bejáratFelhasználókezelés. Ubuntu Server - Ubuntu felhasználók adminisztrátori jogai új felhasználó root jogosultságokkal
Ebben az oktatóanyagban megvizsgáljuk, hogyan lehet törölni egy Linux felhasználót az adataival és a saját könyvtárával együtt.
Ha Ön rendszergazda egy nagyvállalatban, akkor valószínűleg a linux felhasználók törlése meglehetősen gyakori feladat az Ön számára. Miután egy fiók szükségtelenné vált, vagy egy felhasználó kilépett a szervezetből, a fiókját törölni kell, hogy ne maradjanak biztonsági rések.
A Linux -felhasználók törlésekor fontos az otthoni könyvtár törlése is, hogy tárhelyet szabadítson fel az új felhasználók és fájljaik számára. Először is megvizsgáljuk, hogyan lehet törölni egy Linux felhasználót a terminál használatával, majd beszélünk arról, hogyan kell ezt megtenni az egyik legnépszerűbb disztribúció - az Ubuntu - grafikus felületén.
Mielőtt továbblépnénk a valódi környezethez, gyakorolnunk kell egy kicsit, hozzunk létre két felhasználót a losst and losst1 -hez az otthoni könyvtárakkal együtt, majd töröljük őket:
adduser losst
$ passwd losst
adduser losst1
$ passwd losst1
Itt az adduser paranccsal lehet felhasználói fiókot létrehozni, a passwd jelszóval.
Nézzük meg, hogyan lehet törölni egy Linux felhasználót a terminálon. Ehhez használja a parancsot - deluser a debian és a származtatott rendszereken, a RedHatban - userdel. Nézzük meg közelebbről ezt a két segédprogramot.
Tévesztő leírása
A deluser parancs szintaxisa nagyon egyszerű:
$ deluser paraméterek felhasználó
A deluser parancs beállításai az /etc/deluser.conf fájlban találhatók, többek között megadja, hogy mit kell tenni a home daddy és user fájlokkal.
Ezeket a beállításokat a parancs futtatásával tekintheti meg és módosíthatja:
vi /etc/deluser.conf
Nézzük meg közelebbről ezeket a beállításokat:
- REMOVE_HOME- törli a felhasználó saját könyvtárát
- REMOVE_ALL_FILES- törölje az összes felhasználói fájlt
- BIZTONSÁGI MENTÉS- biztonsági másolatot készíteni a felhasználói fájlokról
- BACKUP_TO- mappa a biztonsági mentéshez
- CSAK_IF_EMPTY- törölje a felhasználói csoportot, ha az üres.
Ezek a beállítások határozzák meg a segédprogram alapértelmezett viselkedését a felhasználó törlésekor, természetesen felülbírálhatók a parancs paramétereivel.
Ezek a paraméterek támogatottak, hasonlóak a beállításokhoz, de több lehetőség is van:
- --rendszer- csak akkor törölje, ha rendszerfelhasználó
- --biztonsági mentés- készítsen biztonsági másolatot a felhasználói fájlokról
- -biztonsági mentés- mappa a biztonsági mentésekhez
- -eltávolítás-haza- törli az otthoni mappát
- --remove-all-files- törölje az összes felhasználói fájlt a fájlrendszerből
A userdel leírása
A userdel segédprogram kicsit másképp működik, itt nincs konfigurációs fájl, de vannak olyan lehetőségek, amelyekkel megmondhatja a segédprogramnak, hogy mit kell tennie. A szintaxis hasonló:
$ userdel paraméterek felhasználó
- -f, --erő- kényszerített törlés, még akkor is, ha a felhasználó még mindig bejelentkezett
- -r, -eltávolítás- törölje a felhasználó saját könyvtárát és fájljait a rendszerből.
- -Z- törölje a felhasználó összes SELinux objektumát.
A felhasználó eltávolításához a szerverről jobb, ha a speciális módszert használja, amelyet az alábbiakban tárgyalunk. Amikor a felhasználók a szervert használják, különféle programokat és szolgáltatásokat indítanak el. A felhasználó csak akkor törölhető megfelelően, ha nincs bejelentkezve a szerverre, és leállít minden, a nevében indított programot, mert a programok különféle, a felhasználóhoz tartozó fájlokat használhatnak, és ez megakadályozza azok törlését. Ennek megfelelően a felhasználó fájljai nem törlődnek teljesen, és továbbra is eltömítik a rendszert.
Felhasználói fiók zárolása
A passwd segédprogram segítségével zárolhat egy felhasználói fiókot. Ez megtagadja a felhasználó hozzáférését a rendszerhez, és megakadályozza az új folyamatok elindítását:
Futtassa a passwd parancsot a --lock paraméterrel:
passwd -lock losst
passwd: a jelszó lejárati adatai megváltoztak.
Öld meg az összes futó felhasználói folyamatot
Most keressük meg a felhasználó nevében futó összes folyamatot, és fejezzük be azokat.
