Настройка безопасности пользователей


Таблица 7.4. Типичные параметры настройки среды в login.conf

Переменная Описание
hushlogin Если присутствует в определении класса, системная информация не выдается при входе в систему.
ignorenologin Если присутствует в определении класса, пользователь может войти в систему, даже когда файл /var/run/nologin существует.
ftp-chroot Если присутствует в определении класса, пользователи при работе с FTP помещаются chroot-окружение (глава 15).
manpath Список каталогов для переменной окружения $MANPATH.
nologin Если присутствует, пользователь не может войти в систему.
path Список каталогов для переменной окружения $РАТН.
priority Приоритет (nice) пользовательских процессов по умолчанию (глава 19).
setenv Список переменных окружения, разделенных запятыми, с их значениями.
umask Значение umask по умолчанию (см. builtin(1)). Это значение всегда должно начинаться с 0.
welcome Полный путь к файлу, содержащему приветственное сообщение.
shell Полный путь к командному процессору, который будет запущен после входа в систему. Эта запись подменяет командный процессор, указанный в /etc/master.passwd. Однако переменная окружения $SHELL будет указывать на командный процессор, заданный в файле паролей, поэтому окружение будет противоречивым. Изменение значения этой переменной — замечательный способ раздосадовать пользователей.
term Тип терминала по умолчанию. Чуть ли не каждая программа, пытающаяся установить тип терминала, подменяет эту запись.
timezone Значение по умолчанию переменной окружения $TZ.

Управление свойствами пароля и входа в систему

В отличие от параметров среды окружения, которые можно настроить не только с помощью классов доступа, большая часть параметров настройки входа в систему и аутентификации могут выполняться только в определении класса доступа. Ниже приводятся некоторые параметры настройки аутентификации:

  • minpasswordlength
    Задает минимальную длину пароля. Это значение возымеет эффект лишь при следующем изменении пароля пользователем; никакой проверки на соответствие уже установленных паролей этой длине не проводится. В следующем примере минимальная длина пароля устанавливается равной 28 символам (это лучший способ побудить пользователей использовать ключи SSH).

    \:minpasswordlen=28:\

  • passwd_format
    Задает алгоритм, применяемый для шифрования паролей в /etc/master.passwd. Значение по умолчанию — md5. Другие допустимые значения — des (DES), blf (Blowfish) и nthash (Windows NT). DES наиболее полезен, когда необходимо иметь одинаковые пароли на компьютерах с различными операционными системами. Blowfish — очень ресурсоемкий алгоритм, но в современных системах процессорное время стоит дешевле грязи, поэтому его тоже вполне можно использовать. Алгоритм nthash очень удобен, когда возникает потребность, чтобы кто-то взломал вашу систему, иного предназначения этого алгоритма я не вижу.
  • mixpasswordcase
    Если это свойство задано, то при следующем изменении паролей пользователи не смогут задавать в них только строчные буквы.
  • host.allow
    Пользователи в классе с этим значением могут применять rlogin и rsh. Такая установка настоятельно не рекомендуется.
  • host.deny
    Это значение используется при работе с rlogin и rsh. Избегайте их как несвежего мяса.
  • times.allow
    Определяет промежуток времени, когда пользователь может входить в систему. Для задания времени необходимо в полях, разделенных двоеточиями, указать дни и периоды времени. Дни обозначаются двумя первыми буквами названия дня недели (Su, Mo, Tu, We, Th, Fr и Sa). Время указывается в стандартном 24-часовом формате. Например, если пользователю разрешено входить в систему только по средам между 8.00 и 17.00, подойдет такая запись:

    :times.allow=We8-17:\

  • times.deny
    Определяет промежуток времени, когда пользователю нельзя входить в систему. Отметим, что эта запись не «выкинет» пользователя, если он уже вошел в систему. Формат записи такой же, как и в times.allow. Если times.allow и times.deny перекрываются, то times.deny имеет преимущество.

Комментарии запрещены.