مدخلإدارةالمستخدم. خادم Ubuntu - الحقوق الإدارية لمستخدمي Ubuntu مستخدم جديد بامتيازات الجذر
في هذا البرنامج التعليمي ، سننظر في كيفية حذف مستخدم Linux مع بياناته ودليل الصفحة الرئيسية.
إذا كنت مسؤولاً عن نظام في شركة كبيرة ، فعلى الأرجح أن حذف مستخدمي لينكس يعد مهمة متكررة جدًا بالنسبة لك. بعد أن يصبح الحساب غير ضروري أو مغادرة المستخدم للمؤسسة ، يجب حذف حسابه حتى لا يترك ثغرات أمنية.
عند حذف مستخدمي Linux ، من المهم أيضًا حذف الدليل الرئيسي الخاص بهم لتحرير مساحة التخزين للمستخدمين الجدد وملفاتهم. أولاً ، سننظر في كيفية حذف مستخدم Linux باستخدام Terminal ، ثم سنتحدث عن كيفية القيام بذلك في الواجهة الرسومية لأحد التوزيعات الأكثر شيوعًا - Ubuntu.
قبل الانتقال إلى البيئة الفعلية ، هناك حاجة إلى القليل من الممارسة ، فلنقم بإنشاء مستخدمين ضائعين وخاسرين 1 ، جنبًا إلى جنب مع أدلة الصفحة الرئيسية ، وبعد ذلك سنحذفهما:
adduser خاسر
$ passwd losst
adduser losst1
$ passwd losst1
هنا يتم استخدام الأمر adduser لإنشاء حساب مستخدم ويتم استخدام passwd لإنشاء كلمة مرور.
دعنا نلقي نظرة على كيفية حذف مستخدم Linux في الجهاز. للقيام بذلك ، استخدم الأمر - deluser في دبيان والأنظمة المشتقة ، وفي RedHat - userdel. دعنا نلقي نظرة فاحصة على هاتين الأداتين.
وصف الضلال
صيغة الأمر deluser بسيطة جدًا:
$ deluser معلمات المستخدم
توجد إعدادات الأمر deluser في ملف /etc/deluser.conf ، من بين إعدادات أخرى ، فهو يحدد ما يجب فعله مع ملفات المستخدم والدار.
يمكنك عرض هذه الإعدادات وتغييرها عن طريق تشغيل الأمر:
vi /etc/deluser.conf
دعنا نلقي نظرة فاحصة على هذه الإعدادات:
- REMOVE_HOME- حذف دليل المستخدم الرئيسي
- REMOVE_ALL_FILES- احذف جميع ملفات المستخدم
- دعم- نسخ ملفات المستخدم احتياطيًا
- النسخ الاحتياطي ل- مجلد للنسخ الاحتياطي
- ONLY_IF_EMPTY- احذف مجموعة المستخدمين إذا كانت فارغة.
تحدد هذه الإعدادات السلوك الافتراضي للأداة المساعدة عند حذف مستخدم ، بالطبع ، يمكن تجاوزها باستخدام معلمات للأمر.
هذه المعلمات مدعومة ، فهي تشبه الإعدادات ، ولكن هناك المزيد من الخيارات:
- --النظام- احذف فقط إذا كان مستخدم النظام
- --دعم- عمل نسخة احتياطية من ملفات المستخدم
- --النسخ الاحتياطي ل- مجلد للنسخ الاحتياطية
- - إزالة المنزل- حذف المجلد الرئيسي
- - حذف جميع الملفات- حذف جميع ملفات المستخدم في نظام الملفات
وصف userdel
تعمل الأداة المساعدة userdel بشكل مختلف قليلاً ، ولا يوجد ملف تكوين هنا ، ولكن هناك خيارات يمكنك استخدامها لإخبار الأداة المساعدة بما يجب القيام به. بناء الجملة مشابه:
مستخدم معلمات $ userdel
- -f ، - القوة- الحذف الإجباري ، حتى إذا كان المستخدم لا يزال مسجلاً الدخول
- -r ، - إزالة- حذف الدليل الرئيسي للمستخدم والملفات الموجودة في النظام.
- -Z- حذف كل كائنات SELinux لهذا المستخدم.
لإزالة مستخدم من الخادم ، من الأفضل استخدام الطريقة المتقدمة ، والتي سنناقشها أدناه. عندما يستخدم المستخدمون الخادم ، يقومون بتشغيل العديد من البرامج والخدمات. يمكن حذف المستخدم بشكل صحيح فقط إذا لم يتم تسجيل دخوله إلى الخادم وتم إيقاف جميع البرامج التي يتم تشغيلها نيابة عنه ، لأن البرامج يمكن أن تستخدم ملفات مختلفة تخص المستخدم ، وهذا سيمنع حذفها. وفقًا لذلك ، لن يتم حذف ملفات المستخدم تمامًا وستظل تسد النظام.
تأمين حساب المستخدم
يمكنك استخدام الأداة المساعدة passwd لتأمين حساب مستخدم. سيؤدي هذا إلى رفض وصول المستخدم إلى النظام ومنع بدء العمليات الجديدة:
قم بتشغيل الأمر passwd باستخدام المعلمة --lock:
كلمة المرور - قفل الخاسرة
passwd: تم تغيير معلومات انتهاء صلاحية كلمة المرور.
اقتل جميع عمليات المستخدم الجارية
لنجد الآن جميع العمليات التي تعمل نيابة عن المستخدم وإنهائها.
