Users and groups slide notes translated.

janpgit · janpgit · commit 8bfed4f4a120 · 2018-01-27T22:24:54.000+01:00
diff --git a/user-access.tex b/user-access.tex
@@ -33,93 +33,24 @@
 \end{slide}
 
 \begin{itemize}
-\item informace o u�ivatel�ch v souborech \texttt{/etc/passwd}, a
-\texttt{/etc/group} jsou zpracov�v�ny r�zn�mi syst�mov�mi programy, nap�.
-\texttt{login} (p�ihl�en� do sys\-t�\-mu na z�klad� u�ivatelsk�ho jm�na a
-hesla) nebo \texttt{su} (zm�na identity). \emsl{J�dro o t�chto souborech nic
-nev�, pou��v� pouze numerickou identifikaci u�ivatele a skupiny.}
-\item dnes ji� hesla nejsou z bezpe�nostn�ch d�vod� p��mo v
-\texttt{/etc/passwd}, ale nap��klad v \texttt{/etc/shadow}, kter� b�n�mu
-u�ivateli p��stupn� nen�, pouze u�ivatel \texttt{root} m� pr�vo pro �ten�
-a z�pis. Tedy pouze privilegovan� programy jako \texttt{login} nebo
-\texttt{sshd} mohou z tohoto souboru ��st nebo zapisovat (program
-\texttt{passwd} b�� pod u�ivatelem \texttt{root} d�ky \emph{setuid} bitu
-nastaven�m na souboru programu, viz pozn�mky na stran� \pageref{SUID_BIT}).
-Takto jsou hesla separovan� od ve�ejn� p��stupn�ch informac�, nav�c
-soubor kter� hesla obsahuje, je ukl�d� v zaha�ovan�/za�ifrovan� form�,
-tak�e nejsou p��mo �iteln�.
-Na BSD syst�mech (nap�. FreeBSD, Mac OS X) se m�sto \texttt{/etc/shadow}
-pou��v� soubor \texttt{/etc/master.passwd}.
-\item Soubor \texttt{/etc/shadow} je podobn� strukturovan� jako
-\texttt{/etc/passwd}. Jeden z�znam obsahuje v�t�inou n�sleduj�c� polo�ky
-(Solaris): u�ivatelsk� jm�no, zaha�ovan� heslo (spolu s indik�torem �e 
-dan� ��et je zablokovan�), posledn� modifikace hesla,
-minimum dn� po�adovan�ch mezi zm�nou hesla, maximum dn� po kter� je heslo
-platn�, po�et dn� po kter�ch je u�ivatel varov�n o expiraci hesla, po�et
-povolen�ch dn� neaktivity u�ivatele, absolutn� �as expirace u�ivatele,
-po�et ne�sp��ch pokus� o nalogov�n� tohoto u�ivatele.
-\item Hesla v \texttt{/etc/shadow} jsou ulo�ena takov�m zp�sobem, aby
-pokud se povede n�komu soubor z�skat, m�l zt��enou pr�ci p�i odhadov�n�
-hesel. P�vodn� (cleartext) heslo se pro�ene jednosm�rnou kryptografickou
-funkc� (kter� je nav�c parametrizovateln�, ��m� se v�po�etn� a prostorov�
-slo�itost pro �tok hrubou silou je�t� zv���)
-a ulo�� se do \texttt{/etc/shadow} v t�to form�. Ov��ov�n� hesla pak
-funguje tak �e, se na cleartext heslo aplikuje dan� funkce s dan�mi
-parametry a v�sledek se porovn� s polem hesla v \texttt{/etc/shadow}.
-Pokud jsou stejn�, prob�hla autentizace �sp�n�. P�vodn� navr�en� funkce
-p�estala s rozvojem procesor� sta�it, tak�e se dnes pou��vaj� funkce MD5,
-SHA1, Blowfish a dal��. Polo�ka hesla v \texttt{/etc/shadow} je pak vnit�n�
-strukturovan� pomoc� speci�ln�ch znak�, tak�e programy ov��uj�c� heslo v�,
-jakou funkci a s jak�mi parametry pou��t.
