Do uzupełnienia.
14 — Projektowanie systemu kont dla wybranej firmy
Czas: 90 min
Cele i treść
- Uczeń wyjaśnia przeznaczenie usługi lub narzędzia w systemie Linux.
- Uczeń zna najważniejsze pliki i polecenia administracyjne.
- Uczeń wykonuje konfigurację w terminalu lub narzędziu graficznym.
- Uczeń testuje działanie usługi i dokumentuje wynik.
Lekcja obejmuje temat: Projektowanie systemu kont dla wybranej firmy.
Główne części: Analiza potrzeb firmy: działy (np. Księgowość, IT, Marketing), role, wymagany poziom dostępu., Tworzenie polityki bezpieczeństwa: zasada najmniejszych uprawnień., Projektowanie struktury grup jako podstawy do nadawania uprawnień., Dokumentacja utworzonej struktury., Projekt w grupach 2-3 osobowych.
Import przygotowany z rozkładu klasy 2. Po imporcie można dopisać własne screeny, załączniki, zadania i kryteria oceniania.
Punkty lekcji
Do uzupełnienia.
Do uzupełnienia.
Do uzupełnienia.
Identyfikacja działów i ról: Uczniowie muszą przeanalizować opis firmy, aby wyodrębnić logiczne działy (np. Księgowość, IT, Marketing, Sprzedaż, Kadry) oraz konkretne stanowiska lub role w tych działach (np. Analityk, Specjalista ds. marketingu, Programista, Administrator).
Określenie wymaganego poziomu dostępu: Dla każdej roli należy zdefiniować:
Do jakich danych/dysku sieciowego/zasobów potrzebuje dostępu? (np. folder //serwer/ksiegowosc, baza danych, katalog /var/www/html).
Jaki to powinien być typ dostępu? Tylko do odczytu (read-only - ro) czy również do zapisu/modyfikacji (read-write - rw)?
Czy użytkownik potrzebuje uprawnień administratorskich na swoim stanowisku pracy? (czy należy do grupy sudo).
Definicja: Jest to fundamentalna zasada bezpieczeństwa polegająca na przyznawaniu użytkownikom minimalnego poziomu dostępu niezbędnego do wykonania ich obowiązków służbowych.
Dostęp do odczytu (ro): Użytkownik może tylko przeglądać pliki, ale nie może ich modyfikować, usuwać ani dodawać nowych. Bezpieczniejszy typ dostępu.
Dostęp do zapisu (rw): Użytkownik ma pełne uprawnienia do modyfikacji, usuwania i tworzenia plików w obrębie danego zasobu. Należy go przyznawać ostrożnie.
Przykład zastosowania: W dziale księgowości:
Księgowa Anna (tworzy faktury, raporty) potrzebuje dostępu rw do folderu //serwer/ksiegowosc/rozliczenia.
Audytor Jan (tylko sprawdza poprawność) potrzebuje dostępu ro do całego folderu //serwer/ksiegowosc.
Strategia "Group-Based Access Control": Uprawnienia nadaje się grupom, a nie pojedynczym użytkownikom. Użytkownicy otrzymują uprawnienia poprzez członkostwo w odpowiednich grupach.
Konwencja nazewnictwa grup: Zaleca się używanie przejrzystych i spójnych nazw, np.:
departament_zasob_dostep – finance_invoices_rw
zasob_dostep – webserver_ro
rola – backup_admin
Tworzenie logicznych grup: Należy stworzyć grupy odpowiadające zidentyfikowanym poziomom dostępu, np.:
finance_ro – dostęp tylko do odczytu do zasobów finansowych.
finance_rw – dostęp do zapisu i odczytu do zasobów finansowych.
it_admin – uprawnienia administratorskie do infrastruktury IT.
marketing_assets – dostęp do zasobów marketingowych.
Cel: Stworzenie przejrzystego opisu, który jest kluczowy dla utrzymania systemu, onboardingu nowych pracowników i audytu bezpieczeństwa.
Elementy dokumentacji:
Lista grup: Nazwa grupy, opis przeznaczenia, powiązane z nią uprawnienia do systemu plików.
Lista użytkowników: Login, imię i nazwisko, dział, grupa podstawowa, grupy dodatkowe.
Macierz dostępu: Tabela pokazująca, które role (grupy) mają dostęp do których zasobów i z jakimi uprawnieniami.
Do uzupełnienia.
Do uzupełnienia.
Do uzupełnienia.
Do uzupełnienia.
Do uzupełnienia.
