8 קלח - תונובשחב ודוס השיג תלעפהו םיצבק תונוכתו תואשרה ,תוצובקו םישמתשמ לוהינ
.רתוי ההובג המרב הכימת יתווצל תויעב םילסהל ךרוצ שי יתמ טילחהל םילגוסמ תויהל ידכ תלכשומ תוטלחה תלבק ןכו ,ללוכ חותינו רוטינ םע דחי ,םילעופה םיתורישו תוכרעמב הכימת תללוכה ,סקוניל תוכרעמב תינו
.סקוניל ןרק לש הכמסהה תינכותל אובמ ראתמה אבה ןוטרסב תוריהמב ןייע אנא
.LFCS הכמסהה תניחבל תושרדנה סקוניל תכרעמב תוצובקו םישמתשמ תואשרה להנל דציכ ךתוא ךירדנ ונא ,הז ףיעסב ןאכ ,םיכירדמ 10 לש הכורא הרדס ךותמ 8 קלח אוה הז רמאמ
.םהל וצקוהש תומישמה עוציבל תושורדה תואשרהה תקנעה םע דחי ,םישמתשמ תונובשח קוחמל וא תועשהל ,ךורעל ,ףיסוהל דציכ :ליעי םישמתשמ לוהינ עצבל דציכ תעדל םכילע היהי ,(תחא תכרעמל תשגל םינוש םיפוסמב ו
םישמתשמ תונובשח תפסוה
.שרושכ תואבה תודוקפה יתשמ תחא תא ליעפהל לכות ,שדח שמתשמ ןובשח ףיסוהל ידכ
# adduser [new_account] # useradd [new_account]
.תועצובמ תואבה תולועפה ,שדח שמתשמ ןובשח תכרעמל ףסוותמ רשאכ
.(שמתשמ םש/שמתשמ םש/ לדחמ תרירבכ) תרצונ ולש תיבה תיירפס .1
.ולש שמתשמה תלעפה רובע הביבס ינתשמ קפסל ושמשיו ,שמתשמה לש תיבה תיירפסל םיקתעומ םיאבה םירתסנה םיצבקה .2
.bash_logout .bash_profile .bashrc
. שמתשמ םש .שדחה שמתשמה ןובשחל ההז םש תלבקמו תרצונ הצובק .4 .(םייתדוקנ תועצמאב םימוחתמ תודשה) אבה טמרופה לעבו תכרעמ שמתשמ ןובשח לכל המושר ליכמ הז ץבוק ./etc/passwd ץבוקב םירמשנ םיאלמה ןובשחה יטרפ[username]:[x]:[UID]:[GID]:[Comment]:[Home directory]:[Default shell]
.אבה טמרופה תא שי טילקת לכל ./etc/group ץבוקב רמשנ יתצובק עדימ
[Group name]:[Group password]:[GID]:[Group members]
.ןמקלדכ אוה usermod לש יסיסב ריבחתש , usermod הדוקפה תועצמאב (תודש המכ לש םש םשל) אבה עדימה תא ךורעל ולכות ,ןובשח תפסוה רחאל
# usermod [options] [username]
. YYYY-MM-DD טמרופב ךיראת וירחאו ןיגפה– ןמיסב שמתשה
# usermod --expiredate 2014-10-30 tecmint
.םיקיספב תדרפומה תוצובק תמישר הירחאו , תוצובק - ףסוה – וא , -aG לש תובלושמה תויורשפאב שמתשה
# usermod --append --groups root,users tecmint
.השדחה תיבה תיירפסל טלחומה ביתנה וירחאו , תיב– וא , -d תויורשפאב שמתשה
# usermod --home /tmp tecmint
.השדחה תפטעמל ביתנה וירחאו , זגפ– ב שמתשה
# usermod --shell /bin/sh tecmint
# groups tecmint # id tecmint
.תחא תבב ל"נה תודוקפה לכ תא עצבנ אוב וישכע
# usermod --expiredate 2014-10-30 --append --groups root,users --home /tmp --shell /bin/sh tecmint
:tmp/-ל תיבה תיירפס לש םוקימה תא הנשנו לדחמה תרירב תפטעמכ sh תא רידגנ ,ףוסבל .םישמתשמה תצובקלו שרושל םג ןובשחה תא ףיסונ .2014 רבוטקואב 30 -ל tecmint שמתשמה ןובשח לש הגופתה
םג ארק :
.תואבה תולועפה תא עצבל לכונ םימייק תונובשח רובע
.שמתשמה תמסיס תא לוענל ידכ לוענ– תורשפאב וא (L תולודג תויתואב) -L תורשפאב שמתשה
