пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅ
Слишком длинный поисковый запрос.
По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В этой статье рассмотрим, как управлять учетными записями пользователей и групп в Linux. Также посмотрим различные базы данных, в которых хранится информация о пользователях и группах и что такое теневые пароли.
Изначально в Linux было 2 файла /etc/password и /etc/group. В первом файле хранилось:
Имя_пользователя : пароль : uid : gid : сведения (поле предназначено для персональных данных) : домашняя_папка : командная оболочк(которая запускается при входе пользователя в систему)
Во втором файле хранилось:
имя_группы : пароль : gid : члены_группы
У группы может быть пароль, но данную функцию очень редко, кто использует, в таком случае пароль будет запрашиваться при смене членства в группе. Данные файлы плохи тем, что у всех пользователей системы, по умолчанию, есть права на чтение. Такие права необходимы потому, что разные пользователи, разные демоны и сервисы обращаются к данным файлам, чтобы брать оттуда информацию. Соответственно в этих файлах хранился пароль пользователя, хотя и в зашифрованном виде, но с помощью различных методов криптографии подбора можно было воспользоваться данным паролем, потому что у всех пользователей был на эти файлы доступ.
Поэтому был создан механизм теневых паролей. Были созданы вот такие 2 файла: /etc/shadow и /etc/gshadow. И к этим двум файлам имеет полный доступ только пользователь root. Следовательно, теперь в файлах passwd и group указываются не пароли, а специальные символы, говорящие что пароли были перенесены в файлы shadow и gshadow.
В новом файле shadow хранится побольше информации о пароле пользователя. Это:
Логин
Пароль
Время после смены пароля – это если пароль сбрасывался после времени установки системы
Минимальный срок действия пароля - как часто можно менять пароль, если, например, стоит 5 дней, то пароль можно менять не чаще, чем раз в 5 дней.
Максимальный срок действия пароля – максимальное количество дней, по прошествии которых обязательно необходимо сменить пароль.
Срок предупреждения – за сколько дней до истечения пароля система предупредит о том, что необходимо сменить пароль.
Время работы с истекшим паролем – это параметр позволяет указанное число дней работать с истекшим паролем.
Срок для блокировки пароля – данный параметр отвечает за время жизни самого пароля, например, пароль будет работать 100 дней, после этого заблокируется.
Соответственно данные параметры можно при необходимости задавать при создании учетной записи пользователя и паролей. Если провести аналогию с операционной системой Windows, то подобные параметры в Windows мы можем задавать через GPO (Group Policy Object - набор правил или настроек, в соответствии с которыми производится настройка рабочей среды в операционных системах Windows). Отличие заключается в том, что в Windows эти параметры выставляются в абсолютных величинах числом, а в операционной системе Linux, относительно даты 1 января 1970 года.
Ну и соответственно gshadow имеет следующую структуру, разделенную символом :.
Имя группы
Пароль зашифрованный
Администраторы, те учетные записи, которые могут менять пароль группы или добавлять другие аккаунты
Члены групп
Следовательно, пароли могут хранится и в тех, и в тех файлах, отличие в том, что у пользователей есть доступ на чтение к файлам passwd и group, а к shadow и gshadow только у пользователя root. Данный механизм называется механизмом теневых паролей, и он присутствует во всех современных Linux системах.
Теперь, посмотрим, как это выглядит в операционной системе.
Заходим в файл passwd любым текстовым редактором, например, nano, без повышения привилегий.
Возьмем пользователя:
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
Логин - list, значок X говорит о том, что пароль хранится в теневом файле. Далее 38 – id пользователя, 38 - gid, прочая информация - Mailing List Manager, домашняя папка пользователя - /var/list и оболочка которая используется при входе - /usr/sbin/nologin.
Можно увидеть, что вместо оболочки у пользователя указан nologin – это означает, что пользователь не может войти, используя стандартный экран входа, используя стандартные средства. На картинке можно найти пользователя siadmin. Можно также увидеть все остальные параметры этого пользователя. У него совпадает uid и gid, это связанно с тем , что при создании пользователя создается одноименная группа. Можно, конечно, при создании указать, что пользователь будет входить в другую группу и не создавать одноименную, но по умолчанию она создается. В конце строчки мы можем увидеть /bin/bash, которая запускается при входе в систему. Можно обратить внимания на uid и gid все реальные пользователи их имеют числом выше 1000. Все пользователи, у которых число ниже – это служебные пользователи или созданные автоматически. В некоторых дистрибутивах Linux нумерация реальных пользователей начинается с 500.