Scenariusz firmy dla uczniów (przykład):
"Firma 'TechSolutions Sp. z o.o.' zatrudnia 8 osób w trzech działach:
IT (2 osoby): Jan Kowalski (Administrator Sieci), Anna Nowak (Programistka).
Księgowość (2 osoby): Maria Wiśniewska (Główna Księgowa), Piotr Jabłoński (Księgowy).
Marketing (2 osoby): Adam Kot (Kierownik Marketingu), Ewa Lis (Specjalistka ds. Social Media).
Kadry (2 osoby): Olga Szymańska (HR), Robert Wójcik (Rekrutacja).
Zasoby firmowe:
Wszyscy pracownicy potrzebują dostępu do odczytu do folderu z dokumentacją firmową (/firma/dokumenty).
Dział IT potrzebuje pełnego dostępu do wszystkich zasobów.
Księgowość potrzebuje dostępu do zapisu do folderu z fakturami (/firma/ksiegowosc/faktury) i tylko odczytu do folderu z raportami (/firma/ksiegowosc/raporty).
Marketing potrzebuje dostępu do zapisu do folderu z materiałami reklamowymi (/firma/marketing/aktualne) i tylko odczytu do folderu z archiwalnymi kampaniami (/firma/marketing/archiwum).
Kadry potrzebują dostępu do zapisu do folderu z umowami (/firma/kadry/umowy).
Tylko Administrator Sieci (Jan Kowalski) powinien mieć uprawnienia administratorskie na serwerze."
Cel: Przełożenie opisu firmy na logiczną strukturę grup.
Kroki (w grupie):
Zidentyfikuj wszystkie wymagane poziomy dostępu z scenariusza.
Zaproponuj nazwy grup dla każdego poziomu dostępu, stosując przyjętą konwencję (np. dokumenty_ro, faktury_rw, raporty_ro).
Stwórz listę wszystkich niezbędnych grup. Przykład:
dokumenty_ro (dostęp do odczytu do dokumentacji)
faktury_rw (dostęp do zapisu do faktur)
raporty_ro (dostęp do odczytu do raportów)
marketing_aktualne_rw (dostęp do zapisu do aktualnych kampanii)
marketing_archiwum_ro (dostęp do odczytu do archiwalnych kampanii)
umowy_rw (dostęp do zapisu do umów)
it_fullaccess (grupa dla działu IT z dostępem do wszystkiego)
sudo (grupa administratorska - już istnieje w systemie)Cel: Stworzenie mapy użytkowników i ich uprawnień poprzez przynależność do grup.
Kroki (w grupie):
Dla każdego pracownika z scenariusza stwórz login (np. jkowalski, mwisniewska).
Określ grupę podstawową dla każdego użytkownika (zazwyczaj grupa o nazwie takiej jak login).
Przypisz każdego użytkownika do wszystkich grup, które definiują jego uprawnienia. Stwórz tabelę:
Cel: Praktyczne wdrożenie zaprojektowanej struktury wyłącznie za pomocą terminala.
Kroki (każda grupa wykonuje na swojej maszynie):
Utwórz wszystkie zaplanowane grupy za pomocą polecenia sudo groupadd [nazwa_grupy].
sudo groupadd faktury_rwsudo groupadd raporty_ro#... i tak dla wszystkich zaplanowanych grup
Utwórz użytkowników za pomocą sudo useradd -m -c "Imię Nazwisko" [login].
sudo useradd -m -c "Jan Kowalski" jkowalskisudo useradd -m -c "Anna Nowak" anowak#... i tak dla wszystkich użytkowników
Ustaw hasła dla użytkowników sudo passwd [login] (można ustawić proste hasło, np. takie samo jak login, na potrzeby ćwiczenia).
Dodaj użytkowników do grup za pomocą sudo usermod -aG [grupa1,grupa2] [login]. Pamiętaj o opcji -a!
sudo usermod -aG it_fullaccess,sudo jkowalskisudo usermod -aG it_fullaccess anowaksudo usermod -aG faktury_rw,raporty_ro,dokumenty_ro mwisniewska#... i tak dla wszystkich użytkowników według tabeli
Zweryfikuj poprawność wykonanych operacji:
# Sprawdź członkostwo użytkownika
id jkowalski
groups mwisniewska
# Sprawdź, czy użytkownicy mają katalogi domowe
ls -l /homePowiązane arkusze i pytania
Arkusze
Brak powiązanych arkuszy.
Pytania
Brak powiązanych pytań.