لنجد العمليات باستخدام pgrep:
يمكنك أن ترى بمزيد من التفصيل ماهية هذه العمليات بتمرير pid ، كل منها إلى الأمر ps ، على النحو التالي:
ps -f --pid $ (pgrep -u losst)
UID PID PPID C STIME STAT STAT TIME CMD
خسرت 14684 14676 0 22:15 نقطة / 2 ثانية 0:00 -باش
losst 14735 14684 0 22:15 نقطة / 2 S + 0:00 نص vi
الآن بعد أن تأكدت من عدم وجود شيء مهم هناك ، يمكنك قتل جميع العمليات باستخدام الأمر killall:
كيلال -9 -أخسر
يخبر الخيار -9 البرنامج بإرسال إشارة إنهاء SIGKILL إلى هذه العمليات ، ويحدد -u اسم المستخدم.
في الأنظمة القائمة على Red Hat ، يجب تثبيت حزمة psmisc لاستخدام killall:
sudo yum تثبيت psmisc
النسخ الاحتياطي لبيانات المستخدم
هذا ليس ضروريًا على الإطلاق ، ولكن بالنسبة لمشروع جاد ، لن يكون من الضروري إنشاء نسخة احتياطية من ملفات المستخدم ، خاصة إذا كان من الممكن أن تكون هناك ملفات مهمة هناك. للقيام بذلك ، يمكنك استخدام الأداة المساعدة tar على سبيل المثال:
tar jcvf /user-backups/losst-backup.tar.bz2 / home / losst
إزالة حساب المستخدم
الآن بعد أن أصبح كل شيء جاهزًا ، نبدأ في حذف مستخدم Linux. فقط في حالة حدوث ذلك ، سنشير صراحة إلى أنك بحاجة إلى حذف ملفات المستخدم والدليل الرئيسي. لديبيان:
الضلال - إزالة منزل الخاسر
userdel - إزالة الملفات الضائعة
إذا كنت بحاجة إلى حذف جميع الملفات التي يمتلكها المستخدم على النظام ، فاستخدم الخيار --remove-all-files ، فقط كن حذرًا حيال ذلك ، حيث يمكن الكتابة فوق الملفات المهمة:
deluser - إزالة جميع الملفات المفقودة
تمت الآن إزالة المستخدم تمامًا ، إلى جانب ملفاته ودليله الرئيسي ، من نظامك.
إزالة مستخدم في أوبونتو
افتح معلمات النظام:
افتح العنصر حسابات:
كما ترى ، الآن جميع الإجراءات غير متاحة وتم رسمها باللون الرمادي. لتنشيطهم اضغط على الزر رفع الحظروأدخل كلمة مرور المستخدم.
الآن ، لحذف مستخدم في نظام التشغيل Linux ، ما عليك سوى النقر عليه بالماوس ، ثم النقر فوق علامة الطرح.
في النافذة التي تفتح ، يمكنك اختيار ما تريد فعله بملفات المستخدم:
بطبيعة الحال ، سيتم حذف المجلد الرئيسي فقط ، ولا نتحدث عن جميع الملفات. وللحذف الصحيح ، يجب ألا يكون المستخدم يعمل في النظام.
الاستنتاجات
إن حذف مستخدم على نظام Linux ليس بهذه الصعوبة ، بغض النظر عن المكان الذي يجب القيام به ، على الخادم أو على جهاز الكمبيوتر المنزلي الخاص بك. بالطبع ، الواجهة الرسومية أكثر ملاءمة ، لكن المحطة ، كما هو الحال دائمًا ، توفر المزيد من الخيارات. إذا كان لديك أي أفكار أخرى حول هذا الموضوع ، فاكتب في التعليقات!
الآن دعنا نتحدث قليلاً عن التمييز بين حقوق الوصول إلى العناصر المختلفة. الآلية الموضحة في هذه المقالة أساسية في Linux ، وبالتالي في Ubuntu ، اقرأ بعناية.
المستخدمون والمجموعات
Linux بشكل عام و Ubuntu على وجه الخصوص هما أنظمة متعددة المستخدمين ، أي يمكن أن يكون لجهاز كمبيوتر واحد عدة مستخدمين مختلفين ، ولكل منهم إعداداته الخاصة وبياناته وحقوق الوصول إلى وظائف النظام المختلفة.
بالإضافة إلى المستخدمين في Linux ، هناك مجموعات للتمييز بين الحقوق. كل مجموعة ، مثل مستخدم فردي ، لديها مجموعة معينة من حقوق الوصول إلى مكونات مختلفة من النظام ، وكل مستخدم - عضو في هذه المجموعة يتلقى تلقائيًا جميع حقوق المجموعة. أي أن المجموعات مطلوبة لتجميع المستخدمين وفقًا لمبدأ نفس السلطة لأي فعل ، وهذا هو مثل هذا الحشو. يمكن لكل مستخدم أن يكون عضوًا في عدد غير محدود من المجموعات ويمكن لكل مجموعة أن تضم عددًا من المستخدمين كما تريد.
على سبيل المثال ، لدى Ubuntu مجموعة واحدة مفيدة جدًا: admin. أي عضو في هذه المجموعة لديه امتيازات إدارية غير محدودة. لقد تحدثت بالفعل عن دور المسؤول في Ubuntu ، لذلك إذا كنت قد نسيت بالفعل من هو ، فيمكنك تحسين معرفتك. سيصبح المستخدم الذي تم إنشاؤه أثناء تثبيت Ubuntu تلقائيًا عضوًا في مجموعة الإدارة.
يمكنك إدارة المستخدمين والمجموعات باستخدام أداة خاصة موجودة في القائمة النظام → الإدارة → المستخدمون والمجموعات.
بشكل عام ، فإن المجال الرئيسي لتطبيق آلية المستخدمين والمجموعات ليس بالضبط تحديد الوصول إلى وظائف النظام المختلفة ، ولكن تحديد الوصول إلى الملفات الموجودة على القرص الصلب. هذا ما سأحاول التحدث عنه أكثر.
