第 6章. 管理使用者帳號與資源存取

发表于:2007-05-25来源:作者:点击数: 标签:
第 6章. 管理使用者帳號與資源存取 在企業中,管理「 使用者帳號(user accounts,或稱使用者帳戶) 」與「 群組(groups) 」是系統管理者的基本工作。要有效率地進行這工作,一個好的系統管理者得先了解使用者帳號與群組,以及它們的運作方式。 建立使用者

第 6章. 管理使用者帳號與資源存取

在企業中,管理「使用者帳號(user aclearcase/" target="_blank" >ccounts,或稱使用者帳戶)」與「群組(groups)」是系統管理者的基本工作。要有效率地進行這工作,一個好的系統管理者得先了解使用者帳號與群組,以及它們的運作方式。

建立使用者帳號的首要理由,是為了驗證每一個電腦使用者的身份。第二個(但依然重要)的理由則是給予使用者存取權限,讓使用者存取適當的資源。

資 源包括了檔案、目錄、以及硬體裝置。如何存取這些資源及其管理工作,佔據了系統管理者的大部分時間。群組可以將使用者帳號歸類在同一個範疇之內。舉例來 說,如果公司裡面有幾個系統管理者,那我們可以將這些管理者帳號放到「系統管理者群組」中,然後給予這個群組所有系統管理應有的權限。如此一來,群組就成 為管理與存取資源非常重要的工具。

第 6章. 管理使用者帳號與資源存取

在企業中,管理「使用者帳號(user accounts,或稱使用者帳戶)」與「群組(groups)」是系統管理者的基本工作。要有效率地進行這工作,一個好的系統管理者得先了解使用者帳號與群組,以及它們的運作方式。

建立使用者帳號的首要理由,是為了驗證每一個電腦使用者的身份。第二個(但依然重要)的理由則是給予使用者存取權限,讓使用者存取適當的資源。

資 源包括了檔案、目錄、以及硬體裝置。如何存取這些資源及其管理工作,佔據了系統管理者的大部分時間。群組可以將使用者帳號歸類在同一個範疇之內。舉例來 說,如果公司裡面有幾個系統管理者,那我們可以將這些管理者帳號放到「系統管理者群組」中,然後給予這個群組所有系統管理應有的權限。如此一來,群組就成 為管理與存取資源非常重要的工具。

本節將更深入地探討使用者帳號與群組。

CCTSGRPS-ACCTS">6.1. 管理使用者帳號

正如剛剛所說,使用者帳號是用來辨識使用者身份,並授予權限的基石;它包含了幾項東西:首先是使用者名稱,然後是密碼,最後則是用來控制存取的資訊。

接下來我們將仔細討論這三項基本要素。

6.1.1. 使用者名稱

以電腦系統的角度來說,使用者名稱只是「你是誰?」這問題的答案。因此使用者名稱有個非常重要的條件 — 一定得獨一無二。換句話說,同一台系統上,每個使用者都該有個與眾不同的使用者名稱,才能跟其他人區別。

也因此,「事先」決定如何建立使用者名稱,就成為非常重要的事情。否則的話,當每次有新使用者要求建立新帳號時,您就得傷一次腦筋。

您需要的,是一份使用者帳號的命名規則(naming convention,或稱命名慣例)。

6.1.1.1. 命名規則

為使用者名稱建立一份命名規則之後,您就可以避免許多麻煩。您只要先花點時間製作這份規則,之後的使用者帳號都得依循這方式製作;而不用再絞盡腦汁想使用者名稱(您會發現好的使用者名稱會愈來愈難找)。命名規則可以很簡單;也可以寫上好幾頁。

要製作這命名規則,有幾點得先納入考量:

  • 企業組織的大小

  • 企業組織的架構

  • 企業組織的本質

您企業組織的規模大有關係,因為這牽扯到命名規則要支援多少使用者。舉例來說,小公司裡的員工只要用英文名(不含姓)即可;但對大公司來說,這方法可能就行不通。

在決定命名規則時,組織架構也同樣佔有重要的角色。對於組織嚴密的企業來說,把架構的一部分加入命名規則中,是個不錯的建議。舉例來說,您可以在每個使用者名稱中,加入部門代號。

