Red Hat Linux 7.1: Das Offizielle Red Hat Linux Referenzhandbuch
Zurück		Vor

Kapitel 12 Kontrolle von Zugriff und Privilegien

Die Systemsicherheit ist im großen Maße darauf zurückzuführen, dass Benutzer oder Gruppen nur das machen können, was die Sicherheitsbestimmungen zulassen. Die meisten der täglichen Änderungen werden vorgenommen, um die Zugriffe und Privilegien zu kontrollieren, die Benutzer und Gruppen haben. (Unter Kapitel 2 erhalten Sie mehr Informationen über das korrekte Erstellen und Konfigurieren von Benutzern und Gruppen.)

Viele Organisationen, die Red Hat Linux verwenden, haben bestimmte Richlinien oder Arbeitsumgebungen, die eine höhere Sicherheit oder spezielle Konfigurationen für erweiterten oder eingeschränkten Zugriff auf Anwendungen oder Systemgeräte erfordern. Dieser Abschnitt behandelt einige Möglichkeiten wie Sie Ihr System bearbeiten können, um einen geeigneten Level von Zugriffen und Privilegien für Ihre Benutzer zur Verfügung zu haben.

Shadow Dienstprogramme

Wenn Sie sich in einer Mehrbenutzer-Umgebung befinden und weder PAM noch Kerberos benutzen, sollten Sie in Erwägung ziehen, Shadow-Dienstprogramme (auch als Shadow-Passwörter bekannt) zu verwenden, um den verbesserten Schutz zu nutzen, der Ihnen dadurch für Ihre Authentifizierungsdateien in Ihrem System zur Verfügung gestellt wird. Der Shadow-Passwortschutz für Ihr System ist standardmäßig bei der Installation von Red Hat Linux aktiviert, wie z.B. MD5-Passwörter (eine alternative und sichere Methode zum Verschlüsseln von Passwörtern, die in Ihrem System gespeichert werden).

Shadow-Passwörter bieten zusätzlich zum standardmäßigen Speichern von Passwörten auf UNIX und Linux-Systemen noch einige deutliche Vorteile:

Shadow-Passwörter erhöhen die Systemsicherheit dadurch, dass die verschlüsselten Passwörter (normalerweise im Verzeichnis /etc/passwd abgelegt) im Verzeichnis /etc/shadow abgelegt werden, das nur von Root gelesen werden kann.
Sie liefern Informationen über ältere Passwörter (wann ein Passwort das letzte Mal geändert wurde).
Kontrolle, wie lange das Passwort noch verwendet werden kann, bis es geändert werden muss.
Die Möglichkeit unter Verwendung der Datei /etc/login.defs die Sicherheitsbestimmungen besonders im Bezug auf ältere Passwörter umzusetzen.

Das Paket Shadow-Dienstprogramme enthält Dienstprogramme, die Folgendes unterstützen:

Umwandeln von normalen Passwörtern in Shadow-Passwörter und umgekehrt (pwconv, pwunconv)
Überprüfen der Passwort-, Gruppen- und der dazugehörigen Shadow-Dateien (pwck, grpck)
Industriestandard-Methoden zum Hinzufügen, Löschen und Modifizieren von Benutzerzugriffen (useradd, usermod und userdel)
Industriestandard-Methoden zum Hinzufügen, Löschen und Modifizieren von Benutzergruppen (groupadd, groupmod und groupdel)
Industriestandard-Methoden zum Verwalten der /etc/group Datei, die gpasswd verwendet.

Bitte beachten

	Bitte beachten
	Weitere interessante, diese Dienstprogramme betreffende Punkte sind: Die Dienstprogramme arbeiten ordnungsgemäß, unabhängig davon, ob der Shadow-Effekt aktiviert ist oder nicht. Die Dienstprogramme wurden leicht verändert, um die Red Hat Linux Benutzer privater Gruppenschemata zu unterstützen. Diese Änderungen finden Sie in der man-Seite useradd beschrieben. Weitere Informationen über die Benutzer privater Gruppen finden Sie unter Abschnitt namens Benutzereigene Gruppen in Kapitel 2 Das adduser Skript wurde durch eine symbolische Link nach `/usr/sbin/useradd` ersetzt. Die Tools im Paket `shadow-utils` sind für Kerberos oder LDAP nicht aktiviert. Neue Benutzer haben nur lokalen Zugriff. Weitere Informationen über Kerberos oder LDAP finden Sie unter Kapitel 9 und Kapitel 4.

Weitere interessante, diese Dienstprogramme betreffende Punkte sind:

Die Dienstprogramme arbeiten ordnungsgemäß, unabhängig davon, ob der Shadow-Effekt aktiviert ist oder nicht.
Die Dienstprogramme wurden leicht verändert, um die Red Hat Linux Benutzer privater Gruppenschemata zu unterstützen. Diese Änderungen finden Sie in der man-Seite useradd beschrieben. Weitere Informationen über die Benutzer privater Gruppen finden Sie unter Abschnitt namens Benutzereigene Gruppen in Kapitel 2
Das adduser Skript wurde durch eine symbolische Link nach /usr/sbin/useradd ersetzt.
Die Tools im Paket shadow-utils sind für Kerberos oder LDAP nicht aktiviert. Neue Benutzer haben nur lokalen Zugriff. Weitere Informationen über Kerberos oder LDAP finden Sie unter Kapitel 9 und Kapitel 4.

Zurück	Anfang	Vor
Anfordern von SSH für Fernverbindungen	Hoch	Konfigurieren des Zugriffs auf die Konsole