-V�t�ina syst�m� umo��uje glob�ln� konfiguraci pou�it�ch funkc� a jejich
-parametr�.
-\item existuj� i jin� syst�my, kter� (nejen) pro autentizaci
-\texttt{/etc/passwd} nemus� v�bec pou��vat, nap��klad NIS (Network Information
-Service) nebo LDAP (Lightweight Directory Access Protocol).
-\item skupina u�ivatele uveden� v \texttt{/etc/passwd} se naz�v�
-\emsl{prim�rn�}. Tuto skupinovou identifikaci dostanou nap�. soubory vytvo�en�
-procesy u�ivatele. Dal�� skupiny, ve kter�ch je u�ivatel uveden v souboru
-\texttt{/etc/group}, jsou dopl�kov� (\emph{supplementary}) a roz�i�uj�
-p��stupov� pr�va u�ivatele: skupinov� p��stup je povolen ke v�em objekt�m,
-jejich� skupinov� vlastn�k je roven bu� prim�rn�, nebo jedn� z dopl�kov�ch
-skupin.
-\item p�vodn� m�l v UNIXu ka�d� u�ivatel v�dy aktivn� pouze jednu skupinovou
-identitu. Po nalogov�n� byl ve sv� prim�rn� skupin�, pro z�sk�n� pr�v jin�
-skupiny bylo t�eba se do n� p�epnout p��kazem \texttt{newgrp} (skupinov�
-obdoba \texttt{su}, ��d� se obsahem souboru \texttt{/etc/group}), kter�
-spustil nov� shell.
-\item v nov�j��ch UNIXech nen� t�eba pro p��stup k soubor�m m�nit prim�rn�
-skupinovou identitu procesu, pokud u�ivatel pat�� do pot�ebn� skupiny. Zm�na
-identity je nutn�, pouze kdy� chceme vytv��et soubory s jinou skupinovou
-identitou, ne� je prim�rn� skupina u�ivatele. Lok�ln� pro ur�it� adres�� toho
-lze dos�hnout nastaven�m skupinov�ho vlastn�ka adres��e na po�adovanou skupinu
-a nastaven�m bitu SGID v p��stupov�ch pr�vech adres��e -- to plat� pro syst�my
-zalo�en� na System~V. U BSD sta�� zm�nit po�adovanou skupinu u adres��e.
-P��klad vytvo�en� takov�ho adres��e na Solarisu (p��kaz \texttt{chown}
-mus� b�t proveden pod u�ivatelem \texttt{root}):
-
-\begin{verbatim}
-# mkdir mydir
-# chown :lidi mydir
-# ls -ald mydir
-drwxr-xr-x   2 root     lidi           4 Nov  2 20:01 mydir
-# cd mydir/
-mydir # touch foo
-mydir # ls -ald foo
--rw-r--r--   1 root     root           0 Nov  2 20:01 foo
-mydir # chmod g+s .
-mydir # ls -ald .
-drwxr-sr-x   2 root     lidi           4 Nov  2 20:01 .
-mydir # touch bar
-mydir # ls -ald bar
--rw-r--r--   1 root     lidi           0 Nov  2 20:01 bar
-mydir # 
-\end{verbatim}
-
-\item druh� polo�ka v ��dc�ch \texttt{/etc/group} obsahuje zak�dovan�
-skupinov� heslo pou��van� p��kazem \texttt{newgrp}, to se ji� dnes nepou��v�.
-Nap��klad na FreeBSD je p��kaz \texttt{newgrp} p��stupn� u� jen superu�ivateli
-(kv�li vol�n� \texttt{setgroups}).
+\item User information in files \texttt{/etc/passwd} and \texttt{/etc/group} are
+processed by various system programs, like \texttt{login} or \texttt{su}.
+The kernel knows nothing about these files as it only uses numeric
+representation of users and groups.
+\item Passwords are long gone from \texttt{/etc/passwd}, they are stored some
+place else, for example in \texttt{/etc/shadow}, which is not readable to an
+uprivileged user.  The passwords are also salted and then hashed.  On BSD based
+systems, eg. FreeBSD or macOS, instead of \texttt{/etc/shadow},
+\texttt{/etc/master.passwd} database is used.