Посмотрим файл с группами, вводим команду nano /etc/group
Данная база очень простая. Указано наименование группы, знак X говорит, о том, что пароль хранится в теневой базе, идентификатор группы и список пользователей в данной группе. Единственный нюанс - если пользователь входит в свою же группу, то после знака двоеточие пользователь не отображается.
Далее файлы /etc/shadow и /etc/gshadow, данные файлы не редактируются с помощью текстовых редакторов, а через специальные команды. Данные файлы — это просто хранилище информации. Эти утилиты будут рассмотрены в следующем уроке.
Зайти в эти файлы могут только пользователи имеющие права root или с помощью команды повышающей привилегии sudo.
sudo nano /etc/shadow
Теперь мы видим в данном файле через двоеточие:
Имя пользователя
* или зашифрованный пароль
Срок с последнего изменения пароля в днях
Минимальный срок изменения пароля, если 0, то сменить пароль можно сразу
99999 - срок действия пароля, 7 - количество дней за которое до истечения пароля придет предупреждение
Символ * говорит о том, что под данным пользователем нельзя зайти стандартным способом, обычно это применяется для служебных аккаунтов, т.е вход вообще заблокирован под данным аккаунтом.
Вот так вот реализуется механизм теневых паролей.
Интернет-мошенничество является огромной проблемой в современном мире. Постоянное развитие интернет-технологий дает мошенникам много возможностей для действий. Однако самой большой угрозой для компании являются не вредоносные программы, а невнимательность сотрудников, поведение которых может стать головной болью для многих специалистов по информационной безопасности.
Несомненно, люди являются самым слабым звеном в корпоративной сети. Если быть точным - его пользователи. Вы можете защитить себя от внешних угроз, собрав и установив лучшие средства защиты, но ничто не может защитить вашу организацию от безрассудства сотрудников. Например, сколько раз сотрудник загружал (сознательно или нет) вредоносное программное обеспечение и "случайно" устанавливал его на компьютер компании с помощью USB-накопителя? Он получил электронное письмо с подозрительным вложением и проигнорировал предупреждения антивируса, потому что он был чрезвычайно заинтересован в том, что он "такое интересное" получил в своем почтовом ящике. Он открыл и проверил, а сетевым администраторам пришлось потрудиться, чтобы понять, откуда взялась атака. Последние также часто, слишком доверяя брандмауэру на сервере, обходят необходимость устанавливать брандмауэр на компьютерах пользователей. Причина - стоимость, эффект - обычно все нормально, пока пользователь не заберет оборудование компании из офиса, где он подключится к незащищенной сети.
Брандмауэр Windows не является достаточной защитой. Поэтому стоит снабдить сотрудников минимальными знаниями, позволяющими им обходить хотя бы некоторые из атак или, если они происходят, распознавать их и минимизировать их последствия. Ниже приводится обсуждение наиболее распространенных видов онлайн-мошенничества.