Keressük meg a folyamatokat a pgrep használatával:
Részletesebben láthatja, hogy mik ezek a folyamatok, ha átadja a pid -et, mindegyiket a ps parancsnak, így:
ps -f --pid $ (pgrep -u losst)
UID PID PPID C STIME TTY STAT TIME CMD
losst 14684 14676 0 22:15 pont / 2 S 0:00 -bash
losst 14735 14684 0 22:15 pont / 2 S + 0:00 vi szöveg
Most, hogy biztos abban, hogy nincs semmi fontos, megölheti az összes folyamatot a killall paranccsal:
Killall -9 -u losst
A -9 opció azt mondja a programnak, hogy küldje el a SIGKILL befejező jelet ezeknek a folyamatoknak, és a -u adja meg a felhasználónevet.
Red Hat alapú rendszereken a psmisc csomagot telepíteni kell a killall használatához:
sudo yum telepítse a psmisc programot
A felhasználói adatok biztonsági mentése
Ez egyáltalán nem szükséges, de egy komoly projekt esetében nem lesz felesleges biztonsági másolatot készíteni a felhasználó fájljairól, különösen akkor, ha ott fontos fájlok lehetnek. Ehhez használhatja például a tar segédprogramot:
tar jcvf /user-backups/losst-backup.tar.bz2 / home / losst
Felhasználói fiók eltávolítása
Most, hogy minden készen áll, elkezdjük a linux felhasználó törlését. Minden esetre kifejezetten jelezzük, hogy törölnie kell a felhasználó fájljait és a saját könyvtárat. Debian esetén:
téveszme-eltávolítás-home losst
userdel --remove losst
Ha törölnie kell a felhasználó tulajdonában lévő összes fájlt a rendszerben, használja a --remove-all-files opciót, csak legyen óvatos vele, mert a fontos fájlok felülírhatók:
deluser --remove-all-files losst
A felhasználó a fájljaival és a saját könyvtárával együtt teljesen eltávolításra került a rendszerből.
Felhasználó eltávolítása az Ubuntuban
Nyit Rendszerparaméterek:
Nyissa meg az elemet Fiókok:
Amint láthatja, most minden művelet nem érhető el, és szürke színnel rajzolódik. Aktiválásukhoz kattintson a gombra letiltás feloldásaés írja be a felhasználói jelszót.
Most, hogy törölhessen egy felhasználót a linuxból, csak kattintson rá az egérrel, majd kattintson a mínusz jelre.
A megnyíló ablakban kiválaszthatja, hogy mit tegyen a felhasználó fájljaival:
Természetesen csak a saját mappa törlődik, nem az összes fájlról beszélünk. A helyes törléshez a felhasználónak nem szabad a rendszerben dolgoznia.
következtetéseket
A felhasználó törlése Linuxon nem olyan nehéz, függetlenül attól, hogy hol kell megtenni, a szerveren vagy az otthoni számítógépen. Természetesen a grafikus felület kényelmesebb, de a terminál, mint mindig, több lehetőséget kínál. Ha van más ötleted ezzel kapcsolatban, írj kommentben!
Most beszéljünk egy kicsit a hozzáférési jogok különböző elemekre való differenciálásáról. Az ebben a cikkben leírt mechanizmus alapvető a Linuxon és ennek megfelelően az Ubuntun is, ezért figyelmesen olvassa el.
Felhasználók és csoportok
A Linux általában és különösen az Ubuntu többfelhasználós rendszerek, azaz egy számítógép több különböző felhasználóval rendelkezhet, mindegyik saját beállításokkal, adatokkal és hozzáféréssel rendelkezik a rendszer különböző funkcióihoz.
A Linuxon lévő felhasználók mellett vannak csoportok a jogok megkülönböztetésére. Minden csoportnak, valamint egyéni felhasználónak van egy bizonyos hozzáférési joga a rendszer különböző összetevőihez, és a csoport minden felhasználói tagja automatikusan megkapja a csoport összes jogát. Vagyis csoportokra van szükség a felhasználók csoportosításához ugyanazon jogosultság elve szerint minden műveletnél, ez egy ilyen tautológia. Minden felhasználó korlátlan számú csoport tagja lehet, és minden csoportnak annyi felhasználója lehet, amennyit csak akar.
Például az Ubuntunak van egy nagyon hasznos csoportja: az admin. A csoport bármely tagja korlátlan adminisztrátori jogosultságokkal rendelkezik. Már beszéltem az Ubuntu rendszergazdai szerepéről, így ha már elfelejtette, hogy kicsoda, felfrissítheti tudását. Az Ubuntu telepítése során létrehozott felhasználó automatikusan az admin csoport tagja lesz.
A felhasználókat és csoportokat a menüben található speciális eszközzel kezelheti Rendszer → Adminisztráció → Felhasználók és csoportok.
Általánosságban elmondható, hogy a felhasználók és csoportok mechanizmusának fő alkalmazási területe nem pontosan a rendszer különböző funkcióihoz való hozzáférés, hanem a merevlemezen lévő fájlokhoz való hozzáférés lehatárolása. Erről próbálok tovább beszélni.
Linux engedélyek
A Linux bármely fájljának és könyvtárának van tulajdonosa és tulajdonosa. Vagyis minden fájl és könyvtár valamilyen rendszerfelhasználóhoz és valamilyen csoporthoz tartozik. Ezenkívül bármely fájlnak és könyvtárnak három hozzáférési jogosultsági csoportja van: egy a tulajdonos felhasználó számára, egy a tulajdonos csoport tagjainak és egy a rendszer összes többi felhasználójának. Minden csoport jogosult a fájl olvasására, írására és végrehajtására. A könyvtárak esetében a végrehajtás és az olvasás mindig együtt jár, és ugyanazt jelenti.
