По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Ранее мы рассмотрели, какие бывают базы данных пользователей. Теперь разберем, как работать с этими базами добавлять, редактировать и удалять пользователей.
Рассмотрим следующие 3 утилиты:
Useradd - создание пользователей
Usermod – изменение свойств пользователей
Userdel – удаление пользователей
Первое, что нам потребуется это описание команды - man useradd.
У данной команды огромное количество ключей. В частности, популярные такие ключи:
-d — это указание домашней директории пользователя. Без этого ключа операционная система создает одноименную папку пользователя в папке /home, но с помощью данного ключа мы можем указать какую-нибудь другую.
-g – можно указать id группы в которую мы хотим включить пользователя. Есть аналог этого ключа -G (помним, что регистр в Linux имеет значение) – при этом ключе мы можем использовать не id группы, а ее название.
-m создание домашней директории по умолчанию, в момент создания пользователя. При данном ключе домашняя директория создается сразу, а не при первом входе пользователя в систему, по умолчанию. Он важен т.к. при автоматизации данная папка может потребоваться.
-p – мы можем указать данный ключ и при создании пользователя сразу система потребует задать создаваемому пользователю пароль.
-s – данный ключ позволяет задать оболочку по умолчанию для этого пользователя.
Общий вид команды:
useradd [опции] [имя_пользователя].
Рассмотрим небольшой пример: sudo useradd -m -G sudo buh
Все работы с пользователями выполняются с повышенными привилегиями.
Создаем нового пользователя buh, сразу создаем домашнюю папку и помещаем в группу sudo, т.е в группу пользователей которая может повышать привилегии.
Убедимся, что пользователь был создан - sudo cat /etc/shadow
В конце файла мы можем увидеть, что пользователь создан. Обратим внимание, что после логина, стоит не символ звездочки или x, а знак ! – это означает, что пароль скрыт, но может быть с помощью утилиты изменен. Утилита для изменения пароля - passwd. Синтаксис ее достаточно простой - passwd [имя_пользователя]. При использовании ее попросит ввести новый пароль и второй раз ввести для подтверждения. После этого операционная система его зашифрует и заменит в файле на набор букв-цифр-символов.
Еще мы командой passwd можем поменять пароль себе. Делается это достаточно просто - passwd и нажимаем клавишу ввода. Система понимает, что пользователь хочет сменить пароль себе и попросит ввести текущий пароль и 2 раза новый пароль.
Теперь мы можем посмотреть в какие группы входит пользователь - cat /etc/group
Как видно пользователь согласно ключу G был добавлен в группу sudo. Ну и, конечно, для пользователя buh была создана одноименная группа buh.
И посмотрим создалась ли домашняя папка пользователя с помощью команды ll /home.
Папка создалась.
Рассмотрим следующую команду - usermod. Синтаксис данной команды:
usermod [опции] [имя_пользователя]
У данной утилиты есть все те же ключи, что и у useradd, но есть и свои ключи.
-L – данный ключ позволяет заблокировать пользователя. Если мы посмотрим файл /etc/shadow то мы увидим ! знак перед паролем. Что означает, что пользователь не может войти в систему.
-U - ключ мы можем использовать для разблокировки пользователя.
Теперь мы можем, например, заменить оболочку и подписать учетную запись.
sudo usermod -s /bin/bash -c “best buh” buh
Как мы видим, изменилась оболочка по умолчанию и добавился комментарий.
Последняя утилита userdel исходя из названия мы понимаем, что она используется для удаления пользователей. Синтаксис:
userdel [ключ] [имя_пользователя]
Обычно эту команду используют примерно так: sudo userdel buh, но если добавить ключик -r то будет удалена и домашняя директория пользователя, а также будет удалена запись о пользователе во всех базах данных пользователей в операционной системе.
В одном из прошлых статей мы рассмотрели способы фильтрации маршрутов для динамического протокола маршрутизации EIGRP. Следует отметить, что EIGRP проприетарная разработка Cisco, но уже открыта другим производителям. OSPF же протокол открытого стандарта и поддерживается всем вендорами сетевого оборудования. Предполагается, что читатель знаком с данным протоколом маршрутизации и имеет знания на уровне CCNA.
OSPF тоже поддерживает фильтрацию маршрутов, но в отличии от EIGRP, где фильтрацию можно делать на любом маршрутизаторе, здесь она возможна только на пограничных роутерах, которые называются ABR (Area Border Router) и ASBR (Autonomous System Boundary Router). Причиной этому является логика анонсирования маршрутов в протоколе OSPF. Не вдаваясь в подробности скажу, что здесь маршруты объявляются с помощью LSA (Link State Advertisement). Существует 11 типов LSA, но рассматривать их мы не будем. По ходу статьи рассмотрим только Type 3 LSA и Type 5 LSA.
LSA третьего типа создаются пограничными роутерами, которые подключены к магистральной области (backbone area) и минимум одной немагистральной. Type 3 LSA также называются Summary LSA. С помощью данного типа LSA ABR анонсирует сети из одной области в другую. В таблице базы данных OSPF они отображается как Summary Net Link States:
Фильтрация LSA третьего типа говорит маршрутизатору не анонсировать сети из одной области в другую, тем самым закрывая доступ к сетям, которые не должны отображаться в других областях.
