пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ
Слишком длинный поисковый запрос.
По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Жизнь системного администратора не проста. Поддержка систем, безопасность сетевого контура, решение проблем - уследить за всем сложно. Пользовательские пароли – важный нюанс и их, безусловно, нужно менять с определенной периодичностью.
В статье расскажем, как автоматически заставлять пользователей Linux сменить их пароли.
Срок действия паролей
Чтобы получить информацию о пользовательских паролях и о дате их окончания введите команду:
chage -l
Будет выведена следующая информация:
Когда пароль был последний раз изменен;
Дата окончания действия пароля;
Сколько дней осталось до окончания действия пароля;
Когда учетная запись пользователя будет закончена (можно, пожалуйста, далее мы будем говорить «заэкспайрится»?)
Минимальное количество дней между итерацией смены пароля;
Максимальное количество дней между итерацией смены пароля;
Заставляем пользователя менять пароль каждые 90 дней
Следующей командой вы можете поставить жесткое правило смены паролей:
sudo chage -M 90
Команду можно выполнить от root пользователя или от юзера с sudo правами. Проверить, что настройка установлена корректно, можно с помощью команды chage -l
Срок действия учетной записи
Представьте, у вас есть два юзера: Иван и Петр. И доступ им нужно организовать на 2 дня, с момента сегодняшней даты (сегодня echo rus_date("j F");). Получается, создаем им пользователей:
sudo adduser ivan
sudo adduser petr
Создаем пароли для них:
sudo passwd ivan
sudo passwd petr
Как мы уже сказали, Иван и Петр уезжают через 2 дня. Соответственно, делаем для них следующую конфигурацию:
sudo chage -E echo date("Y-m-d", strtotime("+2 days")); ivan
sudo chage -E echo date("Y-m-d", strtotime("+2 days")); petr
Если вы запустите команду chage -l , то увидите актуальную дату жизни аккаунта. Как только аккаунты Ивана и Петра заэкспайрятся, их можно будет удалить командой:
sudo chage -E -1 ivan
sudo chage -E -1 petr
Сколько времени на смену пароля?
Пароль Геннадия заэкспайрился (истек срок годности) в воскресение. Мы дадим Гене 5 дней, чтобы он зашел в свою учетную запись и сменил пароль. Если он этого не сделает, аккаунт будет заблокирован. Сделать это можно вот так:
sudo chage -I 5 gennady
Ну, а если Геннадий так и не сменит пароль и учетная запись заблокируется, удалить ее можно вот так:
sudo chage -I -1 gennady
Предупреждения для пользователей
Вы – адекватный человек. И наверняка хотите, чтобы ваши юзеры были уведомлены о смене пароля заранее. Например, чтобы Геннадий узнал, что через 7 дней истекает срок годности его пароля, дайте следующую команду:
sudo chage -W 7 gennady
Защищаемся от частой смены паролей
Вдруг в вашем штате завелся очень взволнованный безопасностью сотрудник, который меняет пароли каждый день? Такое. Чтобы сделать минимальное количество дней между сменой паролей в две недели (14 дней), можно указать следующую команду:
sudo chage -m 14 sergey
Сделали большой лимит и передумали? Не проблема – удалить ограничение в днях можно вот так:
sudo chage -m 0 sergey
В этой статье рассказываем как восстановить потерянный или забытый пароль root пользователя в утилите VMware vCenter Server в версиях 5.5 и 6.0.
Для поздних версий инструкцию по сбросу пароля смотрите здесь.
Решение
В vCenter Server Appliance 5.5 и 6.0 пароль локальной учетной записи по умолчанию истекает через 90 дней. В vCenter Server Appliance 5.5 Update 1 срок действия пароля истекает также через 90 дней. Однако вы можете войти в систему через командную строку и обновить пароль после истечения срока действия пароля.
Чтобы решить эту проблему необходимо:
Повторно активировать учетную запись путем перезагрузки устройства vCenter Server
Изменить параметр ядра в загрузчике GRUB, чтобы получить оболочку с правами root.
Примечание: если учетная запись root недоступна через командную строку, такую как secure shell и интерфейс управления виртуальными устройствами (VAMI) (vCenter Server Appliance 5.5 и 6.0 Update 1), то это означает, что учетная запись root не активyf из-за истечения срока действия пароля.
Инструкция по повторной активации учетной записи и изменению ядра
Перезагрузите устройство vCenter Server с помощью клиента vSphere.
Когда появится загрузчик GRUB, нажмите пробел, чтобы отключить автозагрузку.
Примечание: после включения питания виртуальным машинам требуется небольшое время, чтобы выйти из BIOS/EFI и запустить гостевую операционную систему. Вы можете настроить задержку загрузки или принудительно запустить виртуальную машину поверх экрана настройки BIOS или EFI после включения питания.
Введите p, чтобы получить доступ к параметрам загрузки устройства.
Введите пароль GRUB.