Vagyis, ha megváltoztatja egy adott fájl tulajdonosát és a hozzáférési jogok különböző csoportjait, rugalmasan szabályozhatja a fájlhoz való hozzáférést. Például, ha magát a fájl tulajdonosává teszi, és a tulajdonos felhasználói kivételével mindenki számára teljesen megtagadja a hozzáférést, elrejtheti a tartalmat, és megakadályozhatja, hogy a többi felhasználó módosítsa ezt a fájlt. Ugyanez történik a katalógusokkal is. Például megtilthatja a fájlok könyvtárba írását, vagy akár elrejtheti annak tartalmát a kíváncsi szemek elől.
Jelenleg a rendszerben a hozzáférési jogok ilyen megszervezésének egyik rendkívül fontos következménye érdekel minket. Egy adott Ubuntu -felhasználó csak a saját könyvtárát és annak teljes tartalmát birtokolja. A rendszeren ez a könyvtár a / home / username címen található. A rendszer összes többi fájlja, beleértve az összes alkalmazást, rendszerbeállítást és így tovább, kívül / otthon, elsősorban a root tulajdonában van. Ne feledje, azt mondtam, hogy a root korlátlan jogosultságú felhasználó, és nem használható közvetlenül az Ubuntuban. Tehát minden rendszerfájl és könyvtár valamilyen okból a root tulajdonában van, mindegyikük csak a tulajdonos felhasználó számára rendelkezik változtatási jogokkal, így a rooton kívül senki sem zavarhatja a rendszert, és nem változtathat meg valamit a rendszerfájlokban.
Ez nagyszerű a biztonság szempontjából, de mi van, ha módosítania kell a rendszerfájlokat? Itt két módszer létezik: először is, a felhasználó számára szükséges rendszerbeállítások nagy része rendszergazdai jogosultságokkal módosítható a grafikus konfigurátorok segítségével, ez a legelőnyösebb módszer. Másodszor, ideiglenesen növelheti a root jogosultságait, és bármit megtehet.
Ez a sudo segédprogrammal és származékaival történik. A sudo egy parancssori segédprogram. Lehetővé teszi, hogy egy adott parancs végrehajtásakor root -ként "színlelje" magát, és így korlátlan jogokat szerezzen. Például a parancs
Sudo alkalmassági frissítés
frissíti az Ön rendelkezésére álló alkalmazások adatait (a programkezelésről szóló cikkben elmagyarázom, miért van erre szükség). Maga a csapat
Alkalmasság frissítés
csak akkor működik, ha a root indítja el. Ha azonban a sudo -val futtatja, akkor megszemélyesíti magát anélkül, hogy gyökér lenne. A sudo használatához természetesen rendszergazdai jogokkal kell rendelkeznie. Ugyanakkor, amikor a parancsot a sudo -n futtatja, a rendszer megkéri a jelszót, de biztonsági okokból, amikor beírja, semmi sem jelenik meg, sem csillag, sem kötőjel, sem madár, sem semmi. Ne ijedjen meg, így kell lennie, csak írja be a végét, és nyomja meg az Enter billentyűt. Ha Ön rendszergazda, és helyesen adta meg a jelszót, akkor a sudo után megadott parancs rootként fog futni.
A terminálon keresztül bármit megtehet, így gyökérré válhat, és elvégezheti az összes szükséges beállítást. Néha azonban kényelmes grafikus alkalmazások használata root jogokkal. Például, ha fájlokat kell másolni a rendszerkönyvtárakba. A grafikus alkalmazások rootként való futtatásához nyissa meg a GNOME indító párbeszédpanelt Alt + F2 billentyűkkel, és írja be
Gksudo app_name
Például a Nautlus fájlkezelő elindításához írja be
Gksudo nautilus
Az így elindított Nautilus segítségével tetszőleges módon megváltoztathatja a számítógépen lévő fájlokat.
Legyen rendkívül óvatos, ha a Nautilust gyökérként használja! Bármilyen rendszerfájlt véglegesen törölhet figyelmeztetés nélkül, ami könnyen a teljes rendszer működésképtelenségéhez vezethet.
Konfigurációs fájlok szerkesztése
A fentebb leírt „root” színlelési technológia alkalmazásának legfontosabb példája a rendszer konfigurációs fájljainak szerkesztése. Már mondtam, hogy a Linux összes rendszerbeállítása és minden alkalmazása szöveges fájlként kerül tárolásra. Tehát csak a hozzá tartozó fájlokat szerkesztheti, vagyis csak a felhasználójára vonatkozó beállításokat. A rendszerparaméterek szerkesztéséhez pedig rendszergazdai jogokra van szükség.
Sok fájlt megnyithat, de nem változtathat rajtuk, a mentési művelet egyszerűen nem lesz elérhető:
Természetesen a konfigurációs fájlokat rootként is megnyithatja az alkalmazásindító párbeszédpanelen a paranccsal
Gksudo gedit / path / to / file
A Gedit az Ubuntu szabványos szövegszerkesztője.
