wejścieZarządzanie użytkownikami. Ubuntu Server - Prawa administracyjne użytkowników Ubuntu nowy użytkownik z uprawnieniami root
W tym samouczku przyjrzymy się, jak usunąć użytkownika Linuksa wraz z jego danymi i katalogiem domowym.
Jeśli jesteś administratorem systemu w dużej firmie, najprawdopodobniej usuwanie użytkowników Linuksa jest dla Ciebie dość częstym zadaniem. Gdy konto stanie się niepotrzebne lub użytkownik opuści organizację, jego konto musi zostać usunięte, aby nie pozostawić luk w zabezpieczeniach.
Podczas usuwania użytkowników Linuksa ważne jest również, aby usunąć ich katalog domowy, aby zwolnić miejsce dla nowych użytkowników i ich plików. Najpierw przyjrzymy się, jak usunąć użytkownika Linuksa za pomocą terminala, a następnie porozmawiamy o tym, jak to zrobić w interfejsie graficznym jednej z najpopularniejszych dystrybucji - Ubuntu.
Zanim przejdziemy do rzeczywistego środowiska, potrzebna jest niewielka praktyka, utwórzmy dwóch użytkowników lost i lostt1 wraz z ich katalogami domowymi, a następnie usuńmy ich:
adduser zgubiony
$ passwd utracone
adduser utracony1
$ passwd lost1
Tutaj polecenie adduser służy do tworzenia konta użytkownika, a passwd służy do tworzenia hasła.
Przyjrzyjmy się, jak usunąć użytkownika Linuksa z terminala. Aby to zrobić, użyj polecenia - deluser w systemach debian i pochodnych, aw RedHat - userdel. Przyjrzyjmy się bliżej tym dwóm narzędziom.
Opis delusera
Składnia polecenia deluser jest bardzo prosta:
$ deluser parametry użytkownik
Ustawienia polecenia deluser znajdują się w pliku /etc/deluser.conf, między innymi określa, co zrobić z domowym tatą i plikami użytkownika.
Możesz przeglądać i zmieniać te ustawienia, uruchamiając polecenie:
vi /etc/deluser.conf
Przyjrzyjmy się bliżej tym ustawieniom:
- REMOVE_HOME- usuń katalog domowy użytkownika
- REMOVE_ALL_FILES- usuń wszystkie pliki użytkownika
- UTWORZYĆ KOPIĘ ZAPASOWĄ- wykonaj kopię zapasową plików użytkownika
- STWÓRZ KOPIĘ ZAPASOWĄ DO- folder do kopii zapasowej
- ONLY_IF_EMPTY- usuń grupę użytkowników, jeśli jest pusta.
Te ustawienia określają domyślne zachowanie narzędzia podczas usuwania użytkownika, oczywiście można je zmienić za pomocą parametrów polecenia.
Te parametry są obsługiwane, są podobne do ustawień, ale jest więcej opcji:
- --system- usuń tylko jeśli jest to użytkownik systemu
- --utworzyć kopię zapasową- wykonać kopię zapasową plików użytkownika
- --Stwórz kopię zapasową do- folder na kopie zapasowe
- --remove-home- usuń katalog domowy
- --usuń-wszystkie-pliki- usuń wszystkie pliki użytkownika w systemie plików
Opis userdel
Narzędzie userdel działa trochę inaczej, nie ma tu pliku konfiguracyjnego, ale są opcje, których możesz użyć, aby powiedzieć narzędziu, co ma zrobić. Składnia jest podobna:
$ parametry userdel użytkownik
- -f, --siła- wymuszone usunięcie, nawet jeśli użytkownik jest nadal zalogowany
- -r, --usuń- usuń katalog domowy użytkownika i pliki w systemie.
- -Z- usuń wszystkie obiekty SELinux dla tego użytkownika.