Примечание:
Если устройство vCenter Server используется без изменения пароля суперпользовавтеля в интерфейсе управления виртуальными устройствами (VAMI), то пароль GRUB по умолчанию - vmware.
Если root пароль устройства vCenter Server сброшен с помощью VAMI, пароль GRUB - это последний пароль, установленный в VAMI для учетной записи root.
Используйте клавиши со стрелками для выделения устройства VMware vCenter Server и нажмите e для редактирования команд загрузки.
Прокрутите страницу до второй строки, отображающей параметры загрузки ядра.
Введите e, чтобы изменить команду загрузки.
Добавьте init=/bin/bash к параметрам загрузки ядра.
Нажмите Enter. Меню GRUB появится снова.
Введите b, чтобы начать процесс загрузки. Система загрузит оболочку.
Сбросьте пароль суперпользователя, выполнив команду passwd root.
Перезагрузите устройство, выполнив команду reboot.Если вы не можете перезагрузить устройство, выполнив команду reboot, то выполните следующие команды:
mkfifo /dev/initctl
reboot -f
Примечание: если учетная запись с правами root заблокирована в течение длительного времени, это может быть связано с отсутствием места в журнале сообщений.
Сопутствующая информация
В vCenter Server Appliance вы можете установить свой собственный период истечения срока действия пароля и схему предупреждений по электронной почте на вкладке Admin интерфейса управления виртуальным устройством (VAMI).
Адреса электронной почты, настроенные на вкладке Admin В VAMI (https://IP_address:5480 или https://VAMI_host_name:5480) будут получать уведомления по электронной почте каждый день в течение семи дней до истечения срока действия пароля. Параметры электронной почты, такие как ретрансляционный SMTP-сервер, настраиваются через клиент vSphere в настройках почты vCenter Server.
CORS – это механизм браузера, который позволяет серверам указывать сторонние источники, которые имеют право запрашивать у них ресурсы. Этот механизм обеспечивает безопасность и не дает вредоносным сайтам красть данные, которые принадлежат другим источникам.
CORS расшифровывается как Cross-Origin Resource Sharing, что переводится как «обмен ресурсами с запросом происхождения». В случае, когда для загрузки ресурса используется CORS, браузер отправляет предварительный HTTP-запрос
OPTIONS
. Сервер должен ответить, указав все источники, с которыми он собирается взаимодействовать. Также он может определить дополнительные ограничения, например, указать HTTP-заголовки, которые могут быть отправлены.
Браузер проверяет текущий источник и исходящий запрос на соответствие спецификациям сервера. Если все проверки были пройдены успешно, то запрос одобряется. В противном случае запрос будет отклонен. Если это произойдет, вы увидите предупреждение в консоли.
Когда используется CORS
Браузеры применяют CORS для запросов Ajax и Fetch. Этот механизм также используется для веб-шрифтов, текстур WebGL и отрисовки изображения холста с помощью
drawImage()
. CORS также потребуется для любого правомерного запроса к стороннему источнику.
CORS не применяется в том случае, если запрос рассматривается как «простой». Простой запрос должен начинаться с
GET
,
HEAD
или
POST
и иметь тип содержимого
text/plain
,
application/x-www-form-urlencoded
или
multipart/form-data
. Единственные заголовки простых запросов, которые допускаются, - это
Accept
,
Accept-Language
,
Content-Language
и
Content-Type
.
Если запрос не соответствует всем критериям, которые мы перечислили выше, то современные браузеры запускают CORS. Важно понимать, что CORS – это технология для браузера, и вы не сможете использовать его при самостоятельной отправке запросов, например, с помощью утилиты
curl
в своем терминале.
CORS не всегда отправляет предварительный запрос
OPTIONS
. Предварительная проверка нужна и используется только тогда, когда запрос может вызвать «побочные эффекты» на сервере. Как правило, это относится ко всем методам запроса, кроме
GET
.
Предположим, что есть запрос
POST
к
/api/users/create
. Сервер всегда будет создавать нового пользователя, но при этом браузер может отказать в доступе к ответу на этот запрос, если для запроса был использован CORS. Есть шанс, что сервер может отклонить реальный запрос, если перед этим был отправлен запрос
OPTIONS
. Это обеспечивает то, что учетная запись пользователя на самом деле не будет создаваться.
Управление CORS на стороне клиента
Несмотря на то, что CORS является технологией для браузера, вы все равно не можете влиять на нее напрямую с помощью клиентского кода. Это гарантирует, что вредоносные скрипты не смогут обойти защиту CORS, чтобы загрузить данные со сторонних доменов.
CORS, как правило, незаметен, поэтому вы даже не будете знать о том, что он работает. Если в процессе CORS произойдет сбой, то ваш код JavaScript увидит обычную сетевую ошибку. Получить точную информацию о том, что пошло не так, невозможно, поскольку это может представлять риск нарушения безопасности. Все подробности записываются в консоль.
Единственный способ устранить сбои CORS – это убедиться, что ваш сервер отправляет корректные заголовки ответов. Теперь давайте посмотрим, как это делается.