Az automatikus kiegészítés azonban nem működik az indítási párbeszédpanelen, ezért manuálisan kell beírnia a fájl elérési útját, ami nem mindig kényelmes. Ezért használhatja a terminált egy szövegszerkesztő indítására szuperfelhasználóként, például:
Kérjük, vegye figyelembe, hogy a sudo tisztán konzolos segédprogram, így nem használhatja az alkalmazásindító párbeszédablakban, bár grafikus alkalmazásokat a terminálon keresztül is elindíthat. Másrészt a gksudo grafikus segédprogram, ezért nem szabad a terminálban használni, bár nem tiltott.
Ennek eredményeként megnyílik egy szerkesztő, amely képes menteni a módosításokat.
Tegyük fel, hogy új Ubuntu Linux 16.04.xx LTS felhasználó vagyok. Lehet, hogy azonnal számos kérdésem lesz. Hogyan hozhatok létre új sudo felhasználót a szerveremen? Hogyan adhatok új felhasználót a sudoer fájlhoz az Ubuntu parancssori opciójával?
A Linux (és általában a Unix) root nevű szuperfelhasználóval rendelkezik. A root felhasználó bármit és mindent megtehet, és így a rendszer normál használata nagyon veszélyessé válhat. Lehet, hogy helytelenül írja be a parancsot, és tönkreteszi a rendszert. A sudo parancs lehetővé teszi egy jogosult felhasználó számára, hogy futtassa a parancsot felügyeleti (root felhasználó) vagy más felhasználóként, a biztonsági házirendben meghatározottak szerint. A sudo -t gyakran használják a szervereken, hogy rendszergazdai jogokat és kiváltságokat biztosítsanak a rendszeres felhasználók számára. Ebben a gyors bemutatóban megtudhatja, hogyan hozhat létre sudo felhasználót az Ubuntu rendszeren.
Néhány lépés a sudo felhasználó létrehozásához az Ubuntu rendszeren
További információ az admin csoportról és a sudo csoportról az Ubuntu szerveren
Az adminisztrációs csoport tagjai root jogosultságokat kaphatnak. A sudo csoport minden tagja bármilyen parancsot futtat az Ubuntu szerveren. Tehát csak adja hozzá a felhasználót az Ubuntu szerver sudo csoportjához. Az adminisztrátor csoport jelentősen csökkent az Ubuntu 12.04 és újabb verziói óta. Ezért az adminisztrátor csoport már nem létezik, vagy csak az Ubuntu 12.04 vagy újabb verziójában használják. A működés oka:
# grep -B1 -i "^% sudo" / etc / sudoers
$ sudo grep -B1 -i "^% sudo" / etc / sudoers
# Engedélyezze a sudo csoport tagjainak, hogy végrehajtsanak bármilyen parancsot% sudo ALL = (ALL: ALL) ALL
Nézzünk néhány gyakorlati példát.
Hogyan adhatok hozzá új, vivek nevű felhasználót a sudo -hoz a parancssor használatával?
Nyisson meg egy terminált, vagy jelentkezzen be távoli szerverére:
$ ssh [e -mail védett]$ ssh [e -mail védett] { [e -mail védett]: / root) #
# adduser vivek$ sudo adduser vivek
01. ábra: Új felhasználó hozzáadása az Ubuntu -hoz
Példák a lehetséges adatkimenetekre:
Sudo felhasználó létrehozása az Ubuntuban a vivek fiókhoz
Írja be a következő parancsot:
# adduser vivek sudo
VAGY használja az usermod parancsot, hogy hozzáadjon egy felhasználót egy csoporthoz Linux alatt:
# usermod -aG sudo vivek
$ sudo usermod -aG sudo vivek
$ sudo adduser vivek sudo
Példák a lehetséges adatkimenetekre:
02. ábra: Adja hozzá a vivek felhasználót a sudo -hoz, hogy rendszergazdai jogokat szerezzen
Erősítse meg az új felhasználót és csoporttagot:
$ id vivek
Példák a lehetséges adatkimenetekre:
03. ábra: Felhasználói és csoportinformációk megjelenítése
A vivek felhasználó most az ssh paranccsal jelentkezhet be az alábbiak szerint:
$ ssh [e -mail védett]
Győződjön meg arról, hogy a vivek tudja használni a sudo parancsot:
$ sudo cat / etc / sudoers
A sudo parancs első használatakor meg kell adnia a vivek fiók jelszavát. Tehát adja meg a vivek jelszót a root hozzáféréshez. Bármilyen típusú parancsot sudo -val root jogosultságokkal kell futtatni a vivek fiókhoz. A gyökérhéj beszerzéséhez írja be:
$ sudo –s
Példák a lehetséges adatkimenetekre:
03. ábra: A sudo hozzáférés tesztelése a vivek felhasználói fiókhoz
És így tetted. Mostantól engedélyezheti más felhasználók számára, hogy futtassák a sudo -t az Ubuntu szerveren, és adminisztrátori jogokat adhatnak a felhasználóknak.
