Showing posts with label config. Show all posts
Showing posts with label config. Show all posts

Nov 12, 2023

/etc/security/time.conf

 Fajl /etc/security/time.conf koristi se za konfiguraciju kontrola vremena (time-based access controls) na sistemu. Ovaj fajl omogućava administratorima da definišu vremenske restrikcije za određene korisnike ili grupe korisnika. Evo šta neki od ključnih redova u ovom fajlu mogu značiti:

  1. Sintaksa reda:

    • services;ttys;users;times: Svaki red u fajlu ima ovu sintaksu, gde se specificiraju usluge, terminale, korisnici i vremenski okviri.

  2. Primer reda:

    • sshd ; * ; bob ; MoTuWeThFr0800-2000: Ovaj red označava da korisnik "bob" može pristupiti SSH tokom radnih dana od 8:00 do 20:00 časova.

  3. Polja reda:

    • services: Specifičira usluge (npr. sshd).
    • ttys: Specifičira terminale (npr. * za sve).
    • users: Specifičira korisnike ili grupe korisnika (npr. bob ili @admin za grupu admin).
    • times: Specifičira vremenske okvire kada je dozvoljen pristup.

  4. Vremenski format:

    • Mo - Ponedeljak, Tu - Utorak, We - Sreda, Th - Četvrtak, Fr - Petak, Sa - Subota, Su - Nedelja.
    • 0800-2000 - Od 8:00 do 20:00 časova.

Ovaj fajl omogućava postavljanje preciznih restrikcija pristupa na osnovu vremena, što je korisno u okviru politika bezbednosti sistema. Korišćenje ovakvih kontrola može ograničiti pristup određenim resursima tokom određenih perioda vremena.

u No comments:
Labels: ,

/etc/security/pwquality.conf

 Datoteka /etc/security/pwquality.conf koristi se za konfigurisanje pravila koja se primenjuju na lozinke korisnika, prvenstveno kako bi se unapredila njihova sigurnost. Ovo se obično postiže postavljanjem određenih kriterijuma, kao što su minimalna dužina lozinke, upotreba različitih vrsta karaktera, zabrana lozinki koje su lako pogodne, itd.

Evo primera sadržaja datoteke /etc/security/pwquality.conf:

# /etc/security/pwquality.conf

# Minumum length requirement
minlen = 8

# Minimum number of different classes of characters in the new password (digits, uppercase, lowercase, others)
minclass = 3

# Minimum number of characters in the new password that must not be present in the old password
minclassrepeat = 4

# Maximum consecutive characters of the same class allowed in the new password
maxrepeat = 2

# Minimum number of characters in the new password that must be different from the old password
minclassrepeat = 4

Ovde su neki od ključnih parametara:

  • minlen: Postavlja minimalnu dužinu lozinke.
  • minclass: Postavlja minimalan broj različitih klasa karaktera u novoj lozinci (cifre, velika slova, mala slova, ostali karakteri).
  • minclassrepeat: Postavlja minimalan broj karaktera u novoj lozinci koji se moraju razlikovati od starih lozinki.
  • maxrepeat: Postavlja maksimalan broj uzastopnih karaktera iste klase u novoj lozinci.

Ove postavke mogu biti prilagođene u skladu sa specifičnim bezbednosnim zahtevima sistema. Nakon izmene datoteke, obično je potrebno ponovo pokrenuti određene PAM usluge ili sesije kako bi se promene odražavale.

Napomena: Podešavanje bezbednosnih pravila za lozinke je važno za održavanje sigurnosti sistema, ali treba voditi računa da postavke ne budu previše restriktivne kako bi korisnicima bilo moguće kreirati i koristiti bezbedne, ali pamtljive lozinke.

u No comments:
Labels: ,

/etc/pam.d/system-auth

 Datoteka /etc/pam.d/system-auth na Linux sistemima predstavlja konfiguraciju PAM (Pluggable Authentication Modules) sistema za sistemsku autentifikaciju. PAM pruža modularan način za upravljanje autentifikacijom na sistemu, omogućavajući administratorima da prilagode autentifikacione procese na osnovu specifičnih potreba sistema.

Evo osnovne strukture i nekih ključnih linija u datoteci /etc/pam.d/system-auth:

# /etc/pam.d/system-auth
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        [success=1 default=ignore] pam_unix.so nullok
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     requisite     pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Ovde su neki od ključnih modula i njihova značenja:

  • auth: Postavlja pravila za autentifikaciju.
  • account: Konfiguriše pravila za proveru naloga.
  • password: Postavlja pravila za promenu lozinke.
  • session: Definiše akcije koje se izvršavaju tokom sesije.