企業的本質也會讓您的命名規則與其他公司的有所不同。注重機密性的公司所採用的命名方式,可能就跟個人基本資料毫無關係。如果公司內部有個員工叫做 Maggie McOmie,她的使用者名稱可能是 LUH3417。

底下是企業常使用的命名方式:

  • 名(john、paul、george 等等)

  • 姓(smith、jones、brown 等等)

  • 名的第一個字母,後面接著姓(jsmith、pjones、gbrown等等)

  • 姓,後面接著部門代碼(smith029、jones454、brown191 等等)

提示提示
 

如果您的命名規則會在使用者名稱之後加入其他的資料,請務必小心:有時候這使用者名稱聽起來會很可笑、或是不雅。因此,即使使用者名稱是自動建立的,您還是要有一些機制,做最後的檢查。

根據命名規則,隨著使用者日漸增多,您遲早會遇到使用者名稱重複的問題,這稱為「衝突(collision)」。因為每個使用者名稱都該獨一無二,所以一定要解決這問題。底下一節將告訴您如何解決。

6.1.1.1.1. 處理衝突問題

衝突是不可避免的 — 不管您怎麼嘗試,遲早都會遇到衝突的問題。您應該在命名規則中,加入解決衝突的計畫。底下是您可以採取的方式:

  • 在衝突的使用者名稱之後,加入序號(smith、smith1、smith2 等等)

  • 為起衝突的使用者名稱,加入使用者的特定資訊(smith、esmith、eksmith 等等)

  • 為衝突的使用者名稱加上組織方面的資訊(smith、smith029、smith454 等等)

在命名規則中加入解決衝突的方法,是絕對必要的。然而,對於公司之外的人,要確定誰是誰,就不是件容易的事情。因此,命名規則遇到的最大問題,就是偶爾會有人送錯電子郵件。

6.1.1.2. 處理使用者名稱的變更問題

如果您公司的命名規則使用的是使用者的名字,那麼您遲早會面臨更改帳號名稱的問題。即使使用者的本名不變,他們有時還是會要求您更改帳號名稱。這原因很多,從使用者不滿意帳號名稱,到高階主管利用他們的權勢,希望換一個「更適當」的名稱等等,不一而足。

不管原因為何,更改使用者名稱時,有幾點一定要牢記在心:

  • 要更動「所有」受影響的系統

  • 維護使用者身份資料的一致性

  • 所有檔案與使用者相關資源的所有權,都要一併修改(如果需要的話)

  • 處理電子郵件的相關問題

首先,一定要確定使用者之前使用過的系統,都修改了與帳號有關的相對應資訊。否則的話,任何藉由使用者帳號運作的系統功能,都有可能面臨無法工作的命運。有些作業系統使用存取控制技巧,特別著重使用者帳號;這類系統對修改使用者帳號所衍生出來的問題,特別束手無策。

許多作業系統藉由使用者認證號碼來處理與使用者相關的工作。要讓變更使用者帳號所衍生的問題降到最低,不妨讓新舊帳號的認證號碼一致;否則的話,使用者常會無法存取之前使用舊帳號時,可以存取的檔案與其他資源。

如果您一定得修改使用者認證號碼,那麼請一併修改所有跟使用者相關的檔案與資源之所有權,以反映新的使用者身份。這過程多半會出問題,因為系統中總有些東西,被遺忘在不被注意的角落裡。

電子郵件恐怕是變更使用者帳號時,最困難的問題之一。因為除非您採取行動解決,否則寄到舊使用者帳號的電子郵件,是不會送到新使用者帳號去的。

但 很不幸的,更改使用者帳號所導致的電子郵件問題是非常多面性的。最基本的,其他人要聯絡這個人的時候,就不知道該寄信到哪個帳號去。乍看之下,這似乎沒什 麼影響 — 發信通知公司裡的所有人就可以了。但是公司以外的人呢?要怎麼通知他們?內部與外部的郵寄清單該怎麼辦呢?要怎麼更新這些清單?

