Egy többfelhasználós rendszernek szükséges megkülönböztetnie egymástól a felhasználóit, hogy tudjanak egyszerre is dolgozni, valamint megakadályoznia, hogy hozzáférhessenek egymás fájljaihoz és könyvtáraihoz engedély nélkül. Nézzük át, hogy a felhasználók hogyan léphetnek be a rendszerbe.
Mielőtt használatba vennénk a parancsértelmezőnket, előbb be kell jelentkezni a rendszerbe. Ezt kétféleképpen tehetjük meg, vagy a számítógép előtt ülve, vagy távolról. A következőkben átvesszük mindkettőt.
Helyi bejelentkezés
A bejelentkezési folyamat a getty program indulásával kezdődik. Az inittab fájlban állíthatjuk be, hogy mely terminálokon induljon el a getty program, azaz hányas számú terminálok legyenek aktívak a belépésre. A getty feladata, elindítani a login programot, amely kéri a felhasználói nevet és a jelszót. Ne ijedjünk meg, biztonsági okok miatt, nem fog megjelenni karakter a jelszó gépelése közben.
Naxonet login: jonci Password:
A login program a /etc/passwd és ha létezik, akkor a /etc/shadow fájlt is felhasználja a felhasználó azonosítására. E két fájlról a Felhasználók és csoportok kezelése fejezetben (hamarosan) lehet bővebben olvasni.
A /etc/nologin fájl létrehozásával megakadályozható a felhasználók belépése, ilyenkor csak a rendszergazda jelentkezhet be. A rendszer lekapcsolásakor is automatikusan létrejön, hogy senki se léphessen be, amíg a rendszer újra be nem töltődik.
Karakteres, helyi bejelentkezés esetén a <gépnév> login: előtt a rendszer megjeleníti a /etc/issue fájl tartalmát (pre-login message, belépés előtti üzenet). Ebben különböző információk kiírására utasíthatjuk a getty programot.
Távoli bejelentkezés
Vonatkoztassunk el a hardver feltételektől, foglalkozzunk inkább csak a szoftver oldalával. A két gépnek kommunikálnia kell egymással és ehhez programok szükségesek. Amelyik géphez akarunk csatlakozni, azt nevezzük szerver gépnek, a másikat pedig kliensnek. Többféle kommunikációs csatorna létezik, a használni kívánt programtól függ, hogy melyikkel jön létre az adatforgalom. Amikor csatlakozni akarunk egy szerverhez, akkor először kéréssel fordulunk hozzá.
A kérésre háromféleképpen reagálhat a szerver. Az egyik lehetőség, hogy a szolgáltatást biztosító program fut a háttérben (démon), fogadja a kéréseket és biztosítja a kommunikációt. A másik lehetőség, hogy – a háttérben mindig futó – inetd démon fogadja a kérelmeket és elindítja a szolgáltatást biztosító programot. A /etc/inetd fájlban állíthatjuk be a biztosítani kívánt szolgáltatásokat. Figyeljünk rá, hogy alapesetben sok szolgáltatás engedélyezve lehet (feleslegesen), ami biztonsági rést is jelenthet, így a nem használt szolgáltatást jobb, ha bezárjuk. A harmadik esetben a szerver elutasítja a kapcsolatot. Többek között lehet oka, hogy nem fut a szolgáltatás, ami feldolgozná a kéréseket, vagy a tűzfal blokkolja a csatlakozást.
Távoli bejelentkezés előtti üzenetet a /etc/issue.net fájlban helyezhetünk el. Manapság már nem használatos telnet szolgáltatás alapból megjelenítette (magát a telnet programot gyakran használják tesztelés céljára), az ssh esetén engedélyezni kell a /etc/ssh/sshd_config fájlban:
Banner /etc/issue.net
A beállítás érvényesítéséhez indítsuk újra az ssh a szolgáltatást:
root@bash# /etc/init.d/ssh restart
Ezután a következő bejelentkezésnél megjelenik a tartalma.