Ebben az anyagban megtudhatja, hogyan hozhat létre felhasználót, hogyan hozhat létre változási jelszót, hogyan szerezhet információt egy felhasználóról vagy törölheti azt, hogyan hozhat létre / változtathat / törölhet csoportot, miután ezt az anyagot elolvasta, könnyedén megteheti.
Dolgozunk a felhasználókkal és csoportokkal, megtanulunk kezelni, felhasználókat, csoportokat létrehozni, csoportok szerint mozogni és más egyéb manipulációkat végezni az Ubuntu Linuxon.
Felhasználó hozzáadása
A felhasználó hozzáadása a useradd paranccsal történik. Használati példa:
Sudo useradd vasyapupkin
Ez a parancs létrehoz egy új vasyapupkin felhasználót a rendszeren. A létrehozott felhasználó beállításainak módosításához használja a következő gombokat:
| Kulcs | Leírás |
|---|---|
| -b | Alapkönyvtár. Ez az a könyvtár, ahol a felhasználó otthoni mappája jön létre. Alapértelmezett / home |
| -val vel | Egy komment. Ebben bármilyen szöveget beírhat. |
| -d | A saját könyvtár neve. Alapértelmezés szerint a név megegyezik a létrehozandó felhasználó nevével. |
| -e | Az a dátum, amely után a felhasználó megszakad. ÉÉÉÉ-HH-NN formátumban megadva. Alapértelmezés szerint letiltva. |
| -f | Fiók letiltása. Ha az érték 0, akkor az írás azonnal le van tiltva a jelszó lejárta után, ha -1 - akkor nincs letiltva. Az alapértelmezett érték -1. |
| -g | A felhasználó elsődleges csoportja. Megadhatja a GID -t és a csoport nevét is. Ha a paraméter nincs megadva, akkor új csoport jön létre, amelynek neve egybeesik a felhasználónévvel. |
| -G | Azon csoportok listája, amelyekben a létrehozott felhasználó található |
| -k | Katalógus sablonok. Az ebből a könyvtárból származó fájlok és mappák a felhasználó otthoni mappájába kerülnek. Alapértelmezés szerint az / etc / skel. |
| -m | Kulcs, amely jelzi, hogy létre kell hozni egy otthoni mappát. Alapértelmezett otthoni mappa nem jött létre. |
| -p | Felhasználói jelszó. Alapértelmezés szerint nincs jelszó megadva. |
| -s | A felhasználó által használt héj. Alapértelmezés szerint a / bin / sh. |
| -u | Állítsa be manuálisan a felhasználó azonosítóját. |
Alapértelmezett felhasználói létrehozási beállítások
Ha a felhasználó létrehozásakor további tüskék nincsenek megadva, akkor az alapértelmezett beállítások kerülnek alkalmazásra. Ezeket a beállításokat futtatva láthatja
Useradd -D
Az eredmény valami ilyesmi lesz:
GROUP = 100HOME = / home INACTIVE = -1 EXPIRE = SHELL = / bin / shSKEL = / etc / skel CREATE_MAIL_SPOOL = nem
Ha nem elégedett ezekkel a beállításokkal, akkor futtatással módosíthatja azokat
Useradd -D-m-s / bin / bash
ahol -m és -s a fenti táblázatból vett lehetőségek.
Felhasználóváltás
A felhasználói paraméterek megváltoztatása az usermod segédprogrammal történik. Használati példa:
Sudo usermod -c "Ez a parancs megváltoztatja a megjegyzést a" vasyapupkin "felhasználóra
Az usermod ugyanazokat a lehetőségeket használja, mint a useradd.
Jelszó módosítása
A felhasználó jelszavát a passwd segédprogrammal módosíthatja.
Sudo passwd vasyapupkin
Alapvető jelszavak:
Információk szerzése a felhasználókról
w - Megjeleníti az összes bejelentkezett felhasználó adatait (felhasználónév, héj, bejelentkezési idő stb.).
whoami - Megjeleníti felhasználónevét.
felhasználók - megjeleníti a rendszerben dolgozó felhasználók nevét.
csoportok felhasználóneve - megjeleníti azon csoportok listáját, amelyekben a felhasználó tagja.
Felhasználó törlése
Felhasználó törléséhez használja a userdel segédprogramot. Használati példa:
Sudo userdel vasyapupkin
A userdel csak két fő kulcsot tartalmaz:
Csoport menedzsment
Csoport létrehozása
A groupadd program új csoportot hoz létre a megadott parancssori értékek és a rendszer alapértelmezett értékei szerint. Használati példa:
Sudo csoport hozzáadása tesztcsoport
Alapkulcsok:
Csoportváltás
A groupmod használatával megváltoztathatja a csoport nevét, GID -jét vagy jelszavát. Példa:
Sudo groupmod -n newtestgroup testgroup # A csoport neve tesztcsoportról newtestgroup -ra módosult
Groupmod lehetőségek:
Csoport törlése
Egy csoport törlése a következőképpen történik:
Sudo groupdel tesztcsoport
A groupdel nem rendelkezik további paraméterekkel.
Konfigurációs fájlok
A felhasználók és csoportok paramétereit nemcsak speciális segédprogramok segítségével, hanem manuálisan is módosíthatja. Minden beállítás szöveges fájlokban van tárolva. Az alábbiakban mindegyikük leírása található.
