Cesko.wiki Uživatelský účet v Unixu
Author
Albert FloresUživatelský účet v Unixu je stránka na české Wikipedii, která poskytuje informace o uživatelských účtech v operačním systému Unix. Článek vysvětluje, co je uživatelský účet a jakým způsobem se vytváří a spravuje v Unixu. Stránka detailně popisuje jednotlivé prvky uživatelského účtu, jako například uživatelské jméno, identifikátor uživatele (UID), primární a sekundární skupiny, domovský adresář a přihlašovací shell. Dále se zde dočteme o heslech a jejich šifrování, o oprávněních uživatelských účtů a možnostech jejich omezování. Stránka také obsahuje informace o speciálních účtech, které mají specifické vlastnosti nebo jsou určeny pro konkrétní účely, jako například účet root nebo service account. Uživatelský účet v Unixu je klíčovým prvkem pro správu přístupu a zabezpečení systému, a proto je důležité porozumět jeho struktuře a funkcím. Vzhledem k tomu, že Unix je jeden z nejpopulárnějších operačních systémů používaných v serverovém prostředí, znalost uživatelských účtů v Unixu je užitečná pro správce a uživatele tohoto systému.
Uživatelské účty (user account) jsou vytvořeny správcem (administrátorem) každému uživateli. Účet jednoznačně definuje uživatele a jeho pracovní prostředí. Informace o účtu jsou v souboru /etc/passwd nebo v mapě passwd Network Information Service. Na starších systémech jsou v tomto souboru i hesla zašifrovaná hesla; v novějších jsou v souboru souboru /etc/shadow, který je čitelný pouze pro správce.
Uživatelský účet obsahuje tyto položky: uživatelské jméno, zašifrované heslo, uživatelské číslo UID, primární skupinu GID, doplňující uživatelské údaje, domovský adresář a přihlašovací shell. Další informace o uživateli a to např. +more čas posledního přihlášení, se ukládá do jiných souborů.
Heslo (password)
Tak jako v jiných operačních systémech, kde se používá heslo, tak i zde v Unixu si heslo volí uživatel. Toto heslo se v počítači ukládá do souboru /etc/passwd nebo /etc/shadow. +more Heslo je do těchto souborů vkládáno v zakódované (hašované) podobě. Druhý soubor, tedy /etc/shadow je pro ukládání hesel vhodnější, protože jej může číst pouze správce systému. Hesla pro skupiny se ukládají do souboru /etc/gshadow.
Heslo účtu není povinné a uživatelé tedy nejsou povinni si svůj účet chránit heslem. Pokud má však k počítači přístup více než jeden uživatel, je velice vhodné si heslo vytvořit. +more Toto heslo by pak mělo mít alespoň 6 znaků a nemělo by se skládat pouze z písmen, ale vhodné je použít i číslice a další znaky. Významnými znaky jsou zde i mezery, řídicí znaky, rozlišují se také malá a velká písmena apod. Heslo by samozřejmě nemělo obsahovat údaje o osobě majitele účtu, protože tyto údaje jsou snadno zjistitelné a při pokusu o uhádnutí hesla se bude právě začínat s osobními údaji majitele účtu.
Útok hrubou silou
Hesla uložená v souboru /etc/shadow případně v /etc/gshadow jsou chráněna před útokem hrubou silou. Ten spočívá ve zkoušení různých zašifrovaných hesel, tedy zkoušení kombinací a když nějaká bude po zašifrování stejná jako zašifrované heslo, má útočník vyhráno.
Možnosti nabourání se do systému vetřelcem
zkoušení hesla (slovník, osobní údaje,…) ** ochrana: omezený počet neplatných pokusů, po kterém následuje uzamčení účtu, dále omezený počet autorizací za sekundu * hrubá síla na zašifrovaný tvar ** ochrana: hesla uchováváme do souboru shadow * využití chyby v operačním systému nebo v programu, který běží s právy administrátora (root)
Tip pro uživatele: volit si bezpečné heslo, které nelze snadno uhádnout (nejlépe kombinace písmen, číslic a dalších znaků) a dbát na bezpečnostní aktualizace.
Uživatelské číslo UID (user identification)
Jedná se o číslo uživatele, které Unix používá k identifikaci namísto uživatelského jména. Je to výhodnější, protože je rychlejší najít uživatele podle určitého UID a ten potom předávat různým programům, než porovnávat jestli neexistuje jiný uživatel s podobně začínajícím loginem. +more Používá se uvnitř datových struktur. Při komunikaci s uživatelem se přes soubor /etc/passwd překládá do textové podoby uživatelského jména.
Primární skupina GID (primary group identification)
Každý uživatel může být ve více skupinách, ale primární skupinou je ta, která je uvedená v souboru /etc/passwd. Členství v této skupině již nemusí být zaznamenáno v souboru /etc/group. +more Soubor /etc/group obsahuje seznam skupin včetně přiřazení uživatelů do těchto skupin. Jednotlivé položky na řádce jsou odděleny dvojtečkou. U každé skupiny jsou uvedeny tyto údaje: jméno skupiny:heslo:GID:eventuálně seznam členů. Uživatel se může přepínat z jedné skupiny do druhé a to za použití příkazu newgrp.
Hesla skupin jsou uvedena v souboru /etc/gshadow a tento soubor může číst pouze administrátor. Slouží to k ochraně hesel, která jsou ještě jednocestně zašifrována.
Domácí adresář (home directory)
Domácí adresář je absolutní cesta k adresáři, která se po přihlášení nastaví jako běžný adresář a který je nadále označován jako domácí adresář uživatele.
Superuživatel (root)
V každém systému, který je typu Unix vždy existuje jeden uživatel, kterému se nekontrolují jeho přístupová práva. Jedná se o superuživatele, který se představuje pod uživatelským jménem root a jeho uživatelské číslo je 0. +more Administrátor provádí pod tímto uživatelským jménem správu systému. Tento uživatel má právo zasahovat do všech datových, souborových a procesových struktur systému.