# usermod --lock tecmint
.רבעב המסחנש שמתשמה תמסיס תליענ תא לטבל ידכ –unlock תורשפאב וא –u תורשפאב שמתשה
# usermod --unlock tecmint
.הרטמה תא גישהל ידכ תואבה תודוקפה תרדס תא לעפה
# groupadd common_group # Add a new group # chown :common_group common.txt # Change the group owner of common.txt to common_group # usermod -aG common_group user1 # Add user1 to common_group # usermod -aG common_group user2 # Add user2 to common_group # usermod -aG common_group user3 # Add user3 to common_group
.האבה הדוקפה תועצמאב הצובק קוחמל ךתורשפאב
# groupdel [group_name]
.הקחמנש הצובקה לש GID -ל רדגוי הצובקה לעב ךא ,וקחמיי אל םה , group_name תולעבבש םיצבק םנשי םא
סקוניל יצבק תואשרה
." תודחוימ תואשרה "\םימעפל תונוכמה ,(בושח תוחפ אל ךא) שומישב תוחפ תורחא האשרה תורדגה ןנשי ,וז הרדסב 3 קלח - םיצבק ינייפאמ תרדגהו ןויכרא ילכב ןהב ונדש תויסיסבה עוציבהו הביתכה ,הא
.האשרהה גוס תא ןייצמה (ילמס ןומיס) תוא תועצמאב וא ילטקוא ץבוק תועצמאב תועבקנ ןה ,ןכל םדוק ונודנש תויסיסבה תואשרהה ומכ
.תורשפא רסה– םע userdel הדוקפה תועצמאב (ראודה לילס םגו ,וב םינכושה םיצבקה לכו ,שמתשמה תולעבב אוה םא ,ולש תיבה תיירפס םע דחי) ןובשח קוחמל ךתורשפאב
# userdel --remove [username]
.הלא םיבאשמל תונוכנה תואשרהה תעיבק ידי לע םירחא תכרעמ יבאשמו םיצבקל הטושפ השיג תרקב תעמטה איה תוצובק לש תורטמה תחא .רתוי רחואמ הצובקל םירחא םישמתשמ ףיסוהל ןתינ .הלש דיחיה רבחכ שמתשמה םש םע
.םיאבה םישמתשמה תא ךל שיש חיננ ,אמגודל
,ומכ והשמ תושעל תותפתהל לולע התא .רצי 1 שמתשמ ש תשר ףותישב ילוא וא ,ךלש תימוקמה תכרעמב והשפיא םקוממה common.txt םשב ץבוקל השיג תביתכ ו האירק ל םיקוקז
# chmod 660 common.txt OR # chmod u=rw,g=rw,o= common.txt [notice the space between the last equal sign and the file name]
. 1 שמתשמ הצובקו 1 שמתשמ שמתשמ ידי לע ךתולעבבש םיצבקה ראשל השיג םהל ןתיי םג הז ךא , user1 הצובקל user3 -ו user2 ףיסוהל התפתתש ןכתי ,בוש .(הז הר
.הזכ הרקמב תושעל ךילעש המ הנהו ,תוליעומ תוצובק וב םוקמה הז
.root תולעבבש ץבוקל תשגל ךירצ תכרעמ שמתשמ רשאכ וז האשרה תרדגה םע תוינכות אצמתש חינהל ריבס .setuid תאשרה ילעב םיצבקה רפסמ תא רעזמל שי ,םיינוחטיב תוששח ריבס ןפואב תולעהל הלוכי וז השיגש ןוויכ
.דבלב םהלש תא תונשל םילגוסמ תויהל םיכירצ םישמתשמה ראש לכ ךא ,דחא לכ לש המסיסה תא תונשל לוכי לעה שמתשמה ./etc/shadow ץבוקה תא הנשמו ןובשח לש המסיסה יונישל שמשמ הז יראניב . /
.םהלש תומיאתמה תואמסיסה תא קר תונשל םילוכי םירחא םישמתשמ .ןובשח ןייצל לכוי root קר ךא ,/bin/passwd ץירהל האשרה תויהל ךירצ שמתשמ לכל ,ךכיפל
.ץבוקה לעב לש תישארה הצובקל רשק אלל ,הירפסב םיצבקה לכל השיגל םיקוקז תמיוסמ הצובקב םירבחש םעפ לכב וז השיגב שמתשתש חינהל ריבס .באה תיירפס לש bit setgid תא ושריי ןכ םג ורצונש הנשמה תוירפסו ,ה