أذونات Linux
أي ملف ودليل في Linux له مستخدم مالك ومجموعة مالك. أي أن أي ملف ودليل ينتمي إلى بعض مستخدمي النظام وبعض المجموعات. بالإضافة إلى ذلك ، يحتوي أي ملف ودليل على ثلاث مجموعات حقوق وصول: واحدة لمستخدم المالك ، وواحدة لأعضاء مجموعة المالك ، وواحدة لجميع المستخدمين الآخرين على النظام. تتكون كل مجموعة من حقوق قراءة وكتابة وتنفيذ الملف للتنفيذ. بالنسبة إلى الدلائل ، قم بالتنفيذ والقراءة دائمًا معًا وتعني نفس الشيء.
أي أنه من خلال تغيير مالكي هذا الملف أو ذاك ومجموعات مختلفة من حقوق الوصول إليه ، يمكنك التحكم في الوصول إلى هذا الملف بمرونة. على سبيل المثال ، من خلال جعل نفسك مالكًا لأحد الملفات ورفض وصول الجميع إليه تمامًا باستثناء المستخدم المالك ، يمكنك إخفاء المحتوى ومنع جميع المستخدمين الآخرين من تغيير هذا الملف. نفس الشيء يحدث مع الفهارس. يمكنك ، على سبيل المثال ، منع كتابة الملفات إلى دليل ، أو حتى إخفاء محتوياتها عن أعين المتطفلين.
في الوقت الحالي ، نحن مهتمون بأحد النتائج المهمة للغاية لمثل هذا التنظيم لحقوق الوصول إلى النظام. لا يمتلك مستخدم Ubuntu سوى دليل المنزل وجميع محتوياته. على النظام ، يوجد هذا الدليل في / home / username. جميع ملفات النظام الأخرى ، بما في ذلك جميع التطبيقات وإعدادات النظام وما إلى ذلك ، خارج / المنزل مملوكة في المقام الأول من قبل الجذر. تذكر ، قلت أن الجذر هو مستخدم يتمتع بامتيازات غير محدودة ولا يمكن استخدامه مباشرة في Ubuntu. لذلك ، فإن جميع ملفات النظام والدلائل مملوكة لجذر لسبب ما ، فكلها لها حقوق تغيير فقط للمستخدم المالك ، لذلك لا يمكن لأي شخص باستثناء الجذر التدخل في النظام وتغيير شيء ما في ملفات النظام.
يعد هذا أمرًا رائعًا للأمان ، ولكن ماذا لو كنت بحاجة إلى تغيير أي ملفات نظام؟ هناك طريقتان هنا: أولاً ، يمكن تغيير معظم إعدادات النظام الضرورية للمستخدم بحقوق المسؤول من أدوات التهيئة الرسومية ، وهذه هي الطريقة الأكثر تفضيلاً. حسنًا ، ثانيًا ، يمكنك مؤقتًا زيادة حقوقك في الوصول إلى الجذر والقيام بكل ما تريد.
يتم ذلك باستخدام الأداة sudo ومشتقاتها. sudo هو أداة سطر أوامر. يتيح لك "التظاهر" بأنك جذر عند تنفيذ أمر معين ، وبالتالي الحصول على حقوق غير محدودة. على سبيل المثال ، الأمر
تحديث كفاءة سودو
سيتم تحديث البيانات حول التطبيقات المتاحة لك (سأشرح سبب ضرورة ذلك في المقالة الخاصة بإدارة البرنامج). الفريق نفسه
تحديث الكفاءة
يعمل فقط إذا تم تشغيله بواسطة الجذر. ومع ذلك ، من خلال تشغيله باستخدام sudo ، فإنك تنتحل شخصية نفسك كجذر ، بينما لا تكون جذرًا. بطبيعة الحال ، يجب أن يكون لديك حقوق المسؤول لاستخدام sudo. في نفس الوقت ، عندما تقوم بتشغيل الأمر من خلال sudo ، سيطلب منك النظام كلمة المرور الخاصة بك ، ولكن لأسباب أمنية ، عند إدخالها ، لن يظهر لك أي شيء ، لا نجوم ، لا شرطات ، لا طيور ، لا شيء. لا تنزعج ، هذا ما ينبغي أن يكون ، فقط أدخل حتى النهاية واضغط على Enter. إذا كنت مسؤولاً وأدخلت كلمة المرور بشكل صحيح ، فسيتم تنفيذ الأمر المحدد بعد sudo كجذر.
يمكنك أن تفعل كل ما تريد من خلال الجهاز ، حتى تتمكن من أن تصبح جذرًا ، يمكنك تنفيذ جميع الإعدادات التي تحتاجها. ومع ذلك ، في بعض الأحيان يكون من الملائم استخدام التطبيقات الرسومية ، مع امتلاك حقوق الجذر. على سبيل المثال ، إذا كنت بحاجة إلى نسخ الملفات إلى أدلة النظام. لتشغيل التطبيقات الرسومية كجذر ، افتح GNOME Launch Dialog باستخدام Alt + F2 واكتب
Gksudo app_name
على سبيل المثال ، لتشغيل مدير الملفات Nautlus ، أدخل
غكسودو نوتيلوس
من خلال برنامج Nautilus الذي تم إطلاقه بهذه الطريقة ، يمكنك تغيير أي ملفات على جهاز الكمبيوتر الخاص بك بأي طريقة تريدها.
كن حذرًا للغاية عند استخدام Nautilus كجذر! يمكنك حذف أي ملف نظام نهائيًا دون أي تحذير ، مما قد يؤدي بسهولة إلى عدم تشغيل النظام بأكمله.
تحرير ملفات التكوين
إن أهم مثال على تطبيق تقنية "التظاهر" الموصوفة أعلاه بواسطة الجذر هو تحرير ملفات تكوين النظام. لقد قلت بالفعل أن جميع إعدادات النظام وجميع التطبيقات في Linux يتم تخزينها كملفات نصية. لذلك ، يمكنك فقط تحرير الملفات التي تخصك ، أي فقط الإعدادات المتعلقة بالمستخدم الخاص بك. ولتعديل معلمات النظام ، فأنت بحاجة إلى حقوق المسؤول.
