe se generalno koriste od strane programa na sistemu. Web serveri na primer generalno rade kao www korisnik.
 +
 +Za nase potrebe, definisacemo posebnu grupu za korisnike kojima je potreban pristup fajlovima koje koriste ovi programi. Ali ne treba nam korisnicki nalog koji se podudara. Informacije o grupama su u ''/​etc/​group''​. Svaka linija u ''/​etc/​group''​ sadrzi cetiri polja odvojenim sa dve tacke.
 +
 +Prvo je ime grupe. Imena grupa su proizvoljna:​ mozete dati svojim DNS menadzerima ime grupe "​gubitnici"​ ako zelite. Ali ipak dobra ideja je da odaberete imena grupa koje ce vam dati neku ideju za sta sluze; ako mozete zapamtiti da grupa ''​xyzzy''​ odrzava vas email sistem danas, dali ce te je pamtiti nakon sest meseci? Odaberite imena grupa koje nesto znace.
 +
 +Drugo polje sadrzi enkriptovanu lozinku grupe. Lozinke za grupe podsticu lose besbednosne navike, tako da ih vecina modernih Unix sistema ne podrzava. Kao i vecina drugih stvari u Unix-u, ovo polje se oduvek nalazilo tu tako da ono ostaje tu. Da ovo polje ne bi ostalo prazno, koristimo zvezdicu (*) umesto toga.
 +
 +Trece polje sadrzi jedinstveni numericki ID grupe (''​GID''​). Mnogi od FreeBSD-ovih unutrasnjiih programa koriste ovaj GID, radije nego imena, da bi indentifikovali grupe. ''/​etc/​groups''​ je sortiran prema ''​GID''​. ​
 +
 +Zadnje je lista svih korisnika u toj grupi. Da dodate nekog korisnika grupi, jednostavno dodajte korisnicko ime ovoj listi, odvojenog zarezom od ostalih imena.
 +
 +Da kreirate grupu, samo treba da odredite jedinstveni ID broj grupe. Odaberite broj koji nece biti koriscen od strane korisnika ili nekog drugog programa. Za grupe kao sto je dns grupa koju kreiramo, koja je blisko povezana sa drugom grupom u sistemu, ja cesto odabiram GID ciji je broj plus jedan od njegove povezane grupe. Na primer, na FreeBSD-u bind korisnik ima GID 53 (koji dolazi od mreznog broja porta koji nameserveri koriste). Nasa nova dns grupa ce imati GID 54. Hocu da dodam lokalne korisnike "​chris",​ "​phil",​ i "​michael"​ ovoj grupi, tako da ce nas novi unos izgledati ovako.
 +
 +  dns:​*:​54:​chris,​phil,​michael
 +
 +Nakon uredjivanja ''/​etc/​group''​ fajla, dobro je da proverite da niste napravili gresku. FreeBSD dolazi sa ''​chkgrp(8)'',​ koji proverava sinkaksu fajla za grupe; ako odradi posao bez gresaka, onda niste sami sebi skocili u stomak.
 +
 +Sada kada imate grupu, mozete je koristiti da dodelite vlasnistvo nad fajlovima. Svaki fajl je pod vlasnistvom korisnika i grupe. Mozete videti postojece vlasnicke dozvole nad fajlom koristeci ''​ls -l''​. Mnogi novi system administratori strogo obracaju paznju na korsnika, i na rec dozvole, zaboravljajuci na dozvole za grupu.
 +<​code>​
 +# ls -l
 +total 29
 +-rw------- ​ 1 root  wheel   27136 Sep 14 09:36 file1
 +-rwxrwxr-- ​ 1 root  wheel    1188 Sep 14 09:35 file2
 +#
 +</​code>​
 +Ovde, samo root moze citati i upisivati u fajl ''​file1''​. Fajl ''​file2''​ moze citati root i svaki drugi korisnik ''​wheel''​ grupe. Ako ste u ''​wheel''​ grupi, nemorate da postanete root da bi azurirali ili citali fajl ''​file2'';​ mozete samo otvoriti vas uredjivac teksta i nastaviti!
 +
 +Da promenite vlasnicku grupu fajla, koristite ''​chgrp(1)''​.
 +<​code>​
 +# chgrp imegrupe imefajla
 +</​code>​
 +Dalje, u BSD ''​wheel''​ je sistemska grupa. Wheel je grupa korisnika koji mogu koristiti root lozinku. Ne zelite da idete stalno i da menjate dozvole da bi fajlovi imali dozvole za pisanje od strane ''​wheel'';​ ovo bi veoma prekrsilo principe najmanjih privilegija. Slicno tome, ''​bind''​ je grupa koju koristi nameserver program. Ne zelite da nameserver program ima prava da upisuje DNS zonske fajlove; u slucaju da neko kompromituje nameserver, onda ce nameserver biti u mogucnosti da upisuje fajlove direktno na disk. Ovo bi bilo lose. Ali pogledajte sledecu shemu dozvola na zonskom fajlu za blackhelicopters.org:​
 +<​code>​
 +-rw-rw-r-- ​ 1  mwlucas ​  ​dns ​  486 Jun  7 10:14 blackhelicopters.org.db
 +</​code>​
 +Ja sam vlasnik fajla, kao stariji administrator,​ ali prava pisanja imaju svi koji su u ''​dns''​ grupi. (Mozete postaviti i odredjenog korisnika da bude vlasnik ovih fajlova.) Bilo ko u dns grupi moze da cita i upisuje u ovaj fajl, bez koriscenja root lozinke. Na kraju, nameserver ima dozvole da cita ovaj fajl.
 +
 +Jedina stvar sada za koju DNS administratori moraju da imaju root lozinku je da restartuju nameserver. Ovo se moze jednostavno resiti podesavanjem unosa u ''​cron''​ koji ce ponovo ucitati nameserver. Ovi administratori ipak mogu zeleti da s vremena na vreme ponovo pokrenu nameserver rucno. U sledecem clanku cemo videti kako da im dozvolite da to urade bez koriscenja root lozinke.
 +
 +
 +\\
 +\\
 +Izvor: http://​www.onlamp.com/​pub/​a/​bsd/​2002/​08/​16/​Big_Scary_Daemons.html
  
koriscenje_grupa_da_bi_se_eliminisao_root.txt ยท Last modified: 2017/04/28 10:25 (external edit)