/ etc / passwd
Fájlban / etc / passwd a felhasználókkal kapcsolatos minden információ tárolásra kerül, kivéve a jelszót. Ebből a fájlból egy sor egy felhasználó leírásának felel meg. A sor hozzávetőleges tartalma a következő:
Vasyapupkin: x: 1000: 1000: Vasya Pupkin: / home / vpupkin: / bin / bash
Egy karakterlánc több mezőből áll, amelyeket kettősponttal választanak el egymástól. Az egyes mezők jelentése a táblázatban látható.
A második és az utolsó mező nem kötelező, és nem számít.
/ etc / group
V / etc / group, ahogy a neve is sugallja, a csoportokkal kapcsolatos információkat tárolja. Hasonlóban van rögzítve / etc / passwd forma:
Vasyapupkin: x: 1000: vasyapupkin, petya
Ebben a fájlban a második és a negyedik mező üres lehet.
/ etc / shadow
Fájl / etc / shadow a jelszavakat önmagában tárolja, ezért a fájlban megadott jogok nem teszik lehetővé egy egyszerű felhasználó számára, hogy elolvassa. Példa a fájl egyik bejegyzésére:
Vasyapupkin: $ 6 $ Yvp9VO2s $ VfI0t.o754QB3HcvVbz5hlOafmO.LaHXwfavJHniHNzq / bCI3AEo562hhiWLoBSqxLy7RJJNm3fwz.sdh80993: 0: 15: 15
Felhasználói és csoportkezelés GUI -n keresztül
Az Ubuntu jelenlegi verziójában nincs szabványos segédprogram a rendszerfelhasználók csoportjainak kezelésére, ezért alapértelmezés szerint minden csoportos műveletet el kell végezni a konzolon. E célokra azonban van egy speciális segédprogram "Felhasználók és csoportok".
Grafikus grafikus felhasználói felület telepítése a csoportkezeléshez
A gnome-system-tools csomag az Ubuntu lerakatban található, így egyetlen paranccsal telepíthető:
Sudo apt-get install gnome-system-tools
Csoport menedzsment
Csoportok hozzáadásához, eltávolításához, valamint a felhasználók hozzáadásához / eltávolításához bizonyos csoportokhoz, lépjen az Ubuntu / Dash menübe - Rendszer segédprogramok - Adminisztráció - Felhasználók és csoportok, miután ebben az ablakban a "Csoportok kezelése" gombra kattint. , megjelenik egy ablak, amely a rendszer összes csoportját megjeleníti:
amelyben a kívánt csoport kiválasztásával és a "Tulajdonságok" gombra kattintva kipipálhatja azokat a felhasználókat, akiket fel kell venni a csoportba.
A felhasználókezelés a rendszerbiztonság fontos része. A nem hatékony felhasználók és a jogosultságkezelés gyakran sok rendszert veszélyeztet. Ezért fontos, hogy megértse, hogyan védheti meg szerverét egyszerű és hatékony felhasználói fiókkezelési technikákkal.
Hol van a szuperfelhasználó?
Az Ubuntu fejlesztői tudatosan döntöttek arról, hogy letiltják az alapértelmezett adminisztrátori root fiókot minden Ubuntu telepítésnél. Ez nem jelenti azt, hogy a root fiókot törölték, vagy nem érhetők el. Egyszerűen hozzá van rendelve egy jelszó, amely nem egyezik semmilyen lehetséges titkosított értékkel, ezért nem használható közvetlen bejelentkezéshez.
Ehelyett a felhasználókat arra ösztönzik, hogy nevű eszközt használjanak sudoátadni az adminisztratív feladatokat. Sudo lehetővé teszi a jogosult felhasználók számára, hogy átmenetileg növeljék jogosultságaikat saját jelszavuk használatával, ahelyett, hogy tudnák a felügyeleti felhasználóhoz rendelt jelszót. Ez az egyszerű, de hatékony technika elszámoltathatóságot biztosít minden felhasználói művelethez, és felügyeleti jogkörrel rendelkezik arra vonatkozóan, hogy a meghatározott jogosultságokkal rendelkező felhasználó milyen műveleteket hajthat végre.
1. Ha valamilyen oknál fogva engedélyezni szeretné a felügyeleti fiókot, csak állítson be egy jelszót:
Sudo passwd
A Sudo kéri a jelszót, majd új root jelszó beállítását kéri az alábbiak szerint:
Jelszó a felhasználónévhez: (írja be saját jelszavát) Írja be az új UNIX jelszót: (adja meg az új superuser jelszót) Írja be újra az új UNIX jelszót: (ismételje meg az új superuser jelszót) passwd: a jelszó sikeresen frissítve
2. A következő passwd szintaxissal zárolja a root fiókot:
Sudo passwd -l gyökér
Ember sudo
Alapértelmezés szerint az Ubuntu telepítő által létrehozott eredeti felhasználó az "admin" csoport tagja, amelyet sudo-jogosult felhasználóként adnak hozzá az / etc / sudoers fájlhoz. Ha egy másik fiókhoz szeretné engedélyezni a teljes felügyeleti hozzáférést ezen keresztül sudo, csak add hozzá a csoporthoz admin.