Ove linije utiču na različite faze autentifikacije, od provere korisničkog imena i lozinke do podešavanja sesije nakon uspešne autentifikacije.

Napomena: Modifikacije datoteke /etc/pam.d/system-auth treba pažljivo vršiti, jer greške u konfiguraciji PAM-a mogu rezultirati problemima sa autentifikacijom na sistemu. Pre nego što vršite bilo kakve promene, preporučuje se pravljenje sigurnosne kopije datoteke.

u No comments:
Labels: ,

/etc/security/

 Direktorijum /etc/security/ se često koristi u kontekstu PAM (Pluggable Authentication Modules) konfiguracije na Unix/Linux sistemima. Ovde se čuvaju dodatni PAM moduli i konfiguracije koji nisu direktno vezani za pojedinačne aplikacije, već su opšti za celokupni sistem. Evo nekoliko ključnih tačaka u vezi sa /etc/security/:

  1. Dodatni PAM Moduli: Ovde se često čuvaju dodatni PAM moduli koji pružaju dodatne funkcionalnosti autentikaciji, autorizaciji i slično. Ovi moduli se onda mogu koristiti u konfiguracionim fajlovima koji se nalaze u /etc/pam.d/ kako bi se proširile autentikacione funkcionalnosti sistema.

  2. Konfiguracija dodatnih opcija: Pored modula, ovde se mogu nalaziti i dodatne konfiguracije koje se odnose na PAM. Na primer, mogli biste imati fajl poput /etc/security/access.conf koji definiše pravila pristupa.

  3. Sistemski Nivo Konfiguracije: Ovi fajlovi često definišu konfiguraciju koja se primenjuje na sistemski nivo, što znači da utiče na sve aplikacije koje koriste PAM.

Primer može izgledati ovako:

/etc/security/access.conf

# /etc/security/access.conf
# Access control configuration for PAM
#

# Deny access to the entire machine for everyone except root.
-:ALL EXCEPT root:ALL

Ovde se definiše pravilo koje zabranjuje pristup mašini svima osim root korisniku. Ovakve konfiguracije mogu biti korisne za postavljanje globalnih politika bez potrebe da se menja svaki pojedinačni konfiguracioni fajl u /etc/pam.d/.

u No comments:
Labels: ,

/etc/pam.d/

 Direktorijum /etc/pam.d/ na Unix/Linux sistemima predstavlja mesto gde se čuvaju konfiguracijski fajlovi za Pluggable Authentication Modules (PAM). PAM pruža standardizovan način za omogućavanje različitim aplikacijama da koriste različite mehanizme za autentikaciju bez potrebe za menjanjem samih aplikacija. Svaka aplikacija koja koristi PAM ima odgovarajući konfiguracioni fajl u /etc/pam.d/ direktorijumu.

Evo nekoliko ključnih stvari u vezi sa /etc/pam.d/:

  1. Konfiguracija po Aplikaciji: Svaka aplikacija koja koristi PAM ima svoj odgovarajući konfiguracioni fajl u ovom direktorijumu. Na primer, fajl za SSH se može zvati /etc/pam.d/sshd, za sistemsku autentikaciju može biti /etc/pam.d/login itd.

  2. Moduli Autentikacije: Svaki od ovih konfiguracionih fajlova definiše niz modula autentikacije, autorizacije i drugih operacija. Moduli se izvršavaju redom i mogu se prilagoditi prema potrebama aplikacije.

  3. Uključivanje i Isključivanje Funkcionalnosti: Kroz ove konfiguracijske fajlove, možete uključiti ili isključiti određene aspekte autentikacije, postavljajući različite module i opcije.

Primer jednog takvog konfiguracionog fajla (/etc/pam.d/login) može izgledati ovako:

# /etc/pam.d/login - pam configuration for the 'login' service

auth       required     pam_securetty.so
auth       requisite    pam_nologin.so
auth       include      common-auth
account    required     pam_stack.so service=system-auth
password   required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth
session    required     pam_loginuid.so

Ovde se definišu različiti koraci autentikacije (auth), autorizacije (account), postavljanja lozinke (password) i sesije (session). Ovo je samo jedan primer, a stvarna konfiguracija može varirati u zavisnosti od potreba aplikacije.

u No comments:
Labels: ,

/etc/gshadow

 Datoteka /etc/gshadow koristi se za skladištenje senzitivnih podataka o grupama na Unix i Linux sistemima. U osnovi, ova datoteka pruža dodatni sloj sigurnosti za informacije o grupama, jer sadrži senzitivne informacije poput šifre grupe. Evo kako možete razumeti strukturu i sadržaj /etc/gshadow datoteke:

  1. Pregled datoteke /etc/gshadow:

    cat /etc/gshadow

    Ova komanda će prikazati sadržaj datoteke /etc/gshadow na ekranu.