# chmod g+s [filename]
.(תויוצרה וא) תויחכונה תויסיסבה תואשרהל 2 רפסמה תא ןכה ,תילטקוא הרוצב setgid תא רידגהל ידכ
# chmod 2755 [directory]
.שרוש אוה וא ,ץבוקה ,הירפסה לש םילעבה אוה שמתשמה ןכ םא אלא ליכמ אוהש םיצבקה םש תא תונשל וליפא וא קוחמל םישמתשמהמ עונמל עיפשמ הז תוירפס רובע וליאו ,ונממ תמלעתמ טושפ סקוניל ," קיבד תצק
# chmod o+t [directory]
.(תויוצרה וא) תויחכונה תויסיסבה תואשרהל 1 רפסמה תא ףסוה ,תילטקוא הרוצב הקיבדה תיביס ה תא רידגהל ידכ
# chmod 1755 [directory]
.ימלועל בותכש ,/tmp ןוגכ ,תוירפסב ללכ ךרדב אצמנ קיבדה לקמה ,וז הביסמ .םיצבק לש םש תונשל וא קוחמל לוכי היירפסל בותכל לוכיש ימ לכ ,הקיבדה תיביסה אלל
תודחוימ סקוניל יצבק תונוכת
.ןמקלדכ ,lsattr ילכה תועצמאב םהב תופצל ןתינו chattr הדוקפה תועצמאב םירדגומ םה .ויוניש וליפא וא ותקיחמ ,ותרבעה ,ץבוקה םש יוניש תא עונמל ,המגודל .םיצבקב תורתומה תולועפה לע תופסונ תולבגה תורש
# chattr +i file1 # chattr +a file2
.(הביתכל חפסנ בצמב חותפ קר ןתינ) דבלב תפסות בצמל רובעי file2 וליאו (ותוא קוחמל וא ותונשל ,ומש תא תונשל ,וזיזהל ןתינ אלש רמואש המ) יונישל ןתינ אל file1 ,וללה תודוקפה יתש ע
sudo -ב שומישו סיסבה ןובשחל השיג
.הדלקה ידי לע איה סיסבה ןובשחל השיג לבקל םילוכי םישמתשמ ןהבש םיכרדה תחא
$ su
.שרושה תמסיס תא ןיזהל זאו
.לעפה ,תאז םוקמב שרושה לש תיבה תיירפסב םקוממ תויהל הצור התא םא .רבעב תייהש וזל ההז תיחכונה הדובעה תיירפס םע שרוש כ רבחתת ,חילצי תומיאה םא
$ su -
.שרושה תמסיס תא ןזה זאו
.תורחא אל וא רתוי וא תדחוימ הדוקפ ליעפהל ול רשפאל ידכ שמתשמ לע תולבגמ רידגהל ןתינ ,ךכיפל .דואמ תלבגומו תרקובמ הרוצב (לעה-שמתשמ ללכ ךרדב) רחא שמתשמכ תודוקפ עצבל ליגר שמתשמל רשפאיש ךכ su
םג ארק : ודוס שמתשמל וס שמתשמ ןיב לדבהה
.תעצבתמ הניוצש הדוקפה ,(הדוקפה תא ליעפהל תואשרה וקנעוה שמתשמל םאו) חילצמ תומיאה םאו ,(שמתשמה לש אל) ונלש המסיסה תא ןיזהל שקבתנ ,הדוקפה תנזה רחאל .הלש/ולש המסיסב שמתשמ שמתשמה , sudo
.טסקט ךרוע םע תורישי ותוא חותפל םוקמב visudo הדוקפה תועצמאב הז ץבוק ךורעל ץלמומ ./etc/sudoers ץבוקה תא ךורעל תכרעמה להנמ לע ,sudo -ל השיג קינעהל ידכ
# visudo
.(ץבוקה תא ךורעל ידכ וז הרדס Install and use vim as Editor - Part 2 of -ב תועיפומה תוארוהה רחא בוקעל לוכי התא) vim תועצמאב /etc/sudoers ץבוקה תא תחתופ וז הלועפ
.רתויב תויטנוולרה תורושה הלא
Defaults secure_path="/usr/sbin:/usr/bin:/sbin" root ALL=(ALL) ALL tecmint ALL=/bin/yum update gacanepa ALL=NOPASSWD:/bin/updatedb %admin ALL=(ALL) ALL
.בורקמ םהילע לכתסנ ואוב
Defaults secure_path="/usr/sbin:/usr/bin:/sbin:/usr/local/bin"
.תכרעמל קיזהל לולעש רבד ,שמתשמל תויפיצפס תוירפסב שומיש תעינמל תשמשמ איהו , ודוס ל ושמשיש תוירפסה תא ןייצל ךל תרשפאמ וז הרוש
.תואשרהה ןויצל תושמשמ תואבה תורושה
root ALL=(ALL) ALL
tecmint ALL=/bin/yum update