+\item If \texttt{/etc/shadow} does exist, it is structured in a similar way as
+\texttt{/etc/passwd}.
+\item There are also protocols used for autentization that do not use
+\texttt{/etc/passwd} at all, for example NIS (Network Information Service) or
+LDAP (Lightweight Directory Access Protocol).
+\item The user group in \texttt{/etc/passwd} is called \emph{primary} for the
+user.  Such a group is used when files are created.  Other groups a user belongs
+to, those in the user's entry in \texttt{/etc/group}, are called
+\emph{supplementary} and provide additional group privileges to access files.
 \end{itemize}
 
 %%%%%

-Original file line number
+Diff line change
 \end{slide}
 \begin{itemize}
 -\item informace o uživatelích v souborech \texttt{/etc/passwd}, a
 -\texttt{/etc/group} jsou zpracovávány různými systémovými programy, např.
 -\texttt{login} (přihlášení do sys\-té\-mu na základě uživatelského jména a
 -hesla) nebo \texttt{su} (změna identity). \emsl{Jádro o těchto souborech nic
 -neví, používá pouze numerickou identifikaci uživatele a skupiny.}
 -\item dnes již hesla nejsou z bezpečnostních důvodů přímo v
 -\texttt{/etc/passwd}, ale například v \texttt{/etc/shadow}, který běžnému
 -uživateli přístupný není, pouze uživatel \texttt{root} má právo pro čtení
 -a zápis. Tedy pouze privilegované programy jako \texttt{login} nebo
 -\texttt{sshd} mohou z tohoto souboru číst nebo zapisovat (program
 -\texttt{passwd} běží pod uživatelem \texttt{root} díky \emph{setuid} bitu
 -nastaveném na souboru programu, viz poznámky na straně \pageref{SUID_BIT}).
 -Takto jsou hesla separovaná od veřejně přístupných informací, navíc
 -soubor který hesla obsahuje, je ukládá v zahašované/zašifrované formě,
 -takže nejsou přímo čitelná.
 -Na BSD systémech (např. FreeBSD, Mac OS X) se místo \texttt{/etc/shadow}
 -používá soubor \texttt{/etc/master.passwd}.
 -\item Soubor \texttt{/etc/shadow} je podobně strukturovaný jako
 -\texttt{/etc/passwd}. Jeden záznam obsahuje většinou následující položky
 -(Solaris): uživatelské jméno, zahašované heslo (spolu s indikátorem že
 -daný účet je zablokovaný), poslední modifikace hesla,
 -minimum dní požadovaných mezi změnou hesla, maximum dní po které je heslo
 -platné, počet dní po kterých je uživatel varován o expiraci hesla, počet
 -povolených dní neaktivity uživatele, absolutní čas expirace uživatele,
 -počet neúspěšých pokusů o nalogování tohoto uživatele.
 -\item Hesla v \texttt{/etc/shadow} jsou uložena takovým způsobem, aby
 -pokud se povede někomu soubor získat, měl ztíženou práci při odhadování
 -hesel. Původní (cleartext) heslo se prožene jednosměrnou kryptografickou
 -funkcí (která je navíc parametrizovatelná, čímž se výpočetní a prostorová
 -složitost pro útok hrubou silou ještě zvýší)
 -a uloží se do \texttt{/etc/shadow} v této formě. Ověřování hesla pak
 -funguje tak že, se na cleartext heslo aplikuje daná funkce s danými
 -parametry a výsledek se porovná s polem hesla v \texttt{/etc/shadow}.
 -Pokud jsou stejné, proběhla autentizace úspěšně. Původně navržená funkce
 -přestala s rozvojem procesorů stačit, takže se dnes používají funkce MD5,
 -SHA1, Blowfish a další. Položka hesla v \texttt{/etc/shadow} je pak vnitřně
 -strukturovaná pomocí speciálních znaků, takže programy ověřující heslo ví,
 -jakou funkci a s jakými parametry použít.
 -Většina systémů umožňuje globální konfiguraci použitých funkcí a jejich
 -parametrů.
 -\item existují i jiné systémy, které (nejen) pro autentizaci
 -\texttt{/etc/passwd} nemusí vůbec používat, například NIS (Network Information
 -Service) nebo LDAP (Lightweight Directory Access Protocol).