Lepiej jest skorzystać z zaawansowanej metody usuwania użytkownika z serwera, co omówimy poniżej. Gdy użytkownicy korzystają z serwera, uruchamiają różne programy i usługi. Użytkownik może zostać poprawnie usunięty tylko wtedy, gdy nie jest zalogowany na serwerze i wszystkie programy uruchomione w jego imieniu zostaną zatrzymane, ponieważ programy mogą korzystać z różnych plików należących do użytkownika, a to uniemożliwi ich usunięcie. W związku z tym pliki użytkownika nie zostaną całkowicie usunięte i pozostaną zatykające system.
Blokada konta użytkownika
Możesz użyć narzędzia passwd, aby zablokować konto użytkownika. Odmówi to użytkownikowi dostępu do systemu i uniemożliwi uruchomienie nowych procesów:
Uruchom polecenie passwd z parametrem --lock:
passwd --lock losst
passwd: zmieniono informacje o wygaśnięciu hasła.
Zabij wszystkie uruchomione procesy użytkownika
Teraz znajdźmy wszystkie procesy działające w imieniu użytkownika i zakończmy je.
Znajdźmy procesy za pomocą pgrep:
Możesz zobaczyć bardziej szczegółowo, czym są te procesy, przekazując pid, każdy z nich do polecenia ps, w ten sposób:
ps -f --pid $ (pgrep -u losst)
UID PID PPID C STIME TTY STAT TIME CMD
przegrana 14684 14676 0 22:15 pkt / 2 S 0:00 -bash
utrata 14735 14684 0 22:15 pkt / 2 S + 0:00 vi tekst
Teraz, gdy upewniłeś się, że nic nie jest tam ważne, możesz zabić wszystkie procesy za pomocą polecenia killall:
Killall -9 - przegrana
Opcja -9 mówi programowi, aby wysłał sygnał zakończenia SIGKILL do tych procesów, a -u określa nazwę użytkownika.
W systemach opartych na Red Hat pakiet psmisc musi być zainstalowany, aby używać killall:
sudo mniam zainstaluj psmisc
Tworzenie kopii zapasowej danych użytkownika
Nie jest to wcale konieczne, ale w przypadku poważnego projektu nie będzie zbyteczne tworzenie kopii zapasowej plików użytkownika, zwłaszcza jeśli mogą tam znajdować się ważne pliki. Aby to zrobić, możesz użyć na przykład narzędzia tar:
tar jcvf /user-backups/losst-backup.tar.bz2 / home / lostt
Usuwanie konta użytkownika
Teraz, gdy wszystko jest gotowe, zaczynamy usuwać użytkownika linux. Na wszelki wypadek wyraźnie wskażemy, że musisz usunąć pliki użytkownika i katalog domowy. Dla Debiana:
deluser --remove-home lostt
userdel --remove losst
Jeśli chcesz usunąć wszystkie pliki należące do użytkownika w systemie, użyj opcji --remove-all-files, po prostu bądź ostrożny, ponieważ ważne pliki mogą zostać nadpisane:
deluser --remove-all-files lostt
Użytkownik jest teraz całkowicie usunięty z systemu wraz z jego plikami i katalogiem domowym.
Usuwanie użytkownika w Ubuntu
Otworzyć Parametry systemu:
Otwórz przedmiot Konta:
Jak widać, teraz wszystkie akcje są niedostępne i są narysowane na szaro. Aby je aktywować, naciśnij przycisk odblokować i wprowadź hasło użytkownika.
Teraz, aby usunąć użytkownika w Linuksie, po prostu kliknij go myszą, a następnie kliknij znak minus.
W oknie, które się otworzy, możesz wybrać, co zrobić z plikami użytkownika:
Oczywiście tylko folder domowy zostanie usunięty, nie mówimy o wszystkich plikach. A dla poprawnego usunięcia użytkownik nie może pracować w systemie.
wnioski
Usunięcie użytkownika w Linuksie nie jest takie trudne, bez względu na to, gdzie należy to zrobić, na serwerze lub na komputerze domowym. Oczywiście interfejs graficzny jest wygodniejszy, ale terminal jak zwykle oferuje więcej opcji. Jeśli masz jakieś inne pomysły na ten temat, napisz w komentarzach!
