Kapitel 12 Kontrolle von Zugriff und Privilegien

Die Systemsicherheit ist im großen Maße darauf zurückzuführen, dass Benutzer oder Gruppen nur das machen können, was die Sicherheitsbestimmungen zulassen. Die meisten der täglichen Änderungen werden vorgenommen, um die Zugriffe und Privilegien zu kontrollieren, die Benutzer und Gruppen haben. (Unter Kapitel 2 erhalten Sie mehr Informationen über das korrekte Erstellen und Konfigurieren von Benutzern und Gruppen.)

Viele Organisationen, die Red Hat Linux verwenden, haben bestimmte Richlinien oder Arbeitsumgebungen, die eine höhere Sicherheit oder spezielle Konfigurationen für erweiterten oder eingeschränkten Zugriff auf Anwendungen oder Systemgeräte erfordern. Dieser Abschnitt behandelt einige Möglichkeiten wie Sie Ihr System bearbeiten können, um einen geeigneten Level von Zugriffen und Privilegien für Ihre Benutzer zur Verfügung zu haben.

Shadow Dienstprogramme

Wenn Sie sich in einer Mehrbenutzer-Umgebung befinden und weder PAM noch Kerberos benutzen, sollten Sie in Erwägung ziehen, Shadow-Dienstprogramme (auch als Shadow-Passwörter bekannt) zu verwenden, um den verbesserten Schutz zu nutzen, der Ihnen dadurch für Ihre Authentifizierungsdateien in Ihrem System zur Verfügung gestellt wird. Der Shadow-Passwortschutz für Ihr System ist standardmäßig bei der Installation von Red Hat Linux aktiviert, wie z.B. MD5-Passwörter (eine alternative und sichere Methode zum Verschlüsseln von Passwörtern, die in Ihrem System gespeichert werden).

Shadow-Passwörter bieten zusätzlich zum standardmäßigen Speichern von Passwörten auf UNIX und Linux-Systemen noch einige deutliche Vorteile:

Das Paket Shadow-Dienstprogramme enthält Dienstprogramme, die Folgendes unterstützen:

AnmerkungBitte beachten
 

Weitere interessante, diese Dienstprogramme betreffende Punkte sind:

  • Die Dienstprogramme arbeiten ordnungsgemäß, unabhängig davon, ob der Shadow-Effekt aktiviert ist oder nicht.

  • Die Dienstprogramme wurden leicht verändert, um die Red Hat Linux Benutzer privater Gruppenschemata zu unterstützen. Diese Änderungen finden Sie in der man-Seite useradd beschrieben. Weitere Informationen über die Benutzer privater Gruppen finden Sie unter Abschnitt namens Benutzereigene Gruppen in Kapitel 2

  • Das adduser Skript wurde durch eine symbolische Link nach /usr/sbin/useradd ersetzt.

  • Die Tools im Paket shadow-utils sind für Kerberos oder LDAP nicht aktiviert. Neue Benutzer haben nur lokalen Zugriff. Weitere Informationen über Kerberos oder LDAP finden Sie unter Kapitel 9 und Kapitel 4.