home       inleiding       sysadmin       services       links       bash       werk       nothing      

advanced user en permissions administration

  1. users/groepen
    /etc/passwd -- alle velden https://www.cyberciti.biz/faq/understanding-etcpasswd-file-format/
     
    /etc/shadow -- velden bekijken online https://www.cyberciti.biz/faq/understanding-etcshadow-file/
     
    /etc/group -- https://www.cyberciti.biz/faq/understanding-etcgroup-file/
     
    usermod -a -G toevoegen in nevengroep
    usermod -g veranderen van hoofdgroep (oude hoofdgroep wordt niet automatisch nevengroep)
    -->> verschil tussen hoofdgroep en nevengroepen: https://www.networkworld.com/article/3409781/mastering-user-groups-on-linux.html
     
    /etc/gshadow -- https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/4/html/Introduction_To_System_Administration/s3-acctsgrps-gshadow.html
     
    /etc/sudoers -- http://toroid.org/sudoers-syntax
     
    groep sudo in debian based // groep wheel in RedHat/CentOS72
     
    visudo comando: https://www.digitalocean.com/community/tutorials/how-to-edit-the-sudoers-file-on-ubuntu-and-centos
     
  2. oefeningen passwd en group

    • maak een user daria aan met paswoord sdf12345 en homedir /home/daria
      test haar login op de computer, en via ssh
      zoek in de manual van passwd met welke optie je een account kunt locken
      doe dit bij daria.
      test haar login op de computer, en via ssh
      zoek in de manual van passwd met welke optie je een account kunt un-locken
      doe dit bij daria.
      test haar login op de computer, en via ssh
      probeer nu usermod --expiredate 1 op daria's account
      test haar login op de computer, en via ssh
      zet nu daria's account terug open ...
       
    • maak een user carla aan met paswoord sdf12345 en homedir /home/carla
      test haar login
      installeer de shell csh (sudo apt-get install csh)
      pas haar default shell aan van /bin/bash naar /bin/csh met het usermod commando
      test haar login en verken csh ...
      zet daarna haar default shell terug op /bin/bash met vi(m) of pico
      test haar login
      zet vervolgens haar default shell op /bin/false
      test haar login
      zet vervolgens haar default shell op /usr/sbin/nologin
      test haar login
      zet tenslotte haar default shell terug op /bin/bash met vi(m) of pico en
      test haar login
       
    • in debian/ubuntu/mint: gebruik vi(m) of pico om carla toe te voegen aan de groep sudo in /etc/group
    • in centOS/redhat/fedora: gebruik vi(m) of pico om carla toe te voegen aan de groep wheel in /etc/group
       
    • hoe kan een hacker aan de hand van de shadow file toch paswoorden kraken? Lukt dit altijd?
       
    • Gerard is na de vakantie vervangen door Gerda. Ik wens die gebruikerslogin van naam te veranderen zonder het filesysteem aan te raken, kan dat? Hoe? Moet ik achteraf het paswoord opnieuw instellen?

    • Jana is CAD-gebruiker. Op haar systeem wilde ze zelf administrator rechten omdat ze dat makkelijker vond om linux te leren. Als power user is ze ook nogal gesteld op haar privacy. Tijdens een wereldreis zegt besluit ze nooit meer terug te keren naar haar thuisbasis. Ze weigert haar logins door te geven via de telefoon of email omdat (zo beweert ze) ze hetzelfde paswoord ook gebruikt voor e-banking. Ze verbreekt daarna alle connecties. Niemand kan nog in haar systeem. Kunnen we haar administrator paswoord uitschakelen? Hoe doen we dat dan? Zou dat ook werken indien ze SElinux heeft ingesteld?
       
  3. advanced permissions
    sticky bit // GID // UID
    http://thegeekdiary.com/what-is-suid-sgid-and-sticky-bit/
    http://www.ibm.com/developerworks/library/l-lpic1-104-5/

  4. umask is a permission template: https://linuxaria.com/article/linux-shell-understanding-umask-with-examples
     
  5. oefeningen permissions

    • wat betekent de volgende permission:
      -rw-r--r-- 1 bert users 1445890 208-02-28 11:06 wallpaper.png
      kan ludo die in de groep users zit het bestand aanpassen?
      met welk commando maak ik deze file executable? Hoe ziet de permission er daarna uit?

    • Yildirim en Wendy werken samen aan een project. Maak een directory /home/yilwen die door beiden kan gelezen en beschreven worden, maar niet door andere gebruikers. Hoe pak je dit aan?

    • hoe "kloon" je een gebruiker volledig. Geef aan hoe je dat doet. Vergeet niets. Test in linuxmint en kijk of je achtergronden, bookmarks, files en icoontjes goed staan.
       
  6. oefeningen advanced permissions
    • doe een swapon -s om te kijken welke partitie(s) aktief is (zijn) als swap
      pas vervolgens de suid aan van /sbin/swapon en van /sbin/swapoff
      doe nu een swapoff van je swap -> kijk of het gelukt is met swapon -s
      doe vervolgens een swapon van je swap -> kijk of het gelukt is met swapon -s
       
    • maak 2 users aan: jannemie en jozefien
      maak een directory /home/everyone en geef ze eerst een permission 777
      jannemie zet nu een file in /home/everyone, met permissions 600 -- test of jozefien die file kan deleten.
      zet nu de sticky bit aan op /home/everyone
      test opnieuw: jannemie zet een file in /home/everyone, met permissions 600 -- test of jozefien die file kan deleten.
      test vervolgens: jozefien zet een file in /home/everyone, test of jannemie die kan deleten
      test tenslotte of root de files van jannemie en jozefien kan deleten.
       
    • zet als root een document donttouch.txt in /home/everyone
      zet als root de immutable bit aan op donttouch.txt
      probeer als root donttouch.txt te verwijderen.
      probeer als root de directory /home/everyone te verwijderen met rm -rv
      zet de immutable bit uit
      verwijder nu als root de directory /home/everyone met rm -rv