Фишинг
Фишинг - вид мошенничества, направленный на вымогательство данных, обычно данных на электронную почту или банковский счет (логин, пароль), номера кредитных карт. Реализуется через фальшивые электронные письма с перенаправлением на фальшивый, но очень похожий на подлинный сайт электронного банка. Опасная операция в основном для пользователя из-за возможности фишинга номеров кредитных карт и ПИН-кода. Это может быть проблемой для компании, если пользователь использует бизнес-карты оплаты или имеет доступ к корпоративному аккаунту. Ответ на такое сообщение или нажатие на ссылку подтверждает правильность вашего адреса электронной почты (фишер рассылает спам, редко знает прямой адрес электронной почты), что подвергает его дальнейшим атакам в будущем;
Фарминг
Фарминг - более сложный и поэтому зачастую более опасный вид фишинга. Преступник совершает отравляющую DNS-атаку, которая перенаправляет пользователя на фальшивый веб-сайт, несмотря на то, что его использует действующая ссылка браузера. Другой способ атаки - заражение компьютера жертвы трояном, который позволяет вам изменять файлы вашего компьютера таким образом, чтобы они перенаправляли пользователя на фальшивый веб-сайт, даже если он ввел правильный адрес. В данном случае следует обратить внимание на элементы безопасности сайта, такие как SSL-сертификат или протокол безопасного соединения https //;
Кража личных данных
Кража личных данных - действие, направленное на получение как можно большего количества персональных данных пользователя с целью их использования для финансового мошенничества. В основном это касается физических лиц. Данные компании широко доступны в информационных системах. Однако кража личных данных опасна для сотрудников компании, которые несут последствия своей невнимательности, а возможные последствия могут быть обременительными для компании. И наоборот - если компания хранит какие-либо данные о разных людях, она должна гарантировать, что такая информация не будет украдена и использована в преступных целях. Аналогичным образом, сотрудники, имеющие доступ к базе данных, должны быть осведомлены о последствиях их "утечки" информации. К сожалению, сообщения средств массовой информации об утечках данных от компаний и учреждений появляются довольно часто, что указывает на то, что компания, хранящая данные, или ее сотрудники игнорировали политику и процедуры безопасности, применимые в каждой компании. Профилактика заключается в информировании сотрудников и ограничительном соблюдении процедур компании;
Scam
Scam 419 - также известный как нигерийский Scam состоит из рассылки спам-сообщений в виде сообщений о гигантских выигрышах, огромных активах - наследовании от родственников. Лицо, отправляющее электронные письма, обычно представляется как юрист или нотариус. Этот обман настолько мелок в своей простоте, что вряд ли кто-то "клюнет" на него, а мошенники быстро становятся мишенями и обезвреживаются. Проблема может быть, когда пользователь отвечает на такое электронное письмо или подтверждает получение. Затем он добавляется в список учетных записей, на которые имеет смысл рассылать спам, и его неприятности только начинаются;
"Поддельный интернет-магазин"
"Поддельный интернет-магазин" - мошенничество со стороны компаний, предлагающих товары по ценам, значительно ниже рыночных, или предлагающих покупку товаров данной компании в больших количествах без согласования цен. Поддельный магазин принимает платежи в основном кредитными картами. Цель проста - фишинг номеров кредитных карт. Проблема для компании может быть довольно значительной, если это карточка сотрудника работника. Это мошенничество, легко узнаваемое, каждая компания может быть проверена в регистрационных системах, в том числе и иностранных.
Сообщения с опасным вложением, которые могут содержать вредоносное ПО, которое ищет и отправляет данные с компьютера мошеннику. Проблема для частного пользователя, довольно безвредная для компании, поскольку в большинстве случаев на компьютерах компаний постоянно устанавливаются антивирусные программы. Если пользователь не игнорирует предупреждения системы безопасности, проблем быть не должно. Если он это сделает, сообщение о проблеме скоро будет отправлено сетевым администраторам, поскольку проблема может быть серьезной;
Комбинированные атаки
Комбинированные атаки - состоят в том, чтобы убедить пользователя принять участие в соревнованиях, онлайн-играх и так далее. Чтобы узнать результаты конкурса, нужно отправить SMS, причем очень дорогое. Отправляя SMS-сообщение, пользователь принимает правила, доступные на сайте (хорошо скрытые, чтобы он не нашел его слишком быстро), поэтому действие является законным. И тот факт, что он не читал эти правила - его проблема или компании, в которой он работает, и чей бюджет истощает. Более того, вместо работы он занимается весельем. Однако, если такой нерадивый сотрудник заплатит за телефонный счет, это должно его немного вразумить, и в дальнейшем он будет более осмотрительным.
Есть еще много видов интернет-мошенничества. Они представляют собой разновидность вышеперечисленного, являются их комбинацией или расширены дополнительными элементами. Программное обеспечение, установленное на оборудовании компании, должно эффективно предотвращать хотя бы некоторые из них, но ничто не защищает вас от проблем лучше, чем ваши собственные меры предосторожности и предосторожности при использовании сети Интернет.
Правила безопасности
Плохая компьютерная безопасность лучше, чем вообще ничего.
На компьютере должно быть установлено антивирусное программное обеспечение, которое должно регулярно обновляться.
Если компьютеры используются во внешних сетях, стоит установить дополнительный брандмауэр и антишпионское программное обеспечение. Брандмауэр внутреннего сервера не поможет в этом случае.
