Практическая работа: Модуль 10. Система аутентификации PAM и управление правами SUDO

См. также Требования, правила и цели выполнения практической работы

Практические задания

Задание 1. Изменение пароля суперпользователя

  1. Используя команду sudo, измените пароль суперпользователя (root). Напоминаем, что это плохая практика и задание носит учебный характер.

  2. Убедитесь, что новый пароль работает при входе в систему.

Задание 2. Настройка sudoers.

  1. Создайте пользователей john, user1, user2.

  2. Задайте пароли для пользователей user1, user2.

  3. Создайте файл правил 01_usermanagement (с использованием visudo).

  4. Добавьте пользователю john права использования sudo без ввода пароля для команд groupadd и usermod.

Задание 3. Ограничение доступа к команде su

  1. Переключитесь в пользователя john.

  2. Создайте группу g_admin и добавьте в нее пользователей user1 и user2.

  3. Отредактируйте файл /etc/pam.d/su и добавьте ограничение, чтобы только пользователи из группы «g_admin» могли использовать команду su.

  4. Проверьте, что user1 и user2 могут использовать su, а пользователь john – не может.

Задание 4. Использование модуля pam_tally для блокировки учетной записи

  1. Настройте модуль pam_tally для отслеживания неудачных попыток входа в систему.

  2. Установите правило блокировки учетной записи на 5 минут после 3 неудачных попыток входа.

  3. Проверьте функциональность. Для этого введите неправильные учетные данные и убедитесь, что учетная запись блокируется.

Замечания:

  • Перед внесением изменений в конфигурационные файлы, создайте резервные копии для предотвращения потенциальных проблем.

  • Во время выполнения задач следите за журналами системы (/var/log/auth.log или /var/log/secure), чтобы отслеживать любые ошибки аутентификации или доступа.

Ответы на практические задания (пошаговые инструкции)

Задание 1. Изменение пароля суперпользователя

  1. Используя команду sudo, измените пароль суперпользователя (root). Напоминаем, что это плохая практика и задание носит учебный характер.

localadmin@astra:~$ sudo passwd root
Введите новый пароль для суперпользователя (root)

  1. Убедитесь, что новый пароль работает при входе в систему.

Задание 2. Настройка sudoers

  1. Создайте пользователей john, user1, user2.

localadmin@astra:~$ sudo useradd -s /bin/bash -m john
localadmin@astra:~$ sudo useradd -s /bin/bash -m user1
localadmin@astra:~$ sudo useradd -s /bin/bash -m user2

  1. Задайте пароли для пользователей user1, user2.

localadmin@astra:~$ sudo passwd user1
localadmin@astra:~$ sudo passwd user2

  1. Создайте файл правил 01_usermanagement (с использованием visudo).

localadmin@astra:~$ sudo visudo -f /etc/sudoers.d/01_usermanagement

  1. Добавьте пользователю john права использования sudo без ввода пароля для команд groupadd и usermod. Добавьте следующую строку в файл sudoers:

john ALL*(ALL) NOPASSWD: /usr/sbin/groupadd,/usr/sbin/usermod

Задание 3. Ограничение доступа к команде su

  1. Переключитесь в пользователя john.

localadmin@astra:~$ sudo su  john

  1. Создайте группу g_admin и добавьте в нее пользователей user1 и user2.

Создайте группу g_admin:

localadmin@astra:~$ sudo groupadd g_admin

Добавьте пользователей в группу g_admin:

localadmin@astra:~$ sudo usermod -aG g_admin user1
localadmin@astra:~$ sudo usermod -aG g_admin user2

  1. Отредактируйте файл /etc/pam.d/su и добавьте ограничение, чтобы только пользователи из группы «g_admin» могли использовать команду su.

Выйдите из пользователя john командой logout.

Отредактируйте файл /etc/pam.d/su, добавив в него следующую строку:

auth required pam_wheel.so group*g_admin

  1. Проверьте, что user1 и user2 могут использовать su, а пользователь john – не может.

Переключитесь на пользователя user1.

localadmin@astra:~$ sudo su - user1

Убедитесь, что переключение в пользователя user2 работает.

localadmin@astra:~$ su user2
localadmin@astra:~$ exit

Переключитесь на пользователя john.

localadmin@astra:~$ sudo su - john

Убедитесь, что переключение в пользователя user2 НЕ работает.

localadmin@astra:~$ su user2
localadmin@astra:~$ su: Доступ запрещен

Задание 4. Использование модуля pam_tally для блокировки учетной записи

  1. Настройте модуль pam_tally для отслеживания неудачных попыток входа в систему.

  2. Установите правило блокировки учетной записи на 5 минут после 3 неудачных попыток входа.

Отредактируйте файл /etc/pam.d/common-auth, изменив параметры для модуля pam_tally:

auth [success*ignore default*die] pam_tally.so per_user deny*3
unlock_time*300

  1. Проверьте функциональность. Для этого введите неправильные учетные данные и убедитесь, что учетная запись блокируется.

Переключитесь на пользователя user1 (ему разрешено вызывать su).

localadmin@astra:~$ sudo su - user1

Убедитесь, что блокировка работает – введите пароль неправильно 3 раза.

localadmin@astra:~$ su user2
Пароль:
su: Сбой при проверке подлинности
localadmin@astra:~$ su user2
Пароль:
su: Сбой при проверке подлинности
localadmin@astra:~$ su user2
Учетная запись заблокирована как следствие неудачных попыток входа (всего -- 4).
su: Сбой при проверке подлинности