একটি গ্রুপ পাসওয়ার্ডের জন্য সাধারণ ব্যবহারের কেস

আমি ইউনিক্সের অর্ধ শতাব্দীরও বেশি মূল্যবান অভিজ্ঞতা যাচাই করেছিলাম এবং আমার সহকর্মীরাও নয়, নিজেই কখনও কোনও গোষ্ঠীতে ( sgএবং gpasswd) একটি পাসওয়ার্ড সেট করেছি না । গ্রুপ পাসওয়ার্ডের জন্য সাধারণ ব্যবহারের ক্ষেত্রে কী হবে বা historicতিহাসিক কারণে কেবল সেখানেই যথেষ্ট?

আমিও এই বৈশিষ্ট্যটি কখনও ব্যবহার করে দেখিনি, এমনকি একবারও নয়। বেশিরভাগ এসএই এমনকি সচেতন নয় যে এই সুবিধাটি রয়েছে। ম্যান পৃষ্ঠাটি দেখার জন্য gpasswdএই নোটটি ছিল:

গ্রুপ পাসওয়ার্ড সম্পর্কে নোট

  Group passwords are an inherent security problem since more than one 
  person is permitted to know the password. However, groups are a useful 
  tool for permitting co-operation between different users.

কেন তাদের অস্তিত্ব আছে

আমি মনে করি যে তারা ব্যবহারকারীর পাসওয়ার্ডগুলির মডেলটি নকল করার ক্ষেত্রে একটি প্রাকৃতিক ধারণা ছিল, যেগুলি কেস মডেলগুলিও গ্রুপগুলিতে নকল করা বুদ্ধিমান হয়েছিল। কিন্তু বাস্তবে তারা কোনও কিছুর জন্য এতটা দরকারী না।

গোষ্ঠী পাসওয়ার্ড সহ ধারণাটি হ'ল যদি আপনার কোনও নির্দিষ্ট গোষ্ঠীর অ্যাক্সেস পাওয়ার প্রয়োজন হয় (যার সদস্য হিসাবে আপনি তালিকাভুক্ত ছিলেন না), আপনি newgrpকমান্ডটি ব্যবহার করে তা করতে পারবেন এবং অ্যাক্সেস পাওয়ার জন্য একটি পাসওয়ার্ড দিয়ে চ্যালেঞ্জ করুন এই বিকল্প গ্রুপগুলিতে।

তাদের সাথে বড় সমস্যাটি হ'ল প্রতিটি গোষ্ঠীর জন্য কেবলমাত্র একটি একক পাসওয়ার্ড রয়েছে, এইভাবে লোকেরা এই একক পাসওয়ার্ডটি ভাগ করতে বাধ্য করে, যখন একাধিক ব্যক্তির এই একটি নির্দিষ্ট গোষ্ঠীতে অ্যাক্সেসের প্রয়োজন হয়।

গ্রুপ

বেশিরভাগ পরিবেশের মধ্যে আমি এসেছি লোকেরা সাধারণত মাধ্যমিক গোষ্ঠীগুলিতে রাখে এবং তারপরে এই গোষ্ঠীগুলিকে ফাইল সিস্টেমে ফাইলগুলিতে অ্যাক্সেস দেয় এবং এটি ঘটতে হবে এমন সমস্ত ব্যবহারকে সন্তুষ্ট করেছে।

উবুন্টু

sudoঅতিরিক্ত অনুমতিগুলির আগমনের সাথে সাথে গোষ্ঠীগুলিকে প্রয়োজনীয় ভিত্তিতে হস্তান্তর করা যেতে পারে, এবং গ্রুপ পাসওয়ার্ডগুলি যে কোনও ব্যবহারের মামলা সরবরাহ করেছিল। আপনার যদি ব্যবহারকারীদের আরও অনুমতি দেওয়ার প্রয়োজন হয়, তবে ভূমিকাটি তৈরি করা আরও সহজ ছিল sudoএবং তারপরে তারা যে নাম ব্যবহারকারীর নাম বা গোষ্ঠী ছিল সেখানে অনুমতি দেওয়ার সুযোগ রয়েছে যাতে তারা কোনও নির্দিষ্ট কার্য সম্পাদন করতে পারে।