  2. Struktura /etc/gshadow datoteke:

    • Prva kolona: Ime grupe
    • Druga kolona: Šifra grupe (šifrovana vrednost)
    • Treća kolona: Lista korisnika koji su članovi grupe

    Primer zapisa u /etc/gshadow datoteci:

    marketing:$1$2kl34Abc$ZvRBv3hMkUuVbM6x/UoRd1:john,bob

    Ovde, "marketing" je ime grupe, "$1$2kl34Abc$ZvRBv3hMkUuVbM6x/UoRd1" je šifrovana vrednost grupe, a "john,bob" su korisnici koji su članovi grupe.

  3. Promena šifre grupe:

    sudo gpasswd -r marketing

    Ova komanda će ukloniti šifru za grupu "marketing", čineći je praznom.

  4. Dodavanje korisnika u grupu pomoću gpasswd komande:

    sudo gpasswd -a jane marketing

    Dodaje korisnika "jane" u grupu "marketing".

  5. Uklanjanje korisnika iz grupe pomoću gpasswd komande:

    sudo gpasswd -d bob marketing

    Uklanja korisnika "bob" iz grupe "marketing".

  6. Provera postojanja grupe u /etc/gshadow:

    grep ^marketing /etc/gshadow

    Ova komanda će proveriti da li grupa "marketing" postoji u /etc/gshadow datoteci.

  7. Dodavanje ili uređivanje zapisa ručno: Možete koristiti tekstualni uređivač poput sudo nano /etc/gshadow da direktno uređujete ili dodate zapise u datoteku. Obratite pažnju da pridržavate pravila strukture datoteke.

Važno je napomenuti da direktna manipulacija datoteke /etc/gshadow treba biti pažljiva, jer sadrži osetljive informacije. Uobičajeno je koristiti alate poput gpasswd za dodavanje i upravljanje grupama kako bi se očuvala sigurnost sistema.

u No comments:
Labels: ,

/etc/group

 Fajl /etc/group na Unix i Linux sistemima sadrži informacije o grupama korisnika. Svaka linija u ovom fajlu predstavlja jednu grupu i ima sledeći format:

ime_grupe:password:GID:korisnici

Gde:

  • ime_grupe predstavlja ime same grupe.
  • password je polje za šifrovanu lozinku (obično označeno sa "x" ili "*"). Ovo polje se retko koristi i lozinke se obično smeštaju u fajl /etc/gshadow.
  • GID (Group ID) je jedinstveni identifikator grupe, izražen brojem.
  • korisnici su korisnici koji pripadaju ovoj grupi, razdvojeni zapetama.

Primer reda u /etc/group fajlu može izgledati ovako:

sales:x:1001:jane,john,bob

Ovaj red označava grupu sa imenom "sales" (prodaja) sa GID-om 1001, a korisnici koji pripadaju toj grupi su "jane", "john" i "bob".

Ovaj fajl omogućava sistemskim administratorima da definišu i upravljaju grupama, što olakšava organizaciju i kontrolu pristupa resursima na sistemu.

u No comments:
Labels: ,

/etc/default/useradd

Fajl /etc/default/useradd je konfiguracioni fajl koji sadrži podrazumevane vrednosti za opcije koje se koriste prilikom kreiranja novih korisničkih naloga sa useradd komandom. Ovaj fajl pruža sistemskim administratorima mogućnost da postave podrazumevane vrednosti koje će se primeniti prilikom svakog kreiranja novog korisničkog naloga, čime se olakšava doslednost u postavkama naloga na sistemu.

Evo nekoliko primera opcija koje se mogu naći u /etc/default/useradd fajlu:

  • GROUP: Podrazumevana primarna grupa novog korisnika.
  • HOME: Direktorijum koji će biti postavljen kao home direktorijum novog korisnika.
  • SHELL: Podrazumevana ljuska (shell) koja će biti dodeljena novom korisniku.
  • CREATE_MAIL_SPOOL: Ova opcija određuje da li će biti kreiran mailbox (poštansko sanduče) za novog korisnika.