Управление CORS на стороне сервера
Для начала вам следует убедиться в том, что ваш сервер правильно обрабатывает запросы
OPTIONS
. Возможно, вам придется создать новый маршрут обработки запросов в вашей веб-среде. В большинстве случаев вам придется принимать запросы
OPTIONS
к каждой конечной точке, которая может получить CORS-запрос от браузера. Ответ не обязательно должен иметь тело, но он должен включать в себя определенные заголовки, которые сообщают браузеру, что делать дальше.
Начните с заголовка
Access-Control-Allow-Origin
. Он укажет на сторонний источник, который имеет право взаимодействовать с вашей конечной точкой. Указать можно только один источник; но вы можете обрабатывать несколько источников, динамически устанавливая в качестве значения заголовка источник, из которого был отправлен запрос. Текущий источник можно найти в заголовке запроса
Origin
.
Access-Control-Allow-Origin
принимает * в качестве специального подстановочного символа. Это позволит принимать запросы CORS из всех источников. Здесь следует быть осторожным, поскольку указание разрешенных источников обеспечивает контроль и не дает вредоносным скриптам запрашивать данные с вашего сервера.
Access-Control-Allow-Origin
должен быть включен в ответ вашего сервера на реальный запрос и в ответ на запрос
OPTIONS
. После того, как этот заголовок будет настроен, будет разрешен базовый обмен данными со сторонним клиентом браузера.
Указание CORS-заголовков
CORS-запросы, как правило, поддерживают только заголовки «простых» запросов, которые были перечислены выше. Если вы хотите использовать какой-то другой заголовок, например,
Authorization
или настраиваемый заголовок, то вашему серверу необходимо будет явно разрешить его в ответе на предварительный запрос.
Установите заголовок
Access-Control-Allow-Headers
. Его значение – это список названий заголовков через запятую, которые будут приняты с реальным запросом.
Access-Control-Allow-Headers: Authorization, X-Custom-Header
Теперь браузер разрешит запросы с заголовками
Authorization
или
X-Custom-Header
.
Браузер отправляет заголовок
Access-Control-Allow-Headers
вместе с предварительным CORS-запросом. Он содержит список заголовков, которые будут отправлены с реальным запросом. Ваш серверный код может использовать эту информацию для того, чтобы понять, как нужно ответить на предварительный запрос.
Ограничение на определенные методы запроса
Аналогично тому, как мы указываем заголовки запроса, так и конечные точки сервера могут определять, какие HTTP-методы из различных источников будут разрешены. Установите заголовок
Access-Control-Allow-Methods
. Его значение – список названий методов через запятую.
Access-Control-Allow-Methods: GET, POST, DELETE
Браузер отправляет заголовок
Access-Control-Request-Method
с предварительным запросом. Таким образом сервер узнает HTTP-метод, который будет использоваться для выполнения окончательного запроса.
Cookie-файлы и учетные данные
CORS-запросы, как правило, не отправляют cookie-файлы, так как в них может содержаться конфиденциальные учетные данные, которые идентифицируют отправителя. Если вам необходимо добавить cookie-файл к запросу на другой источник, то это нужно явно разрешить в клиентском коде:
fetch("https://localhost/demo", {
mode: "cors",
credentials: "include"
});
К тому же сервер должен установить заголовок ответа
Access-Control-Allow-Credentials: true
, чтобы сообщить о том, что он соглашается на обмен cookie-файлами, которые содержат учетные данные.
Если вы используете заголовок
Access-Control-Allow-Credentials
, то нельзя использовать подстановочный символ (*) в заголовке
Access-Control-Allow-Origin
. Сервер должен явно указать источник для того, чтобы обезопасить конфиденциальность пользователя. Если вы будете использовать подстановочный символ, то браузер не выполнит запрос и вернет ошибку.
Предварительное кэширование
Предварительные запросы
OPTIONS
усиливают нагрузку на каждый запрос, который вы отправляете. При хорошем соединении задержка должна быть почти незаметной, и все же нерационально вызывать одну и ту же конечную точку раз за разом.
Вы можете указать браузеру кэшировать ответы на предварительные запросы. Для этого вам нужно установить заголовок
Access-Control-Max-Age
. Значение этого заголовка – это время, выраженное в секундах. В течение этого времени браузер может хранить кэшированный ответ. Последующие запросы к той же конечной точке в течении заданного периода времени не будут сопровождаться предварительными запросами.
Заключение
При первом знакомстве с технологией CORS она может сбивать с толку. Эта технология браузера, которая контролируется ответами сервера. Использование CORS неизбежно, но при этом оно может оказаться неуправляемым, если у вас нет доступа к серверному коду, с которым вы взаимодействуете.
Фактическая реализация CORS довольно проста. Убедитесь, что ваш API или CDN отправляет корректные заголовки ответов, в особенности это касается заголовка
Access-Control-Allow-Origin
. Если с этим проблем нет, то у вас будет безопасная связь между источниками, которая поможет избежать вмешательства злоумышленников.