Видео: протокол OSPF (Open Shortest Path First) за 8 минут
Для настройки фильтрации применяется команда area area-num filter-list prefix prefix-list-name {in | out} в интерфейсе конфигурации OSPF. Как видно, здесь применяются списки префиксов или prefix-list, о которых мы говорили в предыдущей статье. Маршрут не анонсируется если попадает под действие deny в списке префиксов.
Камнем преткновения в данной команде являются ключевые слова in и out. Эти параметры определяют направление фильтрации в зависимости от номера области, указанного в команде area are-num filter. А работают они следующим образом:
Если прописано слово in, то маршрутизатор предотвращает попадание указанных сетей в область, номер которого указан в команде.
Если прописано слово out, то маршрутизатор фильтрует номера сетей, исходящих из области, номер которого указан в команде.
Схематически это выглядит так:
Команда area 0 filter-list in отфильтрует все LSA третьего типа (из областей 1 и 2), и они не попадут в area 0. Но в area 2 маршруты в area 1 попадут, так как нет команд вроде area 2 filter-list in или area 1 filter-list out. Вторая же команда: area 2 filter-list out отфильтрует все маршруты из области 2. В данном примере маршрутная информация из второй области не попадёт ни в одну из областей.
В нашей топологии, показанной на рисунке, имеются две точки фильтрации, то есть два пограничных маршрутизатора:
При чем каждый из этих маршрутизаторов будет фильтровать разные сети. Также мы здесь используем обе ключевых слова in и out. На ABR1 напишем следующие prefix-list-ы:
ip prefix-list FILTER-INTO-AREA-34 seq 5 deny 10.16.3.0/24
ip prefix-list FILTER-INTO-AREA-34 seq 10 permit 0.0.0.0/0 le 32
А на ABR2
ip prefix-list FILTER-OUT-OF-AREA-0 seq 5 deny 10.16.2.0/23 ge 24 le 24
ip prefix-list FILTER-OUT-OF-AREA-0 seq 10 permit 0.0.0.0/0 le 32
Теперь проверив таблицу маршрутизации на R3, увидим, что маршрут до сети 10.16.3.0 отсутствует:
Теперь поясним, что мы сказали маршрутизатору. В конфигурации ABR1 первый prefix-list с действием deny совпадет только с маршрутом, который начинается на 10.16.3.0, а длина префикса равна 24. Второй же префикс соответствует всем остальным маршрутам. А командой area 34 filter-list prefix FILTER-INTO-AREA-34 in сказали отфильтровать все сети, которые поступают в 34 область. Поэтому в базе OSPF маршрута в сеть 10.16.3 через R1 не будет.
На втором же маршрутизаторе пошли другим путём. Первый команда ip prefix-list FILTER-OUT-OF-AREA-0 seq 5 deny 10.16.2.0/23 ge 24 le 24 совпадет с маршрутами, который начинается на 10.16.2.0 и 10.16.3.0, так как указан /23. На языке списка префиксов означает взять адреса, которые могут соответствовать маске 255.255.254.0, а длина префикса адреса равна 24. А командой area 0 out сказали отфильтровать все LSA 3 типа, которые исходят из области 0. На первый взгляд кажется сложным, но если присмотреться, то все станет ясно.
Фильтрация маршрутов в OSPF через distribute-list
Фильтрация LSA третьего типа не всегда помогает. Представим ситуацию, когда в какой-то области 50 маршрутизаторов, а нам нужно чтобы маршрутная информация не попала в таблицу только 10 роутеров. В таком случае фильтрация по LSA не поможет, так как он фильтрует маршрут исходящий или входящий в область, в нашем случае маршрут не попадёт ни на один маршрутизатор, что противоречит поставленной задаче.
Для таких случаев предусмотрена функция distribute-list. Она просто не добавляет указанный маршрут в таблицу маршрутизации, но в базе OSPF маршрут до сети будет.
В отличии от настройки distribute-list в EIGRP, в OSPF нужно учесть следующие аспекты:
Команда distribute-list требует указания параметров in | out, но только при применении in фильтрация будет работать.
Для фильтрации команда может использовать ACL, prefix-list или route-map.
Можно также добавить параметр interface interface-type-number, чтобы применить фильтрацию для конкретного интерфейса.
Внесем некоторые изменения в конфигурацию маршрутизатора R3, чтобы отфильтровать маршрут до сети 10.16.1.0:
Как видно на выводе, до применения prefix-list-а, в таблице маршрутизации есть маршрут до сети 10.16.1.0. Но после внесения изменений маршрут исчезает из таблицы, но вывод команды show ip ospf database | i 10.16.1.0 показывает, что в базе OSPF данный маршрут существует.
Фильтрация маршрутов на ASBR
Как уже было сказано в начале материала, ASBR это маршрутизатор, который стоит между двумя разными автономными системами. Именно он генерирует LSA пятого типа, которые включают в себя маршруты в сети, находящиеся вне домена OSPF.