Porozmawiajmy teraz trochę o zróżnicowaniu praw dostępu do różnych elementów. Mechanizm opisany w tym artykule jest fundamentalny w Linuksie i odpowiednio w Ubuntu, więc przeczytaj uważnie.
Użytkownicy i grupy
Linux w ogóle, a Ubuntu w szczególności to systemy wieloużytkownikowe, tj. jeden komputer może mieć kilku różnych użytkowników, każdy z własnymi ustawieniami, danymi i prawami dostępu do różnych funkcji systemu.
Oprócz użytkowników w Linuksie istnieją grupy, które rozróżniają prawa. Każda grupa, jak również pojedynczy użytkownik, ma określony zestaw praw dostępu do różnych elementów systemu, a każdy użytkownik należący do tej grupy automatycznie otrzymuje wszystkie uprawnienia grupy. Oznacza to, że grupy są potrzebne do grupowania użytkowników zgodnie z zasadą tego samego uprawnienia do wszelkich działań, jest to taka tautologia. Każdy użytkownik może być członkiem nieograniczonej liczby grup, a każda grupa może mieć dowolną liczbę użytkowników.
Na przykład Ubuntu ma jedną bardzo przydatną grupę: admin. Każdy członek tej grupy ma nieograniczone uprawnienia administracyjne. Mówiłem już o roli administratora w Ubuntu, więc jeśli już zapomniałeś, kto to jest, możesz odświeżyć swoją wiedzę. Użytkownik utworzony podczas instalacji Ubuntu automatycznie stanie się członkiem grupy adminów.
Możesz zarządzać użytkownikami i grupami za pomocą specjalnego narzędzia znajdującego się w menu System → Administracja → Użytkownicy i grupy.
Generalnie głównym obszarem zastosowania mechanizmu użytkowników i grup nie jest dokładnie delimitacja dostępu do różnych funkcji systemu, ale delimitacja dostępu do plików na dysku twardym. O tym postaram się porozmawiać dalej.
Uprawnienia do Linuksa
Każdy plik i katalog w systemie Linux ma użytkownika-właściciela i grupę właścicieli. Oznacza to, że każdy plik i katalog należy do jakiegoś użytkownika systemu i jakiejś grupy. Ponadto każdy plik i katalog ma trzy grupy praw dostępu: jedną dla użytkownika będącego właścicielem, jedną dla członków grupy właścicieli i jedną dla wszystkich pozostałych użytkowników systemu. Każda grupa składa się z praw do odczytu, zapisu i wykonywania pliku. W przypadku katalogów polecenie wykonania i odczytu zawsze idą w parze i oznaczają to samo.
Oznacza to, że zmieniając właścicieli tego lub innego pliku i różne grupy praw dostępu do niego, możesz elastycznie kontrolować dostęp do tego pliku. Na przykład, stając się właścicielem pliku i całkowicie odmawiając dostępu do niego wszystkim oprócz użytkownika będącego właścicielem, możesz ukryć zawartość i uniemożliwić innym użytkownikom zmianę tego pliku. To samo dzieje się z katalogami. Możesz na przykład zabronić zapisywania plików do katalogu, a nawet ukryć jego zawartość przed wzrokiem ciekawskich.
W tej chwili interesuje nas jedna niezwykle ważna konsekwencja takiej organizacji praw dostępu w systemie. Określony użytkownik Ubuntu jest właścicielem tylko swojego katalogu domowego i całej jego zawartości. W systemie ten katalog znajduje się w / home / nazwa użytkownika. Wszystkie inne pliki systemowe, w tym wszystkie aplikacje, ustawienia systemowe itd., znajdujące się na zewnątrz / w domu, należą głównie do użytkownika root. Pamiętaj, powiedziałem, że root jest użytkownikiem z nieograniczonymi uprawnieniami i nie może być używany bezpośrednio w Ubuntu. Tak więc wszystkie pliki i katalogi systemowe są własnością roota z jakiegoś powodu, wszystkie mają prawa do zmiany tylko dla użytkownika będącego właścicielem, więc nikt poza rootem nie może ingerować w system i zmieniać coś w plikach systemowych.
