Bezpieczeństwo: Różnice pomiędzy wersjami

Z KdmWiki
Skocz do: nawigacji, wyszukiwania
m (1 wersja: A-G)
(Przykład: Zmiana uprawnień)
 
(Nie pokazano 7 wersji utworzonych przez 2 użytkowników)
Linia 1: Linia 1:
<small>< [[Podręcznik użytkownika KDM]]</small>
+
<small>< [[Podręcznik użytkownika KDM]] < Bezpieczeństwo</small>
  
 
Wszystkie [[Maszyny obliczeniowe|serwery KDM]] znajdują się za tzw. zaporą ogniową (ang. ''firewall''), co gwarantuje podstawowy poziom bezpieczeństwa systemów.
 
Wszystkie [[Maszyny obliczeniowe|serwery KDM]] znajdują się za tzw. zaporą ogniową (ang. ''firewall''), co gwarantuje podstawowy poziom bezpieczeństwa systemów.
  
Aby zapewnić dodatkowy poziom bezpieczeństwa, [[logowanie]] na konta shellowe użytkowników jest możliwe tylko z użyciem SSH, zaś [[kopiowanie plików]] z użyciem SCP.
+
Aby zapewnić dodatkowy poziom bezpieczeństwa, [[logowanie]] na konta shellowe użytkowników jest możliwe tylko z użyciem SSH, zaś [[kopiowanie danych]] z użyciem SCP.
  
=== Hasła ===
+
== Hasła ==
Proces zakładania konta wymaga ustalenia wstępnego hasła, które albo jest uzgadniane z użytkownikiem przy okazji dostarczania [[Zasady przyznawania grantów|Karty rejestracyjnej]], albo nadaje je administrator i powiadamia o nim użytkownika w sposób możliwie bezpieczny. Ponieważ często jedynym sposobem kontaktu z użytkownikiem jest telefon lub e-mail, zaleca się, aby właściciel konta po pierwszym zalogowaniu na serwerach KDM zmienił swoje hasło dostępowe na znane tylko jemu. Hasło musi być utworzone wg odpowiedniej [[Polityka_haseł | polityki haseł. ]] Zmianę hasła demonstruje poniższy przykład:
+
Proces zakładania konta wymaga ustalenia wstępnego hasła, które albo jest uzgadniane z użytkownikiem przy okazji dostarczania [[Jak zostać użytkownikiem KDM|Karty rejestracyjnej]], albo nadaje je administrator i powiadamia o nim użytkownika w sposób możliwie bezpieczny. Ponieważ często jedynym sposobem kontaktu z użytkownikiem jest telefon lub e-mail, zaleca się, aby właściciel konta po pierwszym zalogowaniu na serwerach KDM zmienił swoje hasło dostępowe na znane tylko jemu.  
  
 +
Hasło musi być utworzone wg odpowiedniej [[Polityka_haseł|polityki haseł]].
 +
 +
Zmianę hasła demonstruje poniższy przykład.
  
 
==== Przykład: Zmiana hasła ====
 
==== Przykład: Zmiana hasła ====
  
  agus@grom> '''passwd'''  
+
  user1@bem> '''passwd'''  
  Changing password for agus Old password: '''<wpisz stare hasło>'''
+
  Zmienianie hasła użytkownika user1.
 +
Enter login(LDAP) password: '''<wpisz stare hasło>'''
 
  New password: '''<wpisz nowe hasło>'''
 
  New password: '''<wpisz nowe hasło>'''
 
  Re-enter new password: '''<ponownie wpisz nowe hasło>'''
 
  Re-enter new password: '''<ponownie wpisz nowe hasło>'''
 
System IRIX ([[Tezro]], [[Panda]]) wymaga, aby hasła zawierały znaki numeryczne lub specjalne wśród pierwszych ośmiu znaków, dlatego jeżeli pojawi się komunikat: ''Password must contain at least two alphabetic characters and at least one numeric or special character'', wystarczy wybrać hasło złożone z co najmniej sześciu znaków (litery/cyfry), w skład których wchodzi przynajmniej jedna cyfra i dwie litery. Hasła mogą być długie, ale istotnych jest tylko pierwszych 8 znaków.
 
  
 
Więcej szczegółów można znaleźć w manualach dostępnych w systemie (wykonując polecenie '''man passwd''').
 
Więcej szczegółów można znaleźć w manualach dostępnych w systemie (wykonując polecenie '''man passwd''').
  