.שרושכ םאי ןוכדע ץירהל לכוי tecmint שמתשמה ,הז הרקמב .שרושה שמתשמ תא חינמ b> = , sudo> ןמיסה רחאל שמתשמ םוש ןיוצ אל םא
gacanepa ALL=NOPASSWD:/bin/updatedb
.ולש המסיסה תא ןיזהל ךרוצ אלל /bin/updatedb ץירהל gacanepa שמתשמל תרשפאמ NOPASSWD היחנהה
%admin ALL=(ALL) ALL
.םיחראמה לכב שמתשמ לככ תודוקפה לכ תא ץירהל םילוכי " להנמ "\הצובקה ירבחש רבדה שוריפ .ליגר שמתשמ לש וזל ההז הרושה ראש לש תועמשמה ." להנמ "\םשב הצובק לע הלח וז הרושש ןייצמ
.ןתוא םושרל ידכ " -l "\תורשפאב שמתשה ,sudo ידי לע ךל תוקנעומ תואשרה וליא תוארל ידכ
PAM (רוביחל םינתינ תומיא ילודומ)
.שורדה עדימה תא לבקל דציכ תעדל ידכ דחוימב ףסאיהל הכירצ התייה תומיא תשרודש תינכות לכ רשאכ ,סקוניל לש םינושארה וימיב םיחתפמ ינפב םיבצינ תובורק םיתעלש היעבה לע רבגתה תוינרדומה סקונילה תוצפה ל
.ךלש תשרה ךותב דרפנ תרשב וא etc/shadow/-ב תנסחואמ ךלש המסיסה םא הנשמ אל ,PAM םע ,המגודל
.( /etc/pam.conf ב ריבס תוחפו , ךותב אצמנה ,םושייה םש לע ץבוק ,הארנה לככ) הרוצת ץבוק תכירע קר ללוכ אוה ןכש לק אוה (PAM -ב תשמתשמה תרחא תינכות לכ וא) הסינכה םושיי רובע
:וילא הרשקנ PAM (libpam) -ה תיירפס םא הקידב ידי לע PAM -ב שמתשמ םיוסמ םושיי םא תעדל םילוכי ונא ,ףסונב .ירוקמ ןפואב PAM -ב םישמתשמ םימושיי וליא םינייצמ /etc/pam.d ךותב םיצבק
# ldd $(which login) | grep libpam # login uses PAM # ldd $(which top) | grep libpam # top does not use PAM
.תאז השוע וניא ףדה וליאו ,תכרעמה ישמתשמ תומיא תלעפהב ברועמ הז םושייש ןוויכמ ינויגה הז .הסינכה םושייל רשקנ libpam -ה יכ תוארל םילוכי ונא ליעל הנומתב
:etc/pam.d/passwd/ תבותכב םקוממ אוה .שמתשמה תואמסיס יונישל עודיה תורישה ילכ ,ןכ - passwd רובע PAM לש הרוצתה ץבוק תא קודבנ ואוב
# cat /etc/passwd
.תכרעמב אצמנ אל אוהש ןוויכמ לודומה תא ןועטל ןתינ אל םא תכרעמה ןמויב דעתי אל PAM ,גוסה ינפל ףקמ עיפומ רשאכ .(תישילשה הדומעה) path-module םע שמשיש תומיאה גוס ת
:םינימז םיאבה תומיאה יגוס
:לשכנ הז לודומ םע תומיאה םא תורקל ךירצ המ תנייצמ ( control תארקנה) היינשה הדומעה
.לודומל ורבעויש םינועיטה תא הגיצמ ,תמייק איה םא ,תיעיברה הדומעה
.passwd (auth) -ב שמתשהל האשרה ןתמ ידי לע (המסיס) תומיאה ןומיסא תא תונשל ה/ול רשפאמ הז ,ןכ םא .(ןובשח) קוח ירושיא קפיס שמתשמהש קודבל ידכ תכרעמה תומיא לודומ תא ןעט ,(ליעל גצומ) etc/pam.d/
ףרצמ התא םא ,אמגודל
remember=2
האבה הרושל
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
:etc/pam.d/system-auth/ -ב
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=2
:רזוח שומיש ןהב תושעל היהי ןתינ אלש ךכ etc/security/opasswd/-ב תורמשנ שמתשמ לכ לש תונורחאה תופישחה תואמסיסה יתש
םוכיס
.תוריהמב הנענו הטמל ךיתולאש וא ךיתורעה תא ריאשהל ססהת לא .וילע תונבל הבוט הלחתה לעכ וב שמתשהל ולכותש םיווקמו תודוסיה תא ונרקס הז רמאמב .תכרעמ להנמ לכל םיינויח םילכ םה םיליעי םיצבקו םישמתשמ