Primer dela /etc/default/useradd fajla može izgledati ovako:

# /etc/default/useradd
GROUP=100
HOME=/home
SHELL=/bin/bash
CREATE_MAIL_SPOOL=yes

U ovom primeru, podrazumevana primarna grupa je postavljena na ID 100, home direktorijum na /home, podrazumevana ljuska je postavljena na /bin/bash, i mailbox će biti kreiran (CREATE_MAIL_SPOOL postavljeno na yes).

Napomena: Struktura i dostupne opcije u ovom fajlu mogu se razlikovati između različitih Linux distribucija, tako da je preporučljivo proveriti dokumentaciju sistema koji koristite kako biste dobili tačne informacije za vaš sistem.

u No comments:
Labels: ,

/etc/skel

 Direktorijum /etc/skel se koristi kao šablon za kreiranje početnih (skel) direktorijuma za nove korisnike. Kada se novi korisnik dodaje na sistemu, sistem kopira sadržaj direktorijuma /etc/skel u korisnički home direktorijum. Ovaj proces omogućava da novi korisnici automatski naslede određene postavke i fajlove koje administrator želi da podele sa svim korisnicima.

Tipično, /etc/skel sadrži osnovne fajlove i direktorijume koji se očekuju u home direktorijumu korisnika. Ovo uključuje konfiguracione fajlove za ljuspce (shell), kao i eventualno neke osnovne direktorijume kao što su Documents, Downloads, Pictures, i slično.

Na primer, ako pogledamo sadržaj /etc/skel na Linux sistemu, možemo videti nešto slično:

$ ls /etc/skel Desktop Documents Downloads Music Pictures Public

Kada se novi korisnik kreira, ovi direktorijumi se automatski kopiraju u njegov home direktorijum. Ovo omogućava svakom korisniku da počne sa osnovnom strukturom direktorijuma i nekim osnovnim fajlovima.

Administratori često prilagođavaju sadržaj /etc/skel prema potrebama njihove organizacije ili specifičnim zahtevima okoline korisnika. Na primer, mogu dodati dodatne konfiguracione fajlove, skripte ili resurse koje žele da podele sa svim korisnicima na sistemu.

u No comments:
Labels: ,

/etc/login.defs

 Fajl /etc/login.defs u Linux sistemu sadrži osnovna podešavanja za alate za upravljanje korisničkim nalozima, kao što su useradd i usermod. Ovaj fajl definiše različite parametre koji utiču na kreiranje i upravljanje korisničkim nalozima. Evo nekoliko ključnih parametara koji se mogu naći u ovom fajlu:

  1. PASS_MAX_DAYS:

    Ovaj parametar određuje maksimalni broj dana tokom kojih je lozinka važeća. Ako je postavljeno na 90, na primer, korisnici će morati da promene svoje lozinke svakih 90 dana.

    PASS_MAX_DAYS 90

  2. PASS_MIN_DAYS:

    Ovaj parametar postavlja minimalni broj dana koji mora proći između dve promene lozinke. Na primer, ako je postavljeno na 7, korisnici ne mogu promeniti lozinku češće od jednom nedeljno.

    PASS_MIN_DAYS 7

  3. PASS_WARN_AGE:

    Ovaj parametar određuje broj dana pre isteka lozinke kada korisnik dobija upozorenje. Na primer, ako je postavljeno na 14, korisnici će početi dobijati upozorenje 14 dana pre nego što njihova lozinka istekne.

    PASS_WARN_AGE 14

  4. UID_MIN i GID_MIN:

    Postavke koje definišu minimalne vrednosti za UID (User ID) i GID (Group ID). Korisnici i grupe sa identifikatorima manjim od ovih vrednosti se obično smatraju sistemskim korisnicima i grupama.

    UID_MIN 1000 GID_MIN 1000

  5. UMASK:

    Ovaj parametar postavlja podrazumevanu masku dozvola koja će se primenjivati na novonastale datoteke i direktorijume. Na primer:

    UMASK 022

  6. MAIL_DIR:

    Direktorijum u koji se smeštaju pošta korisnika. Na primer:

    MAIL_DIR /var/spool/mail

  7. CREATE_HOME:

    Ako je postavljeno na yes, useradd će automatski kreirati korisnički direktorijum (home) prilikom dodavanja novog korisnika.

    CREATE_HOME yes

  8. ENCRYPT_METHOD:

    Ovaj parametar određuje metod enkripcije koji će se koristiti za lozinke. Na primer, SHA512 koristi SHA-512 algoritam za enkripciju.

