Загрузка данных


####################################
# ЗАДАНИЕ 1. СМЕНА ПАРОЛЯ ROOT
####################################

# 1.1 Сменить пароль суперпользователя root через sudo
sudo passwd root

# 1.2 Проверить вход с новым паролем root
su -
exit


####################################
# ЗАДАНИЕ 2. НАСТРОЙКА SUDOERS
####################################

# 2.1 Создать пользователей john, user1, user2
sudo useradd -s /bin/bash -m john
sudo useradd -s /bin/bash -m user1
sudo useradd -s /bin/bash -m user2

# 2.2 Задать пароли для user1 и user2 (john по желанию)
sudo passwd user1
sudo passwd user2
# при необходимости:
# sudo passwd john

# 2.3 Открыть файл правил 01_usermanagement в visudo
sudo visudo -f /etc/sudoers.d/01_usermanagement

# ВО ВРЕМЯ РЕДАКТИРОВАНИЯ ВСТАВИТЬ СТРОКУ:
# john ALL = NOPASSWD: /usr/sbin/groupadd, /usr/sbin/usermod

# 2.4 Проверка прав john (по желанию)
sudo -l -U john


####################################
# ЗАДАНИЕ 3. ОГРАНИЧЕНИЕ ДОСТУПА К su
####################################

# 3.1 Создать группу g_admin и добавить в нее user1 и user2
sudo groupadd g_admin
sudo usermod -aG g_admin user1
sudo usermod -aG g_admin user2

# 3.2 Переключиться в пользователя john (для проверки позже)
su - john
id
exit

# 3.3 Сделать резервную копию и отредактировать /etc/pam.d/su
sudo cp /etc/pam.d/su /etc/pam.d/su.bak
sudo nano /etc/pam.d/su
# В ФАЙЛ ДОБАВИТЬ СТРОКУ В БЛОК auth (обычно сразу после первых auth-строк):
# auth required pam_wheel.so group=g_admin

# 3.4 Проверка: user1 и user2 могут su, john — нет

# проверить для user1
su - user1
id
su -
exit
exit

# проверить для user2
su - user2
id
su -
exit
exit

# проверить для john (должен получить отказ)
su - john
id
su -
exit


####################################
# ЗАДАНИЕ 4. pam_tally / pam_tally2
####################################

# 4.1 Резервные копии PAM-конфигов
sudo -i
cp /etc/pam.d/common-auth /etc/pam.d/common-auth.bak
cp /etc/pam.d/login /etc/pam.d/login.bak 2>/dev/null || true
cp /etc/pam.d/sshd /etc/pam.d/sshd.bak 2>/dev/null || true

# 4.2 Настроить pam_tally2 в /etc/pam.d/common-auth
nano /etc/pam.d/common-auth
# В НАЧАЛО ФАЙЛА ДОБАВИТЬ СТРОКИ (ПЕРЕД ДРУГИМИ auth):
# auth required pam_tally2.so deny=3 unlock_time=300 onerr=fail even_deny_root
# account required pam_tally2.so

# 4.3 Выйти из root
exit

# 4.4 Проверка блокировки для user1 (пример)

# три раза ввести неверный пароль
su - user1
# (ввести неверный пароль, Ctrl+C)
su - user1
# (ввести неверный пароль, Ctrl+C)
su - user1
# (ввести неверный пароль, Ctrl+C)

# четвертая попытка — учетная запись должна быть заблокирована
su - user1

# посмотреть счетчик pam_tally2
sudo pam_tally2
sudo pam_tally2 -u user1

# подождать 5 минут (300 секунд), затем снова:
su - user1