Топология сети показана ниже:
Конфигурацию всех устройств из этой статьи можно скачать в архиве по ссылке ниже.
Скачать конфиги тестовой лаборатории
Как видно из рисунка, у нас есть два разных домена динамической маршрутизации. На роутере ASBR настроена редистрибюция маршрутов, то есть маршруты из одно домена маршрутизации попадают во второй. Нам нужно отфильтровать маршруты таким образом, чтобы сети 172.16.101.0/24 и 172.16.102.0/25 не попали в домен EIGRP. Все остальные, включая сети точка-точка, должны быть видны для пользователей в сети EIGRP.
Для фильтрации Cisco IOS нам дает всего один инструмент route-map. О них мы подробно рассказывали в статье и фильтрации маршрутов в EIGRP.
Можно пойти двумя путями. Либо запрещаем указанные маршруты, в конце добавляем route-map с действием permit, который разрешит все остальные, либо разрешаем указанным в списке префиксов маршруты, а все остальное запрещаем (имейте ввиду, что в конце любого route-map имеется явный запрет deny).
Покажем второй вариант, а первый можете протестировать сами и поделиться результатом.
Для начала создаем списки префиксов с разрешёнными сетями:
ip prefix-list match-area0-permit seq 5 permit 172.16.14.0/30
ip prefix-list match-area0-permit seq 10 permit 172.16.18.0/30
ip prefix-list match-area0-permit seq 15 permit 172.16.8.1/32
ip prefix-list match-area0-permit seq 20 permit 172.16.4.1/32
ip prefix-list match-area0-permit seq 25 permit 172.16.48.0/25
ip prefix-list match-area0-permit seq 30 permit 172.16.49.0/25
ip prefix-list match-area3-permit seq 5 permit 172.16.103.0/24 ge 26 le 26
Еще раз отметим, что фильтрация LSA Type 5 делается только на ASBR маршрутизаторе. До внесения изменений на маршрутизаторе R1 видны сети до 101.0 и 102.0:
Применим изменения на ASBR:
Проверим таблицу маршрутизации R1 еще раз:
Как видим, маршруты в сеть 101.0 и 102.0 исчезли из таблицы.
На этом, пожалуй, завершим это материал. Он и так оказался достаточно большим и сложным. Удачи в экспериментах!
Всем привет! Одной из серьезных потребностей системы Linux является регулярное обновление последних обновлений безопасности или обновлений, доступных для соответствующего дистрибутива.
Сегодня мы расскажем, как настроить дистрибутив CentOS и RHEL 7/6 для автоматического обновления необходимых пакетов безопасности при необходимости. Другие дистрибутивы Linux из тех же семейств (Fedora или Scientific Linux) могут быть настроены аналогичным образом.
Настройка автоматических обновлений безопасности в системах CentOS и RHEL
На CentOS или RHEL 7/6 необходимо установить пару нужных пакетов:
# yum update -y && yum install yum-cron -y
Включение автоматического обновления безопасности на CentOS и RHEL 7
После завершения установки откройте /etc/yum/yum-cron.conf и найдите эти строки и установите следующие значения:
update_cmd = security
update_messages = yes
download_updates = yes
apply_updates = yes
Кстати, у нас есть статья, как сделать автоматическое обновление пакетов безопасности на Debian или Ubuntu
Первая строка указывает, что команда автоматического обновления будет:
# yum --security upgrade
В то время как другие строки включают уведомления и автоматическую загрузку, и установку обновлений безопасности.
В следующих строках также указывается, что уведомления будут отправляться по электронной почте от root@localhost на ту же учетную запись. Можно выбрать другую, если необходимо.
emit_via = email
email_from = root@localhost
email_to = root
Включение автоматического обновления безопасности на CentOS и RHEL 6
Изначально cron настроен на немедленную загрузку и установку всех обновлений, но мы можем изменить это в файле конфигурации /etc/sysconfig/yum-cron, установив два параметра на yes.
# Don't install, just check (valid: yes|no)
CHECK_ONLY=yes
# Don't install, just check and download (valid: yes|no)
# Implies CHECK_ONLY=yes (gotta check first to see what to download)
DOWNLOAD_ONLY=yes
Чтобы включить уведомление по электронной почте об обновлениях пакета безопасности, установите для параметра MAILTO нужный почтовый адрес.
# by default MAILTO is unset, so crond mails the output by itself
# example: MAILTO=root
MAILTO=wiki@merionet.com
И наконец запускаем наш yum-cron сервис:
------------- Для CentOS/RHEL 7 -------------
systemctl start yum-cron
systemctl enable yum-cron
------------- Для CentOS/RHEL 6 -------------
# service yum-cron start
# chkconfig --level 35 yum-cron on
Успех! Вы успешно настроили автоматические обновления CentOS и RHEL 7/6.
В этой статье мы обсудили, как регулярно обновлять ваш сервер с помощью последних обновлений безопасности. Кроме того, вы узнали, как настроить уведомления по электронной почте, чтобы быть в курсе новых патчей.