    ENCRYPT_METHOD SHA512

  9. USERGROUPS_ENAB:

    Ako je postavljeno na yes, useradd će automatski kreirati grupu sa istim imenom kao i korisnik i dodati korisnika u tu grupu.

    USERGROUPS_ENAB yes

Ovi parametri i njihove vrednosti mogu varirati u zavisnosti od distribucije Linux operativnog sistema. Sve izmene u ovom fajlu obično zahtevaju privilegije administratora.

u No comments:
Labels: ,

/etc/shadow

 Fajl /etc/shadow je sistemski fajl na Unix-sličnim operativnim sistemima, uključujući Linux, koji sadrži šifrovane lozinke korisnika. Ovaj fajl se koristi za čuvanje šifrovanih informacija o lozinkama, a pristup njemu obično imaju samo privilegovani korisnici, kao što je root.

Struktura /etc/shadow fajla obično ima sledeći format:

korisničko_ime:šifrovana_lozinka:datum_poslednje_promene:minimum_dana_između_promena:maksimum_dana_između_promena:dani_pre_isteka_upozorenja:broj_dana_do_isteka:neposredni_istek:nepostojeći_nalog:rezervisano
  • korisničko_ime: Korisničko ime za koje se čuva lozinka.
  • šifrovana_lozinka: Šifrovana verzija korisničke lozinke.
  • datum_poslednje_promene: Dan kada je lozinka poslednji put promenjena, obično izražen u danima od 1. januara 1970. godine (Unix vreme).
  • minimum_dana_između_promena: Minimalan broj dana koji mora proći pre nego što korisnik može promeniti lozinku.
  • maksimum_dana_između_promena: Maksimalan broj dana koji korisnik može koristiti jednu lozinku pre nego što je mora promeniti.
  • dani_pre_isteka_upozorenja: Broj dana pre nego što istekne lozinka korisnika kada korisnik počinje primati upozorenje o isteku.
  • broj_dana_do_isteka: Maksimalni broj dana nakon isteka kada će nalog biti deaktiviran.
  • neposredni_istek: Dan kada nalog odmah ističe i postaje neaktivan.
  • nepostojeći_nalog: Rezervisan prostor za buduću upotrebu.
  • rezervisano: Dodatni rezervisani prostor za buduću upotrebu.

Važno je napomenuti da su podaci u /etc/shadow fajlu šifrovani i ne mogu se direktno pročitati. Samo korisnici sa odgovarajućim privilegijama, obično root ili članovi grupe shadow, mogu pristupiti ovom fajlu.

u No comments:
Labels: ,

/etc/passwd

 Fajl /etc/passwd je jedan od ključnih sistemskih fajlova na Unix i Unix-sličnim operativnim sistemima, uključujući i Linux. Ovaj fajl sadrži informacije o korisnicima sistema. Svaki red u ovom fajlu predstavlja jednog korisnika i sadrži različite podatke o tom korisniku, odvojene dvotačkom (:).

Standardni format linije u /etc/passwd fajlu obično izgleda ovako:

ime_korisnika:x:UID:GID:opis_korisnika:/putanja/do/direktorijuma:/putanja/do/shella

Gde:

  • ime_korisnika: Korisničko ime korisnika.
  • x: Tradicionalno, ova vrednost je bila rezervisana za enkriptovanu lozinku korisnika. Međutim, moderne sistemske konfiguracije često koriste /etc/shadow fajl za skladištenje enkriptovanih lozinki, pa se ovde obično nalazi samo "x".
  • UID: User ID - jedinstveni identifikator korisnika.
  • GID: Group ID - identifikator grupe korisnika.
  • opis_korisnika: Polje u koje se često stavlja ime korisnika ili neki opis.
  • /putanja/do/direktorijuma: Putanja do korisnikovog matičnog direktorijuma.
  • /putanja/do/shella: Putanja do korisnikovog shell programa.

Na primer:

john.doe:x:1001:1001:John Doe:/home/john.doe:/bin/bash

U ovom primeru:

  • Korisničko ime je "john.doe".
  • UID je 1001.
  • GID je takođe 1001.
  • Opis korisnika je "John Doe".
  • Matični direktorijum je "/home/john.doe".
  • Korisnik koristi "/bin/bash" kao shell.

Važno je napomenuti da /etc/passwd fajl obično nije direktan izvor informacija o lozinkama korisnika. Enkriptovane lozinke se obično nalaze u fajlu /etc/shadow, koji je strogo zaštićen od neovlašćenog pristupa.


u No comments:
Labels: ,
Subscribe to: Posts (Atom)