يمكنك فتح العديد من الملفات ، ولكن لا يمكنك تغيير أي شيء فيها ، فلن تتمكن ببساطة من حفظ العملية:
بالطبع ، يمكنك فتح ملفات التكوين كجذر من خلال مربع حوار بدء التطبيق باستخدام الأمر
Gksudo gedit / path / to / file
Gedit هو محرر نصوص Ubuntu القياسي.
ومع ذلك ، لا يعمل الإكمال التلقائي في مربع حوار بدء التشغيل ، لذلك سيتعين عليك كتابة المسار إلى الملف يدويًا ، وهذا ليس مناسبًا دائمًا. لذلك ، يمكنك استخدام المحطة لتشغيل محرر نصوص كمستخدم متميز ، على سبيل المثال:
يرجى ملاحظة أن sudo هي أداة مساعدة بحتة لوحدة التحكم ، لذا لا يمكنك استخدامها في مربع حوار تشغيل التطبيق ، على الرغم من أنه يمكنك تشغيل التطبيقات الرسومية من الجهاز الطرفي من خلاله. من ناحية أخرى ، يعد gksudo أداة مساعدة رسومية ، لذا لا ينبغي استخدامه في الجهاز ، على الرغم من أنه غير محظور.
نتيجة لذلك ، سيتم فتح محرر لديه القدرة على حفظ التغييرات.
لنفترض أنني مستخدم LTS جديد لـ Ubuntu Linux 16.04.xx. قد يكون لدي على الفور عدد من الأسئلة. كيف أقوم بإنشاء مستخدم sudo جديد على خادمي؟ كيفية إضافة مستخدم جديد إلى ملف sudoer باستخدام خيار سطر الأوامر على أوبونتو؟
لينكس (ويونكس بشكل عام) له مستخدم متميز اسمه root. يمكن للمستخدم الجذر فعل أي شيء وكل شيء ، وبالتالي يمكن أن يصبح الاستخدام العادي للنظام خطيرًا للغاية. يمكنك إدخال الأمر بشكل غير صحيح وتدمير النظام. يسمح الأمر sudo للمستخدم المرخص له بتشغيل الأمر كمستخدم متميز (مستخدم جذر) أو مستخدم آخر كما هو محدد في سياسة الأمان. غالبًا ما يتم استخدام sudo على الخوادم لتوفير حقوق المسؤول وامتيازاته للمستخدمين العاديين. في هذا البرنامج التعليمي السريع ، ستتعلم كيفية إنشاء مستخدم sudo على Ubuntu.
خطوات قليلة يجب اتخاذها لإنشاء مستخدم sudo على Ubuntu
المزيد حول مجموعة الإدارة ومجموعة sudo على خادم Ubuntu
يمكن لأعضاء المجموعة الإدارية تلقي امتيازات الجذر. يقوم جميع أعضاء مجموعة sudo بتشغيل أي أمر على خادم Ubuntu. لذا فقط أضف المستخدم إلى مجموعة sudo على خادم Ubuntu. تم تقليل مجموعة الإدارة بشكل كبير منذ إصدار Ubuntu 12.04 وما بعده. وبالتالي ، لم تعد مجموعة الإدارة موجودة أو يتم استخدامها فقط في Ubuntu 12.04 أو أعلى. سبب نجاحها:
# grep -B1 -i "^٪ sudo" / etc / sudoers
$ sudo grep -B1 -i "^٪ sudo" / etc / sudoers
# اسمح لأعضاء المجموعة sudo بتنفيذ أي أمر٪ sudo ALL = (ALL: ALL) ALL
دعنا نلقي نظرة على بعض الأمثلة العملية.
كيف أقوم بإضافة مستخدم جديد باسم vivek إلى sudo باستخدام سطر الأوامر؟
افتح Terminal أو قم بتسجيل الدخول إلى الخادم البعيد الخاص بك:
$ ssh [البريد الإلكتروني محمي]$ ssh [البريد الإلكتروني محمي] { [البريد الإلكتروني محمي]: / جذر) #
# adduser viveksudo adduser vivek
الشكل 01: كيفية إضافة مستخدم جديد على أوبونتو
أمثلة على مخرجات البيانات الممكنة:
كيفية إنشاء مستخدم sudo في أوبونتو لحساب vivek
أدخل الأمر التالي:
# adduser vivek sudo
أو استخدم الأمر usermod لإضافة مستخدم إلى مجموعة على Linux:
# usermod -aG sudo vivek
sudo usermod -aG sudo vivek
sudo adduser vivek sudo
أمثلة على مخرجات البيانات الممكنة:
الشكل 02: أضف مستخدم vivek إلى sudo للحصول على حقوق المسؤول
قم بتأكيد المستخدم الجديد وعضو المجموعة باستخدام:
معرف $ vivek
أمثلة على مخرجات البيانات الممكنة:
الشكل 03: عرض معلومات المستخدم والمجموعة
يمكن لمستخدم vivek الآن تسجيل الدخول باستخدام الأمر ssh مثل هذا:
$ ssh [البريد الإلكتروني محمي]
تأكد من أن vivek يمكنه استخدام الأمر sudo:
قطة $ sudo / etc / sudoers
في المرة الأولى التي تستخدم فيها الأمر sudo ، ستتم مطالبتك بكلمة مرور حساب vivek الخاص بك. لذا أدخل كلمة مرور vivek للوصول إلى الجذر. يجب تشغيل أي نوع من الأوامر مع sudo بامتيازات الجذر لحساب vivek. للحصول على غلاف جذر ، أدخل:
sudo –s
أمثلة على مخرجات البيانات الممكنة:
الشكل 03: اختبار وصول sudo لحساب مستخدم vivek
وهكذا فعلت ذلك. يمكنك الآن السماح للمستخدمين الآخرين بتشغيل sudo على خادم Ubuntu ومنح المستخدمين حقوق المسؤول.