這些問題都不容易回答。最好的方式大概是建立一個電子郵件的別名(alias),讓所有寄到舊郵件帳號的信,都會自動轉到新的信箱去。然後使用者可以藉由這些來信,通知親朋好友們把信寄到新帳號去。久而久之,寄到舊帳號的信就會愈來愈少,然後您就可以移除這個別名了。

雖然使用別名總會讓人混淆(想想,現在叫做 esmith 的人,還在使用 ejones 這個帳號);但這是讓電子郵件送達正確使用者手上的唯一方法。

ANT">
重要重要
 

如果您使用電子郵件別名,一定要確定舊的使用者帳號不會被重複使用。如果您不注意這點,有個新使用者承接了舊帳號,那不管寄給舊使用者或新使用者的電子郵件,都會造成混亂。混亂的程度跟您設定郵件遞送的方式有關,但多半不出這兩種情形:

  • 新使用者收不到任何郵件 — 全部郵件都到舊使用者手上去了。

  • 舊使用者再也收不到任何電子郵件 — 郵件全部寄給新使用者了。

6.1.2. 密碼

如果使用者回答了「你是誰」這個問題,那密碼無疑就是第二個問題的解答:

「證明給我看!」

用更正式的字眼來說,使用者藉由帳號表明自己的身份,而密碼則是證明這一點的工具。密碼能不能有效證明一個人的身份,主要仰賴密碼的幾個特性:

  • 密碼的秘密性

  • 密碼不能被輕易猜出

  • 密碼不能輕易地被暴力破解法破解

符合以上條件的,稱為「強固(strong)」的密碼;反之,不符合以上任何一個條件的,稱為「不牢靠(weak)」的密碼。對企業安全來說,建立強固的密碼是非常重要的事情,因為這類密碼比較不容易被猜出或破解。要強制使用強固的密碼,有以下兩種方式:

  • 由系統管理者幫所有使用者指定密碼。

  • 系統管理者讓使用者自訂密碼;但在接受密碼前,檢查密碼是否強固。

為所有使用者建立密碼可以確保安全性;但隨著組織不斷成長,這工作會讓人視之畏途。同時太難的密碼也會迫使使用者用筆寫下來。

基於這些原因,大部分系統管理者寧願讓使用者自行建立密碼。不過,好的系統管理者會採取一些步驟,驗證這些密碼是否嚴謹。

欲知如何建立強固的密碼,請參閱《Red Hat Enterprise Linux 安全性設定手冊》中,工作站安全(Workstation Security)一章。

讓密碼保持秘密,應該是每個系統管理者根深蒂固的觀念。但是這對一般使用者來說,就不是件容易的事。事實上,許多使用者甚至連帳號跟密碼都分不清楚。這可悲的現實正告訴我們,一定要教育使用者,讓他們了解,密碼就跟信用卡號一樣重要。

密碼應該愈難被猜出愈好。真正強固的密碼是駭客猜不出來的,即使駭客非常了解您亦然。

暴力破解法(brute-force attack)會用盡所有可能的組合方式(通常使用「破解程式(password-cracker)」),直到猜出正確的密碼為止。強固的密碼要讓可能的組合方式愈多愈好,迫使駭客得花上非常長的時間,才能找出正確的密碼。

我們將在以下章節中,分別為您詳細討論強固的密碼與不牢靠的密碼。

6.1.2.1. 不牢靠的密碼

如以上所述,不牢靠的密碼無法通過以下任何一種測試:

  • 夠不夠秘密

  • 是否不容易被猜出

  • 是否不容易被暴力破解法猜出

底下章節將為您說明為何密碼會不牢靠

6.1.2.1.1. 密碼太短

密碼太短並不安全,因為很容易就被暴力破解法破解出來。要說明這點,您不妨看看底下的列表,密碼組合一欄裡,指得就是用暴力破解法所要測試的次數。(本情況假定密碼只使用了小寫字母。)