ACLs

অবশেষে অ্যাক্সেস কন্ট্রোল লিস্টগুলি তৈরি করার ক্ষমতা (এসিএল) ব্যবহারকারী / গোষ্ঠী / অন্যান্য অনুমতি মডেলটি একা সরবরাহ করতে পারে না এমন সর্বশেষ নমনীয়তাটি দিয়েছে, গোষ্ঠী পাসওয়ার্ডকে অস্পষ্ট করার জন্য কোনও সম্ভাব্য প্রয়োজনীয়তা প্রকাশ করে।

গোষ্ঠী পাসওয়ার্ডগুলির জন্য এখানে ব্যবহারিক ব্যবহার হ'ল, আমি নিজের কাজের সার্ভারে নিজের জন্য প্রয়োগ করেছি, যেহেতু লগগুলি ইঙ্গিত দেয় যে আমার অ্যাকাউন্টটি জোর করে চাপিয়ে দেওয়া হচ্ছে (বা অভিধানের আক্রমণ হতে পারে)।
আমি আমার ওয়ার্কস্টেশন এবং হোম কম্পিউটার থেকে ব্যবহারের জন্য কী জোড়া তৈরি করতে ssh-keygenএবং puttygenসম্মানের সাথে ব্যবহার করেছি। আমি বাড়ি থেকে কীটি ব্যবহার করি একটি পাসওয়ার্ড প্রয়োজন। আমি উভয় পাবলিক কীগুলিতে যুক্ত করেছি .ssh/authorized_keys, marionetteএকটি পাসওয়ার্ড সহ একটি গ্রুপ তৈরি করেছি এবং কোনও সদস্য নেই। রুট হিসাবে আমি visudoনিম্নলিখিত লাইনগুলি যুক্ত করতাম ।

Cmnd_Alias      SUDOING = /bin/bash, /usr/bin/sudo -i
%marionette     ALL=NOPASSWD:SUDOING

আমি আমার অ্যাকাউন্টের পাসওয়ার্ডটি অক্ষম করে রেখেছি, আপনি কেউ সেভাবে লগ ইন করতে পারবেন না। আমি এখন কেবল আমার কীগুলির সাহায্যে লগইন করি এবং পাসওয়ার্ড-সুরক্ষিত গোষ্ঠীটি প্রবেশ করে newgrp marionetteআমাকে ব্যবহার করে রুট হওয়ার অনুমতি দেয় sudo -i। বিকল্প
ছাড়া NOPASSWD:এটির জন্য আপনার ব্যবহারকারীর অ্যাকাউন্টের পাসওয়ার্ডের প্রয়োজন হবে । যদি এটি অক্ষম থাকে এবং এই গোষ্ঠীটি না থাকে তবে NOPASSWDআপনি সক্ষম হবেন না sudo -i। আপনার কমান্ড তালিকায় না থাকলে বা আপনার শিকড়টি ডিফল্টরূপে যে শেল ব্যবহার করছে তা যদি আপনার ব্যবহারকারীর অ্যাকাউন্টের পাসওয়ার্ডও প্রয়োজন /bin/bashহয়।

যদিও এটি কয়েক ধাপ দীর্ঘতর sudoing করার পথ তৈরি করে, এটি সুরক্ষার একটি ভাল স্তর যুক্ত করে। আপনি যদি আপনার সমস্ত অ্যাকাউন্টকে এটির /etc/ssh/sshd_configমতো করতে চান তবে একটি পাসওয়ার্ড এবং sudo সুবিধাসমূহের সাথে একটি স্থানীয় অ্যাকাউন্ট তৈরি করুন তবে এ জাতীয় কিছু যুক্ত করে এটিকে ssh এন্ট্রি অস্বীকার করুন :

DenyUsers root caan
DenyGroups root daleks

আপনি যদি পুনরায় ইনস্টল করেন এবং আপনার অ্যাক্সেস কীগুলি ব্যাকআপ করতে ভুলে যান তবে স্থানীয় অ্যাক্সেসের জন্য এটি প্রয়োজনীয়।

আমি কখনও এই পাসওয়ার্ডের জন্য ব্যবহারের ক্ষেত্রে দেখিনি। এবং এটি * নিক্সের অভিজ্ঞতার প্রায় 20 বছর।