ستتعلم في هذه المادة كيفية إنشاء مستخدم ، وكيفية إنشاء كلمة مرور متغيرة ، والحصول على معلومات حول مستخدم أو حذفه تمامًا ، وإنشاء / تغيير / حذف مجموعة ، وبعد قراءة هذه المادة يمكنك القيام بكل هذا بسهولة.
نحن نعمل مع المستخدمين والمجموعات ، ونتعلم كيفية الإدارة وإنشاء المستخدمين والمجموعات والتنقل من خلال المجموعات والتلاعبات الأخرى مع المجموعات في Ubuntu Linux.
إضافة مستخدم
تتم إضافة مستخدم باستخدام الأمر useradd. مثال على الاستخدام:
سودو useradd vasyapupkin
سيؤدي هذا الأمر إلى إنشاء مستخدم جديد vasyapupkin على النظام. لتغيير إعدادات المستخدم الذي تم إنشاؤه ، يمكنك استخدام المفاتيح التالية:
| مفتاح | وصف |
|---|---|
| -ب | الدليل الأساسي. هذا هو الدليل حيث سيتم إنشاء المجلد الرئيسي للمستخدم. افتراضي / المنزل |
| -مع | تعليق. في ذلك يمكنك كتابة أي نص. |
| -د | اسم الدليل الرئيسي. بشكل افتراضي ، يكون الاسم هو نفسه اسم المستخدم الذي يتم إنشاؤه. |
| -e | التاريخ الذي سيتم بعده قطع اتصال المستخدم. محدد بالصيغة YYYY-MM-DD. معطل بشكل افتراضي. |
| -F | حظر الحساب. إذا كانت القيمة 0 ، فسيتم حظر الكتابة فور انتهاء صلاحية كلمة المرور ، إذا كانت -1 - لا يتم حظرها. الافتراضي هو -1. |
| -g | المجموعة الأساسية للمستخدم. يمكنك تحديد كل من GID واسم المجموعة. إذا لم يتم تحديد المعلمة ، سيتم إنشاء مجموعة جديدة يتطابق اسمها مع اسم المستخدم. |
| -G | قائمة المجموعات التي سيتم تحديد موقع المستخدم الذي تم إنشاؤه فيها |
| -ك | كتالوج القوالب. سيتم وضع الملفات والمجلدات من هذا الدليل في المجلد الرئيسي للمستخدم. بشكل افتراضي ، / etc / skel. |
| م | مفتاح يشير إلى أنه يجب إنشاء مجلد رئيسي. المجلد الرئيسي الافتراضي لم يخلق. |
| -p | كلمة مرور المستخدم. بشكل افتراضي ، لم يتم تعيين كلمة مرور. |
| -س | القشرة التي يستخدمها المستخدم. افتراضيا / بن / ش. |
| -u | قم بتعيين UID يدويًا للمستخدم. |
خيارات إنشاء المستخدم الافتراضية
إذا لم يتم تحديد أشواك إضافية عند إنشاء مستخدم ، فسيتم أخذ الإعدادات الافتراضية. يمكنك رؤية هذه الإعدادات عن طريق التشغيل
Useradd -D
ستكون النتيجة شيئًا كالتالي:
المجموعة = 100 المنزل = / المنزل غير نشط = -1EXPIRE = SHELL = / bin / shSKEL = / etc / skel CREATE_MAIL_SPOOL = لا
إذا لم تكن راضيًا عن هذه الإعدادات ، فيمكنك تغييرها عن طريق التشغيل
Useradd -D-m-s / bin / bash
حيث -m و- خيارات مأخوذة من الجدول أعلاه.
تغيير المستخدم
يتم تغيير معلمات المستخدم باستخدام الأداة المساعدة usermod. مثال على الاستخدام:
Sudo usermod -c "هذا الأمر سيغير التعليق على المستخدم" vasyapupkin
يستخدم usermod نفس الخيارات مثل useradd.
تغيير كلمة السر
يمكنك تغيير كلمة المرور لمستخدم باستخدام الأداة المساعدة passwd.
سودو باسود فاسيابكين
مفاتيح المرور الأساسية:
الحصول على معلومات حول المستخدمين
w - يعرض معلومات (اسم المستخدم ، قذيفة ، وقت تسجيل الدخول ، وما إلى ذلك) حول جميع المستخدمين الذين قاموا بتسجيل الدخول.
whoami - يعرض اسم المستخدم الخاص بك.
المستخدمون - يعرض أسماء المستخدمين العاملين في النظام.
مجموعات اسم المستخدم - يعرض قائمة المجموعات التي يكون المستخدم عضوًا فيها.
حذف مستخدم
لحذف مستخدم ، استخدم الأداة المساعدة userdel. مثال على الاستخدام:
سودو userdel vasyapupkin
لدى userdel مفتاحان رئيسيان فقط:
إدارة المجموعة
إنشاء المجموعة
يقوم برنامج groupadd بإنشاء مجموعة جديدة وفقًا لقيم سطر الأوامر المحددة وافتراضيات النظام. مثال على الاستخدام:
سودو groupadd testgroup
مفاتيح أساسية:
تغيير المجموعة
يمكنك تغيير اسم المجموعة أو معرّف GID الخاص بها أو كلمة المرور الخاصة بها باستخدام groupmod. مثال:
Sudo groupmod -n newtestgroup testgroup # تم تغيير اسم المجموعة من testgroup إلى newtestgroup
خيارات Groupmod:
حذف مجموعة
يتم حذف المجموعة على النحو التالي:
مجموعة اختبار سودو جروبديل
ليس لدى groupdel أي معلمات إضافية.