密碼長度可能的密碼組合
126
2676
317,576
4456,976
511,881,376
6308,915,776

表格 6-1. 密碼長度與可能的密碼組合

如您所見,密碼長度每增加一個字母,密碼組合的數量就會大幅增加。

注意注意
 

雖然本表只列到六個字母,但這並不表示六位數夠安全。一般來說,密碼愈長愈好。

6.1.2.1.2. 有限的字元集

密 碼中組成每個字元的變化程度,會對暴力破解法產生極大的作用。舉例來說,如果我們不但使用 26 個小寫字母來組成密碼,還再加上阿拉伯數字呢?這表示密碼中每個字元的組合,會從 26 種提升到 36 種。以六個字元長度的密碼而言,這表示可能的密碼組合會從 308,915,776 提升到 2,176,782,336種。

除此之外,我們還有更多選擇。如果我們使用大小寫字母與阿拉伯數字(如果作業系統支援的話),那麼六個字元長的密碼組合,就會竄升到 56,800,235,584 種。加上其他的字元(例如標點符號)可以大幅增加密碼組合,讓暴力破解法難以達成目的。

不過要記得,獲取密碼的方式不是只有暴力破解法而已。底下描述了其他導致密碼不牢靠的原因。

6.1.2.1.3. 字典上有的字

許多使用者只會採用記得住的密碼,這也是破解密碼的駭客下手的地方。對大部分人來說,最好記的密碼包含了一般常用的字。因此,駭客會試著用字典檔,比對使用者密碼中是不是含有常見的字,或由這些字所組成。

注注意
 

許多字典類的密碼攻擊使用了多種語言的字典檔。因此,用非英文的字當作密碼,並不能被視為是強固的密碼。

6.1.2.1.4. 個人資訊

包含個人資訊的密碼(如男女朋友、寵物的姓名或生日,身份證字號等等)可能會(也可能不會)被字典方式的攻破。但是,如果攻擊者是您熟知的人(或有足夠動機研究您個人資訊的人),他就有可能輕易地猜出您的密碼。

除了字典以外,許多駭客也會把常見的名字、日期、與其他類似資訊加入搜尋的範圍中。因此,即使駭客不知道您家小狗的名字是「Gracie」,他也可能用好的破解程式,猜出您的密碼是「mydogisgracie」。

6.1.2.1.5. 簡單的文字遊戲

如果您使用以上討論的方法建立密碼,然後把字母順序顛倒過來,不牢靠的密碼不會因此而變得強固。大部分密碼破解程式也會這套把戲,甚至將文字中的某些字母,用數字替代。以下是幾個例子:

  • drowssaPdaB1

  • R3allyP00r

6.1.2.1.6. 一組密碼走遍天下

即使您有一組強固的密碼,也不該用在多台電腦上。當然,如果您的系統使用的是中控式的身份認證,那就沒有這層顧慮;但在其他情形下,您應該為每一部系統個別設定密碼。

6.1.2.1.7. 寫在紙上的密碼

要讓強固的密碼變成不牢靠的密碼,最好的方法莫過於寫下來。把密碼記在紙上,那就不再是秘密不秘密的問題,而是實體安全的問題 — 現在您得把這張紙藏好。因此,把密碼寫下來絕對不是好主意。

然 而,有些公司規定一定要把密碼寫下來。例如一些公司的災害復原計畫中就明定,為了避免關鍵人員(例如系統管理者)發生意外,導致系統管理無以為繼,就必須 把密碼記載下來。在這種情況下,紀錄密碼的這張紙就必須存放在安全的地方,在多人合作下才能取出;例如有多重安全鎖的金庫,或是銀行保險箱。

把密碼記載下來以備不時之需的公司,都該明瞭不管把這密碼存放在多安全的地方,都會增加系統安全的風險。尤其是大家都知道密碼被記載下來(而且放在哪裡)的時候。

但很不幸的,把密碼寫下來多半不是復原計畫的一部分,也不會鎖在金庫裡;會把密碼寫下來的多半是一般使用者,而且放在以下地方:

  • 在抽屜裡(不管有沒有上鎖)