Felhasználók hozzáadása és eltávolítása
A helyi felhasználók és csoportok kezelési folyamata egyszerű, és nem sokban különbözik a legtöbb más GNU / Linux operációs rendszertől. Az Ubuntu és más Debian-alapú disztribúciók ösztönzik az "adduser" csomag használatát a fiókkezeléshez.
1. Felhasználói fiók hozzáadásához használja a következő szintaxist, és kövesse a jelszó megadásához és a jellemzők, például teljes név, telefonszám stb.
Sudo adduser felhasználónév
2. A következő szintaxissal törölheti a felhasználót és elsődleges csoportját:
Sudo deluser felhasználónév
A felhasználó eltávolítása nem távolítja el a hozzá tartozó otthoni könyvtárat. Ön dönti el, hogy manuálisan szeretné -e törölni a könyvtárat, vagy hagyja el a megőrzési szabályzatnak megfelelően.
Ne feledje, hogy minden később hozzáadott felhasználó ugyanazzal az UID / GID azonosítóval rendelkezik, mint az előző, akkor hozzáférhet ehhez a könyvtárhoz, ha nem teszi meg a szükséges óvintézkedéseket.
Érdemes ezeket a címtár UID / GID értékeket megfelelőbbre, például felügyeleti értékekre módosítani, és esetleg áthelyezni a könyvtárat a későbbi ütközések elkerülése érdekében:
Sudo chown -R root: root / home / felhasználónév / sudo mkdir / home / archived_users / sudo mv / home / username / home / archived_users /
3. A blokkolás ideiglenes letiltásához vagy feloldásához használja a következő szintaxist:
Sudo passwd -l felhasználónév sudo passwd -u felhasználónév
4. Személyes csoport hozzáadásához vagy eltávolításához használja a következő szintaxist:
Sudo addgroup csoportnév sudo delgroup csoportnév
5. Ha felhasználót szeretne hozzáadni egy csoporthoz, használja a következőket:
Sudo adduser felhasználónév csoportnév
Felhasználói profil biztonsága
Új felhasználó létrehozásakor az adduser segédprogram ennek megfelelően új névvel ellátott könyvtárat hoz létre. / home / felhasználónév... Az alapértelmezett profil az / etc / skel könyvtárban található tartalomból jön létre, amely tartalmazza a profilok létrehozásának minden alapját.
Ha a szerver sok felhasználónak ad otthont, akkor a magánélet megőrzése érdekében fokozottan figyelni kell a felhasználó saját könyvtárainak engedélyeire. Alapértelmezés szerint az egyéni otthoni könyvtárak mindenki számára olvasási / végrehajtási jogosultsággal jönnek létre. Ez azt jelenti, hogy minden felhasználó megtekintheti és elérheti más otthoni könyvtárak tartalmát. Előfordulhat, hogy ez nem megfelelő a környezetének.
1. A következő szintaxissal ellenőrizze a meglévő felhasználók saját könyvtárainak engedélyeit:
Ls -ld / home / felhasználónév
A következő kimenet azt mutatja, hogy a / home / username könyvtár mindenkinek rendelkezik olvasási hozzáféréssel:
Drwxr-xr-x 2 felhasználónév felhasználónév 4096 2007-10-02 20:03 felhasználónév
2. Az alábbi szintaxis használatával eltávolíthatja az olvasási engedélyeket mindenki számára:
Sudo chmod 0750 / home / felhasználónév
Vannak, akik válogatás nélkül használják a rekurziós (-R) opciót, ami minden gyermekkönyvtárat és fájlt megváltoztat, bár ez opcionális és más nemkívánatos következményekhez vezethet. Maga a szülőkönyvtár megtagadja az illetéktelen hozzáférést bármely tartalmához.
A probléma hatékonyabb megközelítése az alapértelmezett globális engedélyek módosítása lenne felhasználó hozzáadása házi könyvtárak létrehozásakor. Csak szerkessze az /etc/adduser.conf fájlt, hogy a DIR_MODE változót valami megfelelőbbre változtassa, ami után minden új otthoni könyvtár megfelelő jogosultsággal rendelkezik.
DIR_MODE = 0750
3. Miután a korábban említett technikák bármelyikével kijavította a könyvtár jogosultságait, ellenőrizze az eredményeket a következő paranccsal:
Ls -ld / home / felhasználónév
Az alábbi eredmény azt mutatja, hogy az olvasási engedélyeket mindenki eltávolította:
Drwxr-x --- 2 felhasználónév felhasználónév 4096 2007-10-02 20:03 felhasználónév
Jelszó irányelv
Az erős jelszó -politika az egyik legfontosabb szempontja a biztonsággal kapcsolatos megközelítésének. Sok sikeres biztonsági szabálysértés nyers erőt és szótári támadásokat alkalmazott a gyenge jelszavak ellen. Ha bármilyen típusú távoli hozzáférést kíván használni a helyi jelszórendszer használatával, győződjön meg arról, hogy megfelelő minimális jelszókövetelményeket, maximális jelszó élettartamot adott meg, és gyakran ellenőrizze hitelesítési rendszerét.