ملفات التكوين
يمكنك تغيير معلمات المستخدمين والمجموعات ليس فقط بمساعدة الأدوات الخاصة ، ولكن أيضًا يدويًا. يتم تخزين جميع الإعدادات في ملفات نصية. ويرد وصف لكل منهم أدناه.
/ etc / passwd
في ملف / etc / passwdيتم تخزين جميع المعلومات المتعلقة بالمستخدمين باستثناء كلمة المرور. يتوافق سطر واحد من هذا الملف مع وصف مستخدم واحد. المحتوى التقريبي للخط هو كما يلي:
Vasyapupkin: x: 1000: 1000: Vasya Pupkin: / home / vpupkin: / bin / bash
تتكون السلسلة من عدة حقول ، يفصل كل منها عن الآخر بنقطتين. يظهر معنى كل حقل في الجدول.
الحقلان الثاني والأخير اختياريان وقد لا يكونان مهمين.
/ الخ / المجموعة
في / الخ / المجموعة، كما يوحي الاسم ، يتم تخزين المعلومات حول المجموعات. يتم تسجيله في مماثل / etc / passwdشكل:
Vasyapupkin: x: 1000: فاسيابكين ، بيتيا
في هذا الملف ، يمكن أن يكون الحقلين الثاني والرابع فارغين.
/ الخ / الظل
ملف / الخ / الظليخزن كلمات المرور في حد ذاته ، وبالتالي ، فإن الحقوق المحددة في هذا الملف لا تسمح لمستخدم بسيط بقراءتها. مثال على أحد الإدخالات من هذا الملف:
Vasyapupkin: $ 6 Yvp9VO2s $ VfI0t.o754QB3HcvVbz5hlOafmO.LaHXwfavJHniHNzq / bCI3AEo562hhiWLoBSqxLy7RJJNm3fwz.sdh80993: 0: 15993
إدارة المستخدم والمجموعة عبر واجهة المستخدم الرسومية
في الإصدار الحالي من Ubuntu ، لا توجد أداة مساعدة قياسية لإدارة مجموعات مستخدمي النظام ، لذلك بشكل افتراضي ، يجب تنفيذ جميع الإجراءات مع المجموعات في وحدة التحكم. ومع ذلك ، لهذه الأغراض هناك فائدة خاصة "المستخدمون والمجموعات".
تثبيت واجهة المستخدم الرسومية المساعدة لإدارة المجموعة
توجد حزمة أدوات نظام gnome في مستودع Ubuntu ، لذا يمكن تثبيتها بأمر واحد:
سودو apt-get install gnome-system-tools
إدارة المجموعة
لإضافة مجموعات وإزالتها ، بالإضافة إلى إضافة / إزالة مستخدمين إلى / من مجموعات محددة ، يلزمك الانتقال إلى قائمة Ubuntu / Dash - أدوات النظام - الإدارة - المستخدمون والمجموعات ، بعد النقر على الزر "إدارة المجموعات" في هذه النافذة ، سترى نافذة تعرض جميع المجموعات الموجودة في النظام:
حيث يمكنك من خلال تحديد المجموعة المطلوبة والنقر فوق "خصائص" تحديد المستخدمين الذين يجب إضافتهم إلى المجموعة.
تعد إدارة المستخدم جزءًا مهمًا من أمان النظام. غالبًا ما يؤدي المستخدمون غير الأكفاء وإدارة الامتيازات إلى تقديم العديد من الأنظمة إلى حل وسط. لذلك ، من المهم أن تفهم كيفية حماية الخادم الخاص بك بتقنيات بسيطة وفعالة لإدارة حساب المستخدم.
أين المستخدم المتميز؟
اتخذ مطورو Ubuntu قرارًا واعًا بحظر حساب الجذر الإداري الافتراضي على جميع تثبيتات Ubuntu. هذا لا يعني أنه تم حذف حساب الجذر أو لا يمكن الوصول إليه. يتم ببساطة تعيين كلمة مرور لا تتطابق مع أي قيمة مشفرة محتملة ، وبالتالي لا يمكن استخدامها لتسجيل الدخول مباشرة.
بدلاً من ذلك ، يتم تشجيع المستخدمين على استخدام أداة مسماة سودولنقل المسؤوليات الإدارية. سودويسمح للمستخدمين المصرح لهم بزيادة امتيازاتهم مؤقتًا باستخدام كلمة المرور الخاصة بهم بدلاً من معرفة كلمة المرور المخصصة للمستخدم المتميز. توفر هذه التقنية البسيطة والفعالة المساءلة عن جميع إجراءات المستخدم وتمنح تحكمًا إداريًا تقديريًا على الإجراءات التي يمكن أن يقوم بها مستخدم لديه امتيازات محددة.
1. إذا كنت تريد السماح لحساب المستخدم المتميز لسبب ما ، فقم فقط بتعيين كلمة مرور له:
سودو باسود
سيطلب منك Sudo كلمة المرور الخاصة بك ثم يطالبك بتعيين كلمة مرور جديدة للجذر كما هو موضح أدناه:
كلمة المرور لاسم المستخدم: (أدخل كلمة المرور الخاصة بك) أدخل كلمة مرور UNIX الجديدة: (أدخل كلمة مرور المستخدم المتميز الجديدة) أعد كتابة كلمة مرور UNIX الجديدة: (كرر كلمة مرور المستخدم المتميز الجديدة) passwd: تم تحديث كلمة المرور بنجاح
2. استخدم بناء جملة passwd التالي لإغلاق حساب الجذر:
سودو passwd -l root
رجل سودو
افتراضيًا ، المستخدم الأصلي الذي تم إنشاؤه بواسطة مُثبِّت Ubuntu هو عضو في مجموعة "admin" ، والتي تتم إضافتها إلى ملف / etc / sudoers كمستخدمين مخولين من sudo. إذا كنت ترغب في السماح للمستخدم المتميز بالوصول الكامل إلى حساب آخر عبر سودو، فقط قم بإضافته إلى المجموعة مشرف.