  • 在鍵盤下面

  • 在皮夾子裡

  • 貼在螢幕旁邊

以上都不是存放密碼的好地方。

6.1.2.2. 強固的密碼

我們已經看到不牢靠的密碼是什麼樣子;接下來我們將看看一組強固的密碼,該有什麼樣的特徵。

6.1.2.2.1. 較長的密碼

密碼愈長,就愈不容易讓暴力破解法得逞。因此,如果您的作業系統支援,請為您的使用者設定密碼的最小長度。

XPCHAR">6.1.2.2.2. 擴充字元集

鼓勵使用者使用混合大小寫與數字的密碼,並強烈建議加入至少一個非文數字的字元:

  • t1Te-Bf,te

  • Lb@lbhom

6.1.2.2.3. 容易記住

記得住的密碼,才算是強固的密碼。然而,好記跟好猜,一向密不可分。因此,不妨給您的使用者一些提示,幫他們建立建立好記、又不容易被猜出的密碼。

舉例來說,拿一句常見的格言或諺語,取每個字的第一個字母,組成密碼的一部分。這密碼好記(因為組成密碼的這句話很好記);但卻不是字典裡找得到的字。

注注意
 

記得,光用一句話裡面每個字的第一個字母,還不足以產生強固的密碼。請混用大小寫與數字,再加上至少一個特殊字元,以增加字元集的大小。

6.1.2.3. 密碼的期限

可能的話,為公司設立密碼期限的規則。許多作業系統都有密碼期限這功能,讓密碼只在一定的時限內有效。當密碼過期時,系統會請使用者輸入新密碼,直到下一次過期為止。

密碼的時效性是讓許多系統管理者困擾的主要問題。到底應該多長呢?

決定密碼時效性的兩個考量點,就像天平的兩端一樣,難以找到一個平衡點:

  • 使用者的便利性

  • 安全性

一方面,99 年後才失效的密碼,給了使用者最大的方便;但幾乎沒有任何安全性可言。

另一方面,每 99 分鐘過期一次的密碼對使用者來說一點都不方便;但卻提供了絕佳的安全性。

唯一的方法是在使用者的便利性,以及公司的安全性之間,找出一個平衡點。在企業界最常見的密碼期限,是從幾週到幾個月長。

6.1.3. 存取控制的資訊

除了使用者名稱與密碼外,使用者帳號還包含了存取控制的資訊;根據作業系統的不同,這資訊的格式也不一。然而,這類資訊多半包括了:

  • 及於整台系統、與特定使用者相關的識別資訊

  • 及於整台系統、與特定群組相關的識別資訊

  • 列出使用者所屬的額外群組 / 能力

  • 用於所有使用者建立的檔案與資源之預設存取資訊

在有些公司裡,使用者的存取控制資訊永遠不需要修改;舉例來說,單機或個人工作站就是。其他公司,尤其是常常在不同群組與使用者間分享網路資源的公司,就常常會修改使用者的存取控制資訊。

要花費多少精力,才能適切地維護使用者的存取控制資訊?這答案跟您公司從作業系統處,存取這些資訊的頻率有關。大量仰賴這些功能的主意不壞(事實上,也很難避免);但這也表示您需要投入更多精力,維護整個電腦環境。同時,為每個使用者設定帳號時,發生錯誤的機會也會大增。

因此,如果公司需要使用這種環境,您應該為建立與設定使用者帳號的步驟,製作詳盡而準確的文件。事實上,如果公司中有不同類型的使用者帳號,那您應該為每一種類型,建立個別的文件(如何建立財務員工部門員工的帳號、如何建立操作人員的帳號等等)。

6.1.4. 帳號與資源存取的例行管理工作

就像一句諺語說的,這世界上唯一不變的,就是什麼都會變。使用者帳號的問題也不例外。新人來,舊人出;要不就是換到另一個職位去。所以系統管理者要能對這些改變做出反應,並視為每天的例行工作之一。

6.1.4.1. 新進員工

當新人進入公司,公司會讓他們存取若干資源(端看他們的責任而定),例如辦公室隔間、電話、還有大門鑰匙。

公司也可能會配給他們一部以上的電腦。對此,身為系統管理者,您一定得迅速並適切的反應。但該怎麼做呢?