A jelszó minimális hossza
Alapértelmezés szerint az Ubuntu legalább 6 karakter hosszú jelszót, valamint néhány alapvető szórásellenőrzést igényel. Ezeket a beállításokat az /etc/pam.d/common-password fájl vezérli, és az alábbiakban felsoroljuk:
Jelszó pam_unix.so homályos sha512
Ha a minimális hosszt 8 karakterre szeretné állítani, módosítsa a megfelelő változót min = 8 értékre. A változásokat az alábbiakban mutatjuk be:
Jelszó pam_unix.so homályos sha512 min = 8
Az alapvető minőségellenőrzések és a minimális jelszóhosszak nem vonatkoznak a rendszergazdára, aki sudo szintű parancsokat használ új felhasználó beállításához.
A jelszó élettartama
Felhasználói fiókok létrehozásakor létre kell hoznia egy minimális és maximális jelszó élettartam -házirendet, amely arra kényszeríti a felhasználókat, hogy bizonyos idő elteltével változtassák meg jelszavukat.
1. A felhasználói fiók jelenlegi állapotának egyszerű megtekintéséhez használja a következő szintaxist:
Sudo chage -l felhasználónév
Az alábbi kimenet érdekes tényeket mutat a felhasználói fiókról, nevezetesen azt, hogy nincsenek alkalmazott szabályok:
Utolsó jelszóváltoztatás: 2008. január 20. A jelszó lejár: soha A jelszó inaktív: soha A fiók nem jár le: soha A minimális napok száma a jelszóváltozás között: 0 A napok maximális száma a jelszóváltozás között: 99999 A jelszó lejárta előtti figyelmeztetések száma: 7
2. Az értékek beállításához egyszerűen használja a következő parancsot, és kövesse az interaktív utasításokat:
Sudo chage felhasználónév
Az alábbiakban példát mutatunk arra is, hogyan lehet manuálisan megváltoztatni az explicit jelszó lejárati dátumát (-E) 2008.01.31-re, a minimális jelszó életkorát (-m) 5 napra, a maximális lejárati dátumot (-M) 90-re nap, a jelszó lejárta után 5 napig tartó inaktivitási időszak (-I), és a jelszó lejárta előtti 14 napra szóló figyelmeztetési időszak (-W).
Sudo chage -E 2011.01.31 -m 5 -M 90 -I 30 -W 14 felhasználónév
3. A módosítások ellenőrzéséhez használja a fent említett parancsot:
Sudo chage -l felhasználónév
Az alábbi parancskimenet a fiókra alkalmazott új házirendeket mutatja:
Utolsó jelszóváltoztatás: 2008. január 20. A jelszó lejár: 2008. április 19. A jelszó inaktív: 2008. május 19. A fiók lejárta: 2008. január 31. A jelszóváltozás közötti minimális napszám: 5 A jelszóváltás közötti maximális napszám: 90 Napok száma figyelmeztetés a jelszó lejárta előtt: 14
Egyéb biztonsági szempontok
Sok alkalmazás alternatív hitelesítési mechanizmusokat használ, amelyeket még a tapasztalt rendszergazdák is könnyen figyelmen kívül hagyhatnak. Ezért fontos megérteni és szabályozni, hogy a felhasználók hogyan jelentkeznek be, és hogyan férnek hozzá a kiszolgálón található szolgáltatásokhoz és alkalmazásokhoz.
A letiltott felhasználók SSH -hozzáférése
A rendszeres leválasztás / blokkolás nem zárja ki a felhasználó távoli kapcsolatát a szerverrel, ha korábban RSA nyilvános kulcsos hitelesítéssel volt beállítva. Az ilyen felhasználók jelszó megadása nélkül férhetnek hozzá a konzol héjához a szerveren. Ne felejtse el ellenőrizni a felhasználói otthoni könyvtárakban, hogy vannak -e olyan fájlok, amelyek lehetővé teszik az ilyen típusú SSH -hitelesítést, például /home/username/.ssh/authorized_keys.
A .ssh / könyvtár törlése vagy átnevezése a felhasználó saját könyvtárában megakadályozza a további SSH hitelesítést.
Ellenőrizze a blokkolt felhasználók SSH -kapcsolatait, mivel előfordulhatnak bejövő vagy kimenő kapcsolatok. Ölj meg mindenkit, akit találsz.
Korlátozza az SSH -hozzáférést csak azokat igénylő felhasználói fiókokra. Létrehozhat például egy "sshlogin" nevű csoportot, és hozzáadhatja a csoport nevét az AllowGroups változó értékéhez az / etc / ssh / sshd_config fájlban.
AllowGroups sshlogin
Ezután adja hozzá az SSH -hozzáféréssel rendelkező felhasználókat az "sshlogin" csoporthoz, és indítsa újra az SSH szolgáltatást.
Sudo adduser felhasználónév sshlogin sudo service ssh restart
Külső adatbázis hitelesítés
A legtöbb vállalati hálózat központosított hitelesítést és hozzáférés -szabályozást igényel minden rendszer erőforráshoz. Ha a kiszolgálót úgy konfigurálta, hogy hitelesítse a felhasználókat egy külső adatbázissal szemben, győződjön meg arról, hogy letiltja mind a külső, mind a helyi fiókokat, hogy biztos lehessen abban, hogy nem tud visszalépni a helyi hitelesítéshez.