আমার মনে যে একমাত্র ব্যবহার-মামলা আসে তা হ'ল এটি "এ সেট করা!" - লক করা হয়েছে, সুতরাং কেউই, সেই গোষ্ঠীর সদস্য না হয়ে newgrpকমান্ডের সাহায্যে এটিতে পরিবর্তন করতে পারে ।

যদি আমি রেডহ্যাট-ভিত্তিক সিস্টেমে এসএলইএস বা / ইত্যাদি / জিএসডোতে / ইত্যাদি / গোষ্ঠীতে সন্ধান করি তবে এটি "সাধারণ" ব্যবহারের ক্ষেত্রে বলে মনে হচ্ছে। SLES এমনকি সেই পাসওয়ার্ডের জন্য ছায়া-প্রক্রিয়া তৈরি করতে বিরতও করেনি।

আমাকে একটি ব্যবহারের কেস প্রস্তাব দিন।

প্রথমে আমাকে বলতে দাও যে আমরা "ব্যবহারকারীর" শব্দটির এতটাই অভ্যস্ত যে আমরা এটি সম্পর্কে ভাবি না। তবে "ব্যবহারকারী" সত্যই কোনও ব্যবহারকারী নয় । উদাহরণস্বরূপ, বাড়িতে আমাদের তিনটি কম্পিউটার রয়েছে - আমার স্ত্রীর ল্যাপটপ, আমার ল্যাপটপ এবং সাধারণ ডেস্কটপ কম্পিউটার। আমি যখন আমার স্ত্রীর ল্যাপটপ ব্যবহার করি তখন আমি তার ব্যবহারকারীর অ্যাকাউন্টে লগইন করি। যখন সে আমার ল্যাপটপটি ব্যবহার করে তখন সে আমার ব্যবহারকারীর অ্যাকাউন্টে লগ ইন করে। কারও যদি ডেস্কটপের প্রয়োজন হয় তবে সে সাধারণ অ্যাকাউন্টটি ব্যবহার করে। আমরা এখানে দেখতে পাচ্ছি যে কম্পিউটার সিস্টেমটি "ব্যবহারকারী" বলে ডাকে তা আসলেই একজন ব্যবহারকারী নয় তবে একটি কর্মপ্রবাহ - ক্রিয়াকলাপগুলির একটি সেট।

এখানে প্রশ্নটি রয়েছে: আমি কেন একাধিক ক্রিয়াকলাপ করতে পারি না - আমার প্রতিটি ভিন্ন কাজের জন্য একটি? আমি পারি. আমার কাজের কম্পিউটারে আমি অনেকগুলি পৃথক ব্যবহারকারী তৈরি করেছি (পরীক্ষামূলকভাবে) যাতে আমি বর্তমান কাজটিতে ফোকাস করতে পারি। আমি এই সমস্ত ব্যবহারকারীকে একই গ্রুপে রেখেছি যাতে আমি বর্তমানে কোন ব্যবহারকারীকে ব্যবহার করছি তার কোনও ফাইলই আমার ফাইলগুলি অ্যাক্সেস করতে পারি।

সুতরাং এই যেখানে gpasswd ফিট করে?

উবুন্টুর ডিফল্ট আচরণ হ'ল প্রতিটি ব্যবহারকারীর জন্য একটি বিশেষ গ্রুপ তৈরি করা।

যদি আমরা এই প্রাথমিক গোষ্ঠীগুলি ব্যবহারকারী হিসাবে চিন্তা করার এবং সিস্টেম ব্যবহারকারীদেরকে কর্মপ্রবাহ হিসাবে ভাবার সিদ্ধান্ত নিই তবে কী হবে ?

এই নতুন ব্যবহারকারীদের লগইন করার জন্য একটি পাসওয়ার্ড প্রয়োজন হবে, তাই না? এখানে gpasswd এর জায়গা। আমাকে এখনও গ্রুপটির সাথে কীভাবে লগইন করতে হবে তা নির্ধারণ করতে হবে (আমি জানি এই অবধি আপনি ইতিমধ্যে লগ ইন থাকলে আপনি gpasswd দিয়ে গ্রুপগুলি স্যুইচ করতে পারেন)।