Sikeres bejelentkezés után
A képernyőre kerül a /etc/motd (message of the day) fájl tartalma (post-login message, belépés utáni üzenet). Rendszergazdák ezt a fájlt használják a rendszer hirdető táblájának, hisz alapértelmezetten minden felhasználó minden bejelentkezésénél megjelenik a tartalma. Ezen felül a rendszer ellenőrzi, hogy van-e levél a postaládánkban (alapesetben: /var/mail/<felhasználónév>). Ha a fájl nem létezik, nem ír ki semmi, ha létezik, de nincs benne levél, akkor a no mail for <felhasználóné> üzenet látható. Ha van levelünk, de mind olvasatlan, akkor a You have mail, ha olvasatlan is akad közöttük, akkor a You have new mail fogad minket.
Csendes bejelentkezés
Mind a /etc/motd fájl, mind a levelesláda állapotának megjelenítését letilthatjuk, ha elhelyezünk egy tetszőleges tartalmú .hushlogin fájlt a home könyvtárunkban (alapesetben: /home/<felhasználónév>/). A feltétel nélküli letiltás gondot okozhat, ezért ajánlott csak az ismétlődő megjelenítést mellőzni. Az alábbi példát helyezzük el a ~felhasználónév/.bash_profile fájlban:
if [ ! -e ~/.hushlogin -o /etc/motd -nt ~/.hushlogin ] 2>/dev/null
then
cp /etc/motd ~/.hushlogin
more ~/.hushlogin
fi
Ha nem létezik a .hushlogin fájl, vagy létezik, de régebbi, mint a /etc/motd, akkor lemásolja a /etc/motd fájlt a felhasználó saját könyvtárba .hushlogin néven és megjeleníti a képernyőn, minden más eseten nem történik kiírás.
A make program felhasználásával is bemutatunk egy példát (bár sok rendszeren alapból nem települ a make, szerveren pedig egyenesen kerülendő):
if [ -f /etc/motd ]
then
make -s -f .hushlogin .hushlogin
fi
Azaz, ha létezik a /etc/motd, akkor a make programmal (-s, csöndes üzemmód), feldolgoztatjuk a .hushlogin-t mint makefile és ugyanaz lesz a célállomány is.
A .hushlogin fálba a következőket helyezzük el (a -> a tabulátor jele):
.hushlogin: /etc/motd -> touch .hushlogin -> more /etc/motd
Megadjuk, hogy a .hushlogin a /etc/motd fájltól függ, és ha régebbi annál, akkor a touch és more parancsokat kell végrehajtani. A touch frissíti .hushlogin módosítási dátumát a aktuális időpontra, majd a more megjeleníti a /etc/motd tartalmát.
Szolgáltatások tiltása és engedélyezése számítógépenként
Lehetőségünk van az inetd szolgáltatását egyenként tiltani vagy engedélyezni adott címekre. A tiltásokat a /etc/hosts.deny fájlban, az engedélyezéseket a /etc/hosts.allow fájlban kell megadni. Ha nem léteznek, akkor semmiféle korlátozás nincs beállítva.
Célszerű a /etc/hosts.deny fájl tartalmát a következőre beállítani:
ALL: ALL
Ezzel minden szolgáltatást tiltunk mindenkinek befelé. A /etc/hosts.allow fájlban pedig engedélyezhetjük a kívánt szolgáltatásokat megadott gépekre, vagy tartományokra. A szolgáltatások listáját a /etc/services fájlban találjuk. Az alábbi példa az ftp szolgáltatást engedélyezi a belső hálóra:
in.ftpd: 192.168.0.0/255.255.255.0
A két fájl használatával jól konfigurálható egy szerver, de nagyobb biztonságot érhetünk el egy igazi tűzfal használatával (például: iptables – erről majd egy későbbi bejegyzésben írok).