إضافة المستخدمين وإزالتهم
عملية إدارة المستخدمين والمجموعات المحلية بسيطة ولا تختلف كثيرًا عن معظم أنظمة تشغيل GNU / Linux الأخرى. تشجع Ubuntu والتوزيعات الأخرى المستندة إلى Debian على استخدام حزمة "adduser" لإدارة الحساب.
1. لإضافة حساب مستخدم ، استخدم الصيغة التالية واتبع التعليمات لتحديد كلمة مرور وتحديد الخصائص مثل الاسم الكامل ورقم الهاتف وما إلى ذلك:
اسم مستخدم Sudo adduser
2. استخدم بناء الجملة التالي لحذف مستخدم ومجموعته الأساسية:
اسم مستخدم سودو deluser
لا تؤدي إزالة المستخدم إلى إزالة الدليل الرئيسي المرتبط. الأمر متروك لك فيما إذا كنت تريد حذف الدليل يدويًا أو تركه وفقًا لسياسات الاحتفاظ الخاصة بك.
تذكر أن أي مستخدم تمت إضافته لاحقًا بنفس UID / GID مثل السابق سيكون له حق الوصول إلى هذا الدليل ما لم تتخذ الاحتياطات اللازمة.
قد ترغب في تغيير قيم الدليل UID / GID إلى شيء أكثر ملاءمة ، مثل قيم المستخدم المتميز ، وربما نقل الدليل لمنع التعارضات المستقبلية:
Sudo chown -R root: root / home / username / sudo mkdir / home / archived_users / sudo mv / home / username / home / archived_users /
3. للحظر أو إلغاء الحظر مؤقتًا ، استخدم الصيغة التالية:
Sudo passwd -l اسم المستخدم sudo passwd -u username
4. لإضافة مجموعة شخصية أو إزالتها ، استخدم الصيغة التالية ، على التوالي:
سودو addgroup groupname sudo delgroup groupname
5. لإضافة مستخدم إلى مجموعة ، استخدم:
اسم مستخدم سودو adduser groupname
أمان ملف تعريف المستخدم
عندما يتم إنشاء مستخدم جديد ، تقوم الأداة المساعدة adduser بإنشاء دليل مسمى جديد وفقًا لذلك. / home / username... يتم إنشاء ملف التعريف الافتراضي من المحتوى الموجود في دليل / etc / skel ، والذي يتضمن جميع الأساسيات لإنشاء ملفات التعريف.
إذا كان الخادم الخاص بك موطنًا للعديد من المستخدمين ، فيجب أن تنتبه جيدًا إلى الأذونات الموجودة في الدلائل الرئيسية للمستخدم للحفاظ على الخصوصية. بشكل افتراضي ، يتم إنشاء الدلائل الرئيسية المخصصة بأذونات قراءة / تنفيذ للجميع. هذا يعني أنه يمكن لجميع المستخدمين عرض محتويات أدلة الصفحة الرئيسية الأخرى والوصول إليها. قد لا يكون هذا مناسبًا لبيئتك.
1. استخدم بناء الجملة التالي للتحقق من الأذونات على الدلائل الرئيسية للمستخدمين الحاليين:
Ls -ld / home / username
يوضح الإخراج التالي أن دليل / home / username لديه حق الوصول للقراءة للجميع:
Drwxr-xr-x 2 اسم المستخدم 4096 2007-10-02 20:03 اسم المستخدم
2. يمكنك إزالة أذونات القراءة للجميع باستخدام البنية التالية:
سودو chmod 0750 / home / username
يميل بعض الأشخاص إلى استخدام خيار العودية (-R) بشكل عشوائي ، والذي يغير جميع الأدلة والملفات التابعة ، على الرغم من أن هذا اختياري ويمكن أن يؤدي إلى عواقب أخرى غير مرغوب فيها. الدليل الأصل نفسه سوف يمنع الوصول غير المصرح به إلى أي من محتوياته.
سيكون الأسلوب الأكثر فعالية لهذه المشكلة هو تغيير الأذونات العمومية الافتراضية لـ adduserعند إنشاء الدلائل الرئيسية. ما عليك سوى تحرير ملف /etc/adduser.conf لتغيير متغير DIR_MODE إلى شيء أكثر ملاءمة ، وبعد ذلك ستحصل جميع أدلة الصفحة الرئيسية الجديدة على الأذونات الصحيحة.
DIR_MODE = 0750
3. بعد تصحيح أذونات الدليل باستخدام أي من الأساليب المذكورة سابقًا ، تحقق من النتائج باستخدام الأمر التالي:
Ls -ld / home / username
توضح النتيجة أدناه أنه تمت إزالة أذونات القراءة للجميع:
Drwxr-x --- 2 اسم المستخدم 4096 2007-10-02 20:03 اسم المستخدم
سياسة كلمة المرور
تعد سياسة كلمة المرور القوية أحد أهم جوانب أسلوبك في الأمان. استخدمت العديد من الخروقات الأمنية الناجحة القوة الغاشمة وهجمات القاموس ضد كلمات المرور الضعيفة. إذا كنت تنوي استخدام أي شكل من أشكال الوصول عن بُعد باستخدام نظام كلمة المرور المحلي ، فتأكد من تعيين الحد الأدنى لمتطلبات كلمة المرور المناسبة ، والحد الأقصى لعمر كلمة المرور ، والتحقق من نظام المصادقة الخاص بك بشكل متكرر.