Компьютеры должны регулярно проходить полное сканирование на вирусы.
Сотрудники должны строго соблюдать политики и процедуры безопасности компании.
Основой является здравый смысл, программное обеспечение не поможет, если пользователь намеренно игнорирует предупреждения.
Redis – это высокопроизводительная БД, которая хранит данные в памяти, доступ к которым осуществляется по ключу доступа. Она может использоваться в качестве базы данных, кэша и брокера сообщений и поддерживает различные структуры данных, такие как строки, хэши, списки, наборы и т. Д. Redis обеспечивает высокую доступность через Redis Sentinel и автоматическое разбиение между несколькими узлами Redis с помощью Redis Cluster.
Это руководство описывает установку и настройку Redis в CentOS 8. Подробно про Redis можно прочесть в этой статье.
Установка Redis в CentOS 8
Redis версии 5.0.x включен в стандартные репозитории CentOS 8. Для его установки выполните следующие команды от имени пользователя root или пользователя с привилегиями sudo (про то как получить права sudo можно прочесть тут)
sudo dnf install redis-server
После завершения установки включите и запустите службу Redis:
sudo systemctl enable --now redis
Чтобы проверить, работает ли сервер Redis, введите:
sudo systemctl status redis
Получим следующий вывод:
? redis.service - Redis persistent key-value database
Loaded: loaded (/usr/lib/systemd/system/redis.service; enabled; vendor preset: disabled)
Drop-In: /etc/systemd/system/redis.service.d
L-limit.conf
Active: active (running) since Sat 2020-02-08 20:54:46 UTC; 7s ago
Вот и все! Redis установлен и работает на вашем сервере CentOS 8.
Настройка удаленного доступа Redis
По умолчанию Redis не разрешает удаленные подключения. Вы можете подключиться к серверу Redis только с 127.0.0.1 (localhost) - компьютера, на котором работает Redis.
Если вы используете установку с одним сервером, где клиент, подключающийся к базе данных, также работает на том же хосте, вам не нужен удаленный доступ.
Чтобы настроить Redis для приема удаленных подключений, откройте файл конфигурации Redis в текстовом редакторе:
sudo nano /etc/redis.conf
Найдите строку, начинающуюся с bind 127.0.0.1, и добавьте внутренний IP-адрес вашего сервера после 127.0.0.1.
bind 127.0.0.1 192.168.1.10
Убедитесь, что вы заменили 192.168.1.10 своим IP-адресом. Сохраните файл и закройте редактор. Если вы хотите, чтобы Redis прослушивал все интерфейсы, просто закомментируйте строку.
Перезапустите службу Redis, чтобы изменения вступили в силу:
sudo systemctl restart redis
Используйте следующую команду ss, чтобы убедиться, что сервер Redis прослушивает ваш локальный интерфейс через порт 6379:
ss -an | grep 6379
Вы должны увидеть что-то вроде этого:
tcp LISTEN 0 128 192.168.1.10:6379 0.0.0.0:*
tcp LISTEN 0 128 127.0.0.1:6379 0.0.0.0:*
Затем вам нужно настроить фаервол для доступа трафика с TCP-порта 6379.
Скорее всего вы захотите разрешить доступ к серверу Redis только с определенного IP-адреса или диапазона IP-адресов. Например, чтобы разрешить подключения только с подсети 192.168.2.0/24, выполните следующие команды:
sudo firewall-cmd --new-zone=redis –permanent
sudo firewall-cmd --zone=redis --add-port=6379/tcp –permanent
sudo firewall-cmd --zone=redis --add-source=192.168.2.0/24 –permanent
sudo firewall-cmd --reload
Приведенные выше команды создают новую зону с именем redis, открывают порт 6379 и разрешают доступ из частной сети. На этом этапе сервер Redis будет принимать удаленные подключения через порт TCP 6379.
Убедитесь, что ваш фаервол настроен на прием соединений только из доверенных диапазонов IP-адресов. Чтобы убедиться, что все настроено правильно, вы можете попробовать пропинговать сервер Redis с удаленного компьютера, используя утилиту redis-cli, которая предоставляет интерфейс командной строки для сервера Redis:
redis-cli -h ping
Команда должна вернуть ответ PONG:
PONG
Если это так, то значит, что мы все сделали правильно!