=== Uprawnienia ===
+
== Uprawnienia do katalogów i plików użytkownika ==
Użytkownik może zabezpieczyć dostęp do swoich danych nadając odpowiednio prawa dostępu innych użytkowników do katalogów /scratch/$USER i /home/$USER. Może zdarzyć się, że po założeniu konta inni użytkownicy mają prawo czytania i przeglądania katalogów danego użytkownika, bez prawa do zapisu. Poniższy przykład pokazuje jak ustawić parametry, aby nikt poza właścicielem katalogu nie miał do niego dostępu:
+
Użytkownik może ograniczyć innym dostęp do swoich danych ustawiając odpowiednio prawa dostępu do katalogu domowego (/home/$USER) i tymczasowego (/scratch/$USER lub /lustre/scratch$USER). Typowo po założeniu konta inni użytkownicy mają prawo czytania i przeglądania katalogów danego użytkownika, bez prawa do zapisu. Poniższy przykład pokazuje jak ustawić parametry, aby nikt poza właścicielem katalogu nie miał do niego dostępu:
  
 
==== Przykład: Zmiana uprawnień ====
 
==== Przykład: Zmiana uprawnień ====
  
  agus@grom> chmod go-rwx /home/agus/
+
  user1@bem> chmod go-rwx /home/user1/
  
Polecenie to spowoduje, że użytkownicy należący do grupy (g: ang. ''group'') oraz pozostali (o: ang. ''others'') pozbawieni zostaną praw czytania (r: ang. ''read''), pisania (w: ang. ''write'') i wykonania (x: ang. ''eXecute'') w odniesieniu do katalogu użytkownika <code>agus</code>.  
+
Polecenie to spowoduje, że użytkownicy należący do grupy (g: ang. ''group'') oraz pozostali (o: ang. ''others'') pozbawieni zostaną praw czytania (r: ang. ''read''), pisania (w: ang. ''write'') i wykonania (x: ang. ''eXecute'') w odniesieniu do katalogu użytkownika <code>user1</code>.  
  
 
Więcej szczegółów na ten temat można znaleźć w manualach dostępnych w systemie (polecenie '''man chmod''').
 
Więcej szczegółów na ten temat można znaleźć w manualach dostępnych w systemie (polecenie '''man chmod''').

Aktualna wersja na dzień 11:33, 22 lut 2016

< Podręcznik użytkownika KDM < Bezpieczeństwo

Wszystkie serwery KDM znajdują się za tzw. zaporą ogniową (ang. firewall), co gwarantuje podstawowy poziom bezpieczeństwa systemów.

Aby zapewnić dodatkowy poziom bezpieczeństwa, logowanie na konta shellowe użytkowników jest możliwe tylko z użyciem SSH, zaś kopiowanie danych z użyciem SCP.

Hasła

Proces zakładania konta wymaga ustalenia wstępnego hasła, które albo jest uzgadniane z użytkownikiem przy okazji dostarczania Karty rejestracyjnej, albo nadaje je administrator i powiadamia o nim użytkownika w sposób możliwie bezpieczny. Ponieważ często jedynym sposobem kontaktu z użytkownikiem jest telefon lub e-mail, zaleca się, aby właściciel konta po pierwszym zalogowaniu na serwerach KDM zmienił swoje hasło dostępowe na znane tylko jemu.

Hasło musi być utworzone wg odpowiedniej polityki haseł.

Zmianę hasła demonstruje poniższy przykład.

Przykład: Zmiana hasła

user1@bem> passwd 
Zmienianie hasła użytkownika user1.
Enter login(LDAP) password: <wpisz stare hasło>
New password: <wpisz nowe hasło>
Re-enter new password: <ponownie wpisz nowe hasło>

Więcej szczegółów można znaleźć w manualach dostępnych w systemie (wykonując polecenie man passwd).

Uprawnienia do katalogów i plików użytkownika

Użytkownik może ograniczyć innym dostęp do swoich danych ustawiając odpowiednio prawa dostępu do katalogu domowego (/home/$USER) i tymczasowego (/scratch/$USER lub /lustre/scratch$USER). Typowo po założeniu konta inni użytkownicy mają prawo czytania i przeglądania katalogów danego użytkownika, bez prawa do zapisu. Poniższy przykład pokazuje jak ustawić parametry, aby nikt poza właścicielem katalogu nie miał do niego dostępu:

Przykład: Zmiana uprawnień

user1@bem> chmod go-rwx /home/user1/

Polecenie to spowoduje, że użytkownicy należący do grupy (g: ang. group) oraz pozostali (o: ang. others) pozbawieni zostaną praw czytania (r: ang. read), pisania (w: ang. write) i wykonania (x: ang. eXecute) w odniesieniu do katalogu użytkownika user1.

Więcej szczegółów na ten temat można znaleźć w manualach dostępnych w systemie (polecenie man chmod).


Zobacz też: Dostęp do KDM