الحد الأدنى لطول كلمة المرور
بشكل افتراضي ، يتطلب Ubuntu حدًا أدنى لطول كلمة المرور من 6 أحرف ، بالإضافة إلى بعض عمليات التحقق الأساسية المبعثرة. يتم التحكم في هذه المعلمات بواسطة ملف /etc/pam.d/common-password وهي مدرجة أدناه:
كلمة المرور pam_unix.so غامضة sha512
إذا كنت تريد تعيين الحد الأدنى للطول إلى 8 أحرف ، فقم بتغيير المتغير المقابل إلى min = 8. التغييرات موضحة أدناه:
كلمة المرور pam_unix.so غامضة sha512 دقيقة = 8
لا تنطبق اختبارات الجودة الأساسية والحد الأدنى من أطوال كلمة المرور على المسؤول الذي يستخدم أوامر على مستوى sudo لإعداد مستخدم جديد.
عمر كلمة المرور
عند إنشاء حسابات مستخدمين ، يجب عليك إنشاء حد أدنى وحد أقصى من سياسة عمر كلمة المرور لإجبار المستخدمين على تغيير كلمات المرور الخاصة بهم بعد فترة زمنية معينة.
1. لعرض الحالة الحالية لحساب المستخدم بسهولة ، استخدم الصيغة التالية:
اسم مستخدم سودو تشاج
يوضح الناتج أدناه حقائق مثيرة للاهتمام حول حساب المستخدم ، وهي أنه لا توجد سياسات مطبقة:
آخر تغيير لكلمة المرور: 20 كانون الثاني (يناير) 2008 تنتهي صلاحية كلمة المرور: مطلقًا كلمة المرور غير نشطة: أبدًا تنتهي صلاحية الحساب: أبدًا الحد الأدنى لعدد الأيام بين تغيير كلمة المرور: 0 الحد الأقصى لعدد الأيام بين تغيير كلمة المرور: 99999 عدد أيام التحذير قبل انتهاء صلاحية كلمة المرور: 7
2. لتعيين هذه القيم ، ما عليك سوى استخدام الأمر التالي واتباع المطالبات التفاعلية:
اسم مستخدم Sudo chage
فيما يلي مثال على كيفية تغيير تاريخ انتهاء صلاحية كلمة المرور الصريح يدويًا (-E) إلى 01/31/2008 ، والحد الأدنى لعمر كلمة المرور (-m) إلى 5 أيام ، والحد الأقصى لتاريخ انتهاء الصلاحية (-M) لمدة 90 أيام ، وفترة عدم نشاط (-I) لمدة 5 أيام بعد انتهاء صلاحية كلمة المرور ، وفترة تحذير (-W) لمدة 14 يومًا قبل انتهاء صلاحية كلمة المرور.
Sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 اسم المستخدم
3. للتحقق من التغييرات ، استخدم نفس الأمر كما هو مذكور أعلاه:
اسم مستخدم سودو تشاج
يُظهر إخراج الأمر أدناه السياسات الجديدة التي يتم تطبيقها على الحساب:
آخر تغيير لكلمة المرور: 20 يناير 2008 انتهاء صلاحية كلمة المرور: 19 أبريل 2008 كلمة المرور غير نشطة: 19 مايو 2008 انتهاء صلاحية الحساب: 31 يناير 2008 الحد الأدنى لعدد الأيام بين تغيير كلمة المرور: 5 الحد الأقصى لعدد الأيام بين تغيير كلمة المرور: 90 عدد الأيام تحذير قبل انتهاء صلاحية كلمة المرور: 14
اعتبارات أمنية أخرى
تستخدم العديد من التطبيقات آليات مصادقة بديلة يمكن التغاضي عنها بسهولة حتى من قبل مسؤولي النظام ذوي الخبرة. لذلك ، من المهم فهم كيفية تسجيل دخول المستخدمين والوصول إلى الخدمات والتطبيقات على الخادم الخاص بك والتحكم فيها.
وصول SSH من قبل المستخدمين المحظورين
لا يستبعد الفصل / المنع المنتظم اتصال المستخدم عن بُعد بالخادم ، إذا كان قد تم إعداده مسبقًا باستخدام مصادقة المفتاح العام RSA. سيتمكن هؤلاء المستخدمون من الوصول إلى واجهة وحدة التحكم على الخادم دون الحاجة إلى إدخال أي كلمة مرور. تذكر أن تتحقق من أدلة الصفحة الرئيسية للمستخدم بحثًا عن الملفات التي تسمح بهذا النوع من مصادقة SSH ، على سبيل المثال ، /home/username/.ssh/authorized_keys.
سيؤدي حذف أو إعادة تسمية دليل .ssh / في الدليل الرئيسي للمستخدم إلى منع مزيد من مصادقة SSH من القدرة على ذلك.
تأكد من التحقق من أي اتصالات SSH مثبتة للمستخدمين المحظورين ، حيث قد تكون هناك اتصالات واردة أو صادرة. اقتل كل من تجده.
تقييد وصول SSH إلى حسابات المستخدمين التي تتطلبها فقط. على سبيل المثال ، يمكنك إنشاء مجموعة تسمى "sshlogin" وإضافة اسم المجموعة كقيمة لمتغير AllowGroups الموجود في الملف / etc / ssh / sshd_config.
AllowGroups sshlogin
ثم أضف المستخدمين المسموح لهم بوصول SSH إلى مجموعة "sshlogin" وأعد تشغيل خدمة SSH.
سودو adduser اسم المستخدم sshlogin sudo service ssh
مصادقة قاعدة البيانات الخارجية
تتطلب معظم شبكات الشركات مصادقة مركزية والتحكم في الوصول لجميع موارد النظام. إذا قمت بتكوين الخادم الخاص بك لمصادقة المستخدمين مقابل قاعدة بيانات خارجية ، فتأكد من تعطيل كل من الحسابات الخارجية والمحلية بحيث يمكنك التأكد من أنه لا يمكنك التراجع عن المصادقة المحلية.