 -\item skupina uživatele uvedená v \texttt{/etc/passwd} se nazývá
 -\emsl{primární}. Tuto skupinovou identifikaci dostanou např. soubory vytvořené
 -procesy uživatele. Další skupiny, ve kterých je uživatel uveden v souboru
 -\texttt{/etc/group}, jsou doplňkové (\emph{supplementary}) a rozšiřují
 -přístupová práva uživatele: skupinový přístup je povolen ke všem objektům,
 -jejichž skupinový vlastník je roven buď primární, nebo jedné z doplňkových
 -skupin.
 -\item původně měl v UNIXu každý uživatel vždy aktivní pouze jednu skupinovou
 -identitu. Po nalogování byl ve své primární skupině, pro získání práv jiné
 -skupiny bylo třeba se do ní přepnout příkazem \texttt{newgrp} (skupinová
 -obdoba \texttt{su}, řídí se obsahem souboru \texttt{/etc/group}), který
 -spustil nový shell.
 -\item v novějších UNIXech není třeba pro přístup k souborům měnit primární
 -skupinovou identitu procesu, pokud uživatel patří do potřebné skupiny. Změna
 -identity je nutná, pouze když chceme vytvářet soubory s jinou skupinovou
 -identitou, než je primární skupina uživatele. Lokálně pro určitý adresář toho
 -lze dosáhnout nastavením skupinového vlastníka adresáře na požadovanou skupinu
 -a nastavením bitu SGID v přístupových právech adresáře -- to platí pro systémy
 -založené na System~V. U BSD stačí změnit požadovanou skupinu u adresáře.
 -Příklad vytvoření takového adresáře na Solarisu (příkaz \texttt{chown}
 -musí být proveden pod uživatelem \texttt{root}):
+-
 -\begin{verbatim}
 -# mkdir mydir
 -# chown :lidi mydir
 -# ls -ald mydir
 -drwxr-xr-x   2 root     lidi           4 Nov  2 20:01 mydir
 -# cd mydir/
 -mydir # touch foo
 -mydir # ls -ald foo
 --rw-r--r--   1 root     root           0 Nov  2 20:01 foo
 -mydir # chmod g+s .
 -mydir # ls -ald .
 -drwxr-sr-x   2 root     lidi           4 Nov  2 20:01 .
 -mydir # touch bar
 -mydir # ls -ald bar
 --rw-r--r--   1 root     lidi           0 Nov  2 20:01 bar
 -mydir #
 -\end{verbatim}
+-
 -\item druhá položka v řádcích \texttt{/etc/group} obsahuje zakódované
 -skupinové heslo používané příkazem \texttt{newgrp}, to se již dnes nepoužívá.
 -Například na FreeBSD je příkaz \texttt{newgrp} přístupný už jen superuživateli
 -(kvůli volání \texttt{setgroups}).
 +\item User information in files \texttt{/etc/passwd} and \texttt{/etc/group} are
 +processed by various system programs, like \texttt{login} or \texttt{su}.
 +The kernel knows nothing about these files as it only uses numeric
 +representation of users and groups.
 +\item Passwords are long gone from \texttt{/etc/passwd}, they are stored some
 +place else, for example in \texttt{/etc/shadow}, which is not readable to an
 +uprivileged user.  The passwords are also salted and then hashed.  On BSD based
 +systems, eg. FreeBSD or macOS, instead of \texttt{/etc/shadow},
 +\texttt{/etc/master.passwd} database is used.
 +\item If \texttt{/etc/shadow} does exist, it is structured in a similar way as
 +\texttt{/etc/passwd}.
 +\item There are also protocols used for autentization that do not use
 +\texttt{/etc/passwd} at all, for example NIS (Network Information Service) or
 +LDAP (Lightweight Directory Access Protocol).
 +\item The user group in \texttt{/etc/passwd} is called \emph{primary} for the
 +user.  Such a group is used when files are created.  Other groups a user belongs
 +to, those in the user's entry in \texttt{/etc/group}, are called
 +\emph{supplementary} and provide additional group privileges to access files.
 \end{itemize}
 %%%%%