Проблема Только посмотрите, сколько существует способов выключения и перезагруз ки: shutdown, halt, init 0, poweroff, Ctrl+Alt+Delete... Каким из них лучше пользо ваться? Решение Выбор не столь существенен; используйте тот способ, который вам больше под ходит. Следующие команды выключения могут использоваться только привиле гированным пользователем root: # shutdown -h now или # poweroff или #halt Выключение через шесть минут: # shutdown -h +6 Команда shutdown рассылает оповещения всем подключенным пользователям. Вы можете указать собственный текст: # shutdown -h +6 "Time to stop working and start partying." Консольные пользователи увидят следующее сообщение: Broadcast message from root (pts/6) Wed Aug 14 13:51:24 2003 Time to stop working and start partying. The system is going DOWN for system halt on 6 minutes! Чтобы отменить выключение компьютера, выполните следующую команду с правами root: # shutdown -с Перезагрузка выполняется командой # shutdown -г now или # reboot или нажатием Ctrl+Alt+Delete. Любой пользователь может перезагрузить ком пьютер, если только не отключить данную возможность в /etc/inittab (в разде ле 7.11 рассказано, как запретить перезагрузку или предоставить разРешениекон кретным пользователям). Комментарий Помните, что процесс выключения всегда должен быть контролируемым. Всем компьютерам, в том числе и машинам с системой Linux, приходится проделать немалый объем работы, чтобы питание можно было безопасно выключить. Сис тема должна завершить работу служб, демонтировать файловые системы и сбро сить буферы на диск. Команды shutdown, poweroff и halt выполняются только привилегированным пользователем root. Ограничение выглядит довольно глупо, потому что у любого оконного менеджера и среды настольной системы имеется собственное меню вы ключения, а любой пользователь, находящийся поблизости от компьютера, мо жет нажать кнопку питания. Но такова жизнь, и с этим приходится смириться. Возможный выход — предоставить ограниченные привилегии для выполнения ко манд выключения командой sudo. Другое Решениеосновано на создании специ альной группы пользователей, которым разрешено выключение. См. также shutdown(8), poweroff(8); раздел 8.20; раздел 8.21. 7.11. Запрет или ограничение доступа к Ctrl+Alt+Delete Проблема Всем известно, что комбинация клавиш Ctrl+Alt+ Delete перезагружает компьютер. Но хотите ли вы этого? С точки зрения безопасности машина становится уязви мой во время перезагрузки, тогда как перезагрузка может быть выполнена любым пользователем, имеющим доступ к клавиатуре. Исходя из этих соображений, воз можно, вы предпочтете либо полностью запретить перезагрузку компьютера кла вишами Ctrl+Alt+ Delete, либо ограничить ее некоторыми пользователями. Решение Чтобы полностью запретить перезагрузку по Ctrl+Alt+Delete, закомментируйте сле дующую строку в /etc/inittab: # са:12345:Ctrlaltdel :/sbin/shutdown -tl -r now Чтобы разрешить ее отдельным пользователям, включите в командную строку ключ -а: са:12345:Ctrlaltdel:/sbin/shutdown -tl -a -r now Затем перечислите пользователей, которым разрешено выполнять перезагруз ку, в файле /etc/shutdown.allow. Комментарий Если файл /etc/shutdown.allow не существует, создайте его. См. также shutdown(8). 7.12. Автоматическое выключение компьютера Проблема Пользователи по беспечности забывают выключать свои компьютеры на ночь. А может быть, вы думаете, что ваш компьютер должен выключаться ночью сам по себе, чтобы вы могли просто уйти по своим делам и не беспокоиться о нем. Решение Благодаря сгоп задача решается элементарно просто. Включите следующий фраг мент в /etc/crontab, чтобы компьютер автоматически выключался каждую ночь в 23:00: # m h dom mon dow user command 00 23 * * * root /sbin/shutdown -h now Комментарий Файл /etc/crontab идеально подходит для планировки простых заданий. Обрати те внимание: в файле имеется поле имени, поэтому любой пользователь может создавать в нем свои записи. Тем не менее редактирование файла/etc/crontab раз решается только пользователю root. Другой способ основан на использовании команды crontab: ф crontab -u root -e Команда открывает файл crontab для пользователя root; отредактируйте и со храните его. Не пытайтесь задать имя файла — в процессе редактирования файл является временным, а его имя автоматически задается crontab при сохранении. Файл сохраняется в каталоге /var/spool/cron/crontabs. См. также cron(8), crontab(l), crontab(5). Глава 8 Управление пользователя м и и группами 8.1. Введение В системе Linux как «живым» пользователям, так и системным процессам назна чаются учетные записи (accounts), необходимые для управления привилегиями и правилами доступа. Запомните два важнейших принципа безопасности Linux. 1. Всегда используйте минимальный уровень привилегий, необходимый для вы полнения работы. 2. Используйте сильные пароли. Соблюдение этих двух принципов избавит вас от многочисленных огорчений и неудач. В Linux входит набор утилит для выполнения операций с пользователями и группами: useradd, groupadd, userdel, groupdel, usermod, groupmod, passwd, chfn и chsh. Они входят в семейство «Shadow Suite», разработанное Джулианом Фрэнсисом Хо (Julianne Frances Haugh) для улучшения защиты паролей и упрощения опера ций управления учетными записями. Когда-то все файлы приходилось редакти ровать по отдельности, а шифрованные пароли хранились в файле /etc/passwd. Но поскольку файл /etc/passwd должен оставаться доступным для чтения, хране ние паролей в нем, пусть даже в зашифрованном виде, чревато потенциальными неприятностями. Скопировав этот файл, любой желающий теоретически сможет вычислить пароли. Перемещение зашифрованных паролей в файл /etc/shadow, доступный только для привилегированного пользователя root, создает полезный дополнительный уровень защиты. Команда useradd по-разному работает в разных системах. Традиционно она включала всех новых пользователей в одну группу users(lOO). Все домашние ката логи становились общедоступными, потому что все пользователи принадлежали к одной группе. В Red Hat эта схема была заменена схемой «User Privacy Group». Команда useradd в Red Hat создает для каждого нового пользователя приватную группу, идентификатор которой (GID) совпадает с идентификатором пользова теля (UID). Разумеется, разные пользователи обладают разными потребностями; некоторые из них могут предпочесть, чтобы их каталоги были открытыми. Фун даментальный принцип безопасности гласит: «сначала все запретить, потом раз решать по мере необходимости». Adduser и addgroup, сценарные Perl-обертки для команд useradd и groupadd, по явились относительно недавно. Эти сценарии полностью руководят вашими дей ствиями при создании нового пользователя. Они очень удобны для создания от дельных учетных записей, но не для серийных (batch) операций (разве что если вы самостоятельно внесете изменения в сценарии adduser и addgroup). В разделе 8.17 приведен сценарий для серийного создания новых пользовате лей и изменения паролей. #СоветыДляКомпьютера