您要先知道有新人進入公司,才能開始進行下一步動作。每個公司通知您的方式不一,底下是幾個例子:

  • 建立作業流程,當新進員工抵達時,讓人事部門通知您。

  • 建立表格,讓新進員工的主管填寫,並據此為員工申請新帳號。

不同的公司使用不同的方式;不管方式為何,您一定要確定有個非常牢靠的流程,讓您知道帳號相關的事務,好完成相關工作。

6.1.4.2. 離職

員工會離職,那是天經地義的事情;唯一不同的是場景,幾家歡樂幾家愁。不管是哪種情況,您都該知道有人離職,好採取適當的措施。

適當的措施至少包括了:

  • 停用使用者存取所有系統與相關資源的權限(通常是改變 / 鎖定使用者的密碼)

  • 備份使用者的檔案,其中可能含有將來派得上用場的資料

  • 讓使用者的主管可以存取離職員工的資料

您的首要任務是不要讓離職員工接觸系統,尤其是當員工含怨離開的時候。但就算不是這種情形,您也應該馬上將離職員工的帳號凍結,以確保公司資料的安全。

這也表示公司該有個程序,讓您知道員工離職 — 最好在員工正式離職前就知道。這表示您應該與公司的人力資源部門協同,確保您能儘早得知離職資訊。

提示提示
 

凍結離職員工帳號的時點也很重要。如果您在員工離職之後才凍結帳號,那麼離職員工就有可能在這段空窗期中,違規繼續使用系統資源;反之,如果在離職手續前就凍結帳號,那就好像要迫使員工趕快離職,也會讓其他部門的程序更為棘手。

通常離職程序會由一個三方面談開始:離職員工、離職員工的主管、以及公司人力資源部的代表。因此,您在會談開始時就得到員工離職的訊息,可以決定最適當的凍結時間。

一旦帳號凍結之後,就該備份這離職員工的檔案了。離職員工的檔案可能可以在公司的例常備份檔中找到;您也可以專為離職員工的檔案製作備份。至於要怎麼處理備份文件,則要看文件保留的時限規定、與離職員工之間的訴訟問題該存證多久等等。

但不管是什麼樣的問題,現在都是備份的好時機,因為下一步(讓使用者的主管存取這些檔案)可能會誤刪不該刪除的檔案。這樣的話,備份就可以讓您輕易地從意外中復原,使得主管與您的工作都輕鬆些。

到了這一步,您就要決定離職員工的主管對這些檔案有什麼樣的存取權限。根據您公司的特性與員工的職位,可能主管不需要存取這些檔案,也可能要存取所有檔案。

如果該名員工平時只是收收郵件,那麼主管可能只要篩選一些檔案,決定哪些該留下,哪些該刪掉。這過程結束後,剩下的檔案就可以交給繼任的員工。這階段您可能需要提供一些協助;但有時主管們能自己處理這些東西。這完全取決於檔案內容,以及您組織的工作特性。

6.1.4.3. 職位變動

為新進員工建立使用者帳號,或是凍結離職員工的帳號,都是很直接的過程,手續簡單。但當公司裡的員工職位變動時,那作業流程就不是那麼明確了。有時候您得要更動員工帳號,有時候則不用。

要讓使用者的帳號順利的從這個職位轉到另一個職位去,至少會有三個人參與其中:

  • 使用者之前的主管

  • 使用者的新主管

有這三個人的參與,就能決定使用者在舊職位上工作到何時、以及準備新帳號的相關事宜,好讓使用者馬上開始新工作。就很多方面看來,這過程相當於關閉使用者的現有帳號,然後再建立一個新的。事實上,當使用者更換職位時,許多公司都採取這樣的方式。

然而,您也可能會使用既有的帳號,加以修改,賦予新的權限。這方法也意味著您必須詳細檢視這個帳號,讓它符合使用者新職位所需的資源與權限。

更複雜的情形則是在轉移過程中,使用者必須兼顧新舊兩個職位的工作。您可以從使用者前後兩位經理身上,得知這項資訊。

原文转自:http://www.ltesting.net