Users and Groups. Контроль доступа в модуле

Можно предоставить пользователю или группе Webmin доступ только к подмножеству функций модуля Users and Groups. Они наиболее часто используются для назначения subadministrator права редактировать только отдельных пользователей и групп в системе, и изменять их атрибуты только ограниченными способами. В среде виртуального хостинга, например, вы можете дать пользователю Webmin возможность создавать и редактировать до 10 пользователей с ограниченным кругом ID и домашние каталоги в заданном каталоге. Эти привилегии не позволят пользователю получить доступ к корню и затронуть пользователей, которые ему не принадлежат.

В Главе 52 подробнее объясняется, как создать дополнительных пользователей Webmin и изменять их управление доступом к модулю. Следующие шаги охватывают лишь часть процесса, который предоставляет ограниченный доступ, что характерно для модуля Users and Groups:

1. В модуле пользователей Webmin щелкните на Users and Groups рядом с именем пользователя, которого вы хотите редактировать. Это вызовет форму контроля доступом.

2. Измените поле Can edit module configuration? на No.

3. Поле The UNIX users who can be edited определяет пользователей, которые могут быть изменены данным пользователем Webmin. Вы, как правило, установите его в Users with UIDs in range и введете максимальный и минимальный ID в полях рядом с ним, например 5000 и 5010.

4. Чтобы разрешить добавление новых пользователей UNIX, установите поле Can create new users? в Yes.

5. Установите свойство Can view batch file form? в значение No. Это позволит предотвратить создание и редактирование пользователей из пакетного файла, который обычно не используется. Разрешение этого, однако, не предоставляет пользователю никаких дополнительных привилегий и не создает угрозу безопасности.

6. В полях UIDs for new and modified users введите такие же ID, как в шаге 4.

7. Не подключайте опцию More than one user can have the same UID, но оставьте выбранной опцию UIDs of existing users can be changed. Ненадежным subadministrator следует запретить создавать несколько пользователей с одинаковыми UID из-за проблем, к которым это может привести.
Когда предотвращены совпадения UID, пользователь Webmin не сможет создавать больше пользователей UNIX, чем указано для него в UID диапазоне.

8. В поле Allowed groups for new or modified users выберите опцию Only groups и введите названия каких-либо главных или вторичных групп, членами которых будут назначаться новые пользователи. Как правило, стоит просто ввести одну группу, например Users. Оставить в этом поле значение All groups - не очень хорошая идея, поскольку это позволит создавать пользователей, которые являются членами корневых групп root или bin, и которые могут изменить важные системные и исполняемые файлы. Опция Groups with GIDs in range может быть полезной, если этот пользователь Webmin может создавать несколько групп в рамках одного диапазона GID.

9. Чтобы ограничить оболочки, назначаемые новому пользователю, выберите Allowed shells for new or modifed users to Listed и введите путь к ним в текстовое поле ниже. Это может пригодиться, чтобы позволить создавать только таких пользователей, которые всегда имеют оболочку /bin/false.

10. Выберите в поле Home directories must be under каталог, который будет использоваться только для учетных записей, создаваемых этим пользователем Webmin. Выбор каталога /home - плохая идея, поскольку это позволит subadministrator переименовывать или удалять каталоги, принадлежащие другим пользователям из /home. Лучше ввести что-нибудь вроде /home/subadmin. Чтобы каждый домашний каталог пользователя основывался на его имени (например, /home/ subadmin/username), выберите Home directory is always same as username.

11. Чтобы не позволять пользователю Webmin изменять некоторые опции, располагающиеся внизу форм создания, редактирования или удаления пользователя, выберите соответствующие значения в опции Allowed on save options. Все невыбранные будут всегда включены.

12. Если вы хотите, чтобы Webmin пользователь мог создавать и редактировать только пользователей UNIX, установите поле UNIX groups who can be edited в значение No groups.

13. Если вы хотите ограничить пользователя от просмотра недавних подключений, измените поле Can display log¬ins by. Любой пользователь, который может подключиться через Telnet или SSH, все равно сможет запускать последние команды, чтобы просмотреть подключения, поэтому установка этой опции в No users не сделает вашу систему более безопасной.

14. Наконец, нажмите Save. Вы вернетесь на главную страницу модуля, а новые ограничения на контроль доступом будут незамедлительно применены к пользователю Webmin.

Будьте осторожны при предоставлении пользователю Webmin доступа к определенным пользователям UNIX, поскольку любая ошибка может позволить ему изменить суперпользователя root или создать нового пользователя, эквивалентного root. Есть также много других пользователей, таких как bin, uucp, и httpd, которые владеют важными системными файлами или используются для запуска сервера и daemon процессов. Тот, кто может редактировать или подключаться в качестве одного из таких пользователей, может получить привилеги root в вашей системе или доступ к файлам, к которым доступ иметь не должен.

Часто контроль доступа в модулях Disk Quotas и Scheduled Cron Jobs настроен таким образом, что разрешает редактирование квот и Cron jobs тех пользователей UNIX, которые могут быть отредактированы и созданные в этом модуле. Все модули поддерживают диапазон UID и опции контроля доступа первичной группы, которые можно установить таким же образом.

Кроме того, можно использовать форму контроля доступа Users and Groups, чтобы позволить пользователю редактировать или создавать отдельные группы UNIX, хотя это не является полезным. Предоставление ненадежным пользователям прав на редактирование всех групп в системе является плохой идеей, так как он может сделать себя членом групп root или bin и получить возможность читать или записывать критические файлы.

Документ изменён: 18 октября 2008 года




Ссылки:

К содержанию

© Copyright 2004-2017 - CMS Made Simple
Сайт работает на CMS Made Simple version 1.4.1

© Все печеньки Break-people.ru принадлежат авторам проекта.

Яндекс цитирования Рейтинг@Mail.ru Яндекс.Метрика