next up previous contents index
Дал╕: Старт командно╖ оболонки Вгору: Ре╓страц╕я в систем╕ та Назад: X та xdm

Керування доступом

Традиц╕йно база даних користувач╕в в Юн╕кс╕ записувалася в файл╕ /etc/passwd . Деяк╕ системи користуються т╕ньовими паролями150. В таких системах парол╕ користувач╕в записан╕ в файл╕ /etc/shadow . 151 Орган╕зац╕╖ з великими комп'ютерними мережами користуються NIS для розпод╕леного збер╕гання ╕нформац╕╖ про користувач╕в. Кр╕м того, можна встановити автоматичне поширення ╕нформац╕╖ до вс╕х комп'ютер╕в в мереж╕ з одного центрального сервера. База даних користувач╕в м╕стить в соб╕ не т╕льки ╕нформац╕ю про парол╕, а також деяку додаткову ╕нформац╕ю про користувач╕в, таку як ╖хн╕ ╕мена, домашн╕ директор╕╖ та командн╕ оболонки. Ця (╕нша) ╕нформац╕я повинна бути загально доступною, так, щоб кожен м╕г ╖╖ прочитати. Отже, парол╕ треба збер╕гати в закодованому вигляд╕. При цьому ╓ один сутт╓вий м╕нус - будь-хто може читати закодован╕ парол╕ ╕ озбро╖вшись криптограф╕чними методами, може ╖х розкодувати. Т╕ньов╕ парол╕ намагаються запоб╕гти цьому. В системах з т╕ньовими паролями парол╕ записуються окремо в╕д ╕нших даних про користувач╕в, в файл╕ в╕дкритому на читання т╕льки root (парол╕ все ще залишаються закодованими). Однак, встановлення т╕ньових парол╕в вже п╕сля встановлення системи може бути проблематичним.

З т╕ньовими паролями чи без них, завжди варто бути певним, що вс╕ парол╕ в систем╕ над╕йн╕, тобто, що ╖х не легко вгадати. Для злому парол╕в може використовуватися програма crack . Будь-який пароль вгаданий ц╕╓ю програмою вважа╓ться ненад╕йним. Програму crack  можуть використовувати також ╕ т╕, хто намага╓ться зломати парол╕, але нею варто користуватися ╕ системному адм╕н╕стратору для того, щоб перев╕ряти ст╕йк╕сть парол╕в. До вживання добрих парол╕в може змусисти також програма passwd . Це трохи ефективн╕ше в терм╕нах процесорного часу, оск╕льки зломка парол╕в вимага╓ досить таки ╕нтенсивно╖ роботи прооцесора.

База даних груп користувач╕в збер╕га╓ться в файл╕ /etc/group . В системах з т╕ньовими паролями може ╕снувати також файл /etc/shadow.group .

Як правило root не може заре╓струватися в систем╕ з в╕ддаленого терм╕налу або з мереж╕. Це дозволеня╓ться т╕льки на тих терм╕налах, як╕ перел╕чен╕ в файл╕ /etc/securetty  152. Для цього треба мати ф╕зичний доступ до одного ╕з цих терм╕нал╕в. Однак можна заре╓струватися в систем╕ п╕д ╕менем ╕ншого користувача з будь-якого терм╕налу. П╕сля цього щоб стати root'ом треба виконати команду su .



Dmytro Kovalev
1999-06-10