To jest świetne dla bezpieczeństwa, ale co zrobić, jeśli musisz zmienić jakiekolwiek pliki systemowe? Są tu dwa sposoby: po pierwsze, większość ustawień systemowych potrzebnych użytkownikowi można zmienić z uprawnieniami administratora z konfiguratorów graficznych, jest to najbardziej preferowany sposób. Po drugie, możesz tymczasowo zwiększyć swoje prawa do rootowania i robić, co chcesz.
Odbywa się to za pomocą narzędzia sudo i jego pochodnych. sudo to narzędzie wiersza poleceń. Pozwala ci "udawać" się jako root podczas wykonywania określonego polecenia, uzyskując w ten sposób nieograniczone prawa. Na przykład polecenie
Aktualizacja umiejętności Sudo
zaktualizuje dane o dostępnych dla Ciebie aplikacjach (wyjaśnię, dlaczego jest to konieczne w artykule o zarządzaniu programami). Sam zespół
Aktualizacja umiejętności
działa tylko wtedy, gdy jest uruchomiony przez roota. Jednak uruchamiając go z sudo, podszywasz się jako root, nie będąc rootem. Oczywiście, aby korzystać z sudo, musisz mieć uprawnienia administratora. Jednocześnie, gdy uruchomisz polecenie przez sudo, system poprosi Cię o hasło, ale ze względów bezpieczeństwa, gdy je wprowadzisz, nic nie zostanie Ci pokazane, żadnych gwiazdek, myślników, żadnych ptaków, nic. Nie przejmuj się, tak powinno być, wystarczy wejść do końca i nacisnąć Enter. Jeśli jesteś administratorem i wpisałeś hasło poprawnie, polecenie określone po sudo zostanie wykonane jako root.
Możesz robić, co chcesz, przez terminal, więc mając możliwość zostania rootem, możesz wykonać wszystkie potrzebne ustawienia. Czasami jednak wygodnie jest korzystać z aplikacji graficznych, mając jednocześnie prawa roota. Na przykład, jeśli chcesz skopiować pliki do katalogów systemowych. Aby uruchomić aplikacje graficzne jako root, otwórz okno dialogowe uruchamiania GNOME za pomocą Alt + F2 i wpisz
Gksudo nazwa_aplikacji
Na przykład, aby uruchomić menedżera plików Nautlus, wpisz
Gksudo nautilus
Dzięki uruchomionemu w ten sposób Nautilusowi możesz dowolnie zmieniać dowolne pliki na swoim komputerze.
Zachowaj szczególną ostrożność podczas używania Nautilusa jako roota! Możesz trwale usunąć dowolny plik systemowy bez żadnego ostrzeżenia, co może łatwo doprowadzić do niedziałania całego systemu.
Edycja plików konfiguracyjnych
Najważniejszym przykładem zastosowania opisanej powyżej technologii „udawania” przez roota jest edycja plików konfiguracyjnych systemu. Powiedziałem już, że wszystkie ustawienia systemowe i wszystkie aplikacje w Linuksie są przechowywane jako pliki tekstowe. Możesz więc edytować tylko pliki należące do Ciebie, czyli tylko ustawienia dotyczące Twojego użytkownika. Aby edytować parametry systemu, potrzebujesz uprawnień administratora.
Możesz otworzyć wiele plików, ale nie możesz niczego w nich zmienić, po prostu nie będziesz mógł zapisać operacji:
Oczywiście możesz otworzyć pliki konfiguracyjne jako root poprzez okno dialogowe uruchamiania aplikacji za pomocą polecenia
Gksudo gedit / ścieżka / do / plik
Gedit to standardowy edytor tekstu Ubuntu.
Jednak automatyczne uzupełnianie nie działa w oknie dialogowym uruchamiania, dlatego musisz ręcznie wpisać ścieżkę do pliku, co nie zawsze jest wygodne. Dlatego możesz użyć terminala do uruchomienia edytora tekstu jako superużytkownik, na przykład:
Należy pamiętać, że sudo jest narzędziem czysto konsolowym, więc nie można go używać w oknie dialogowym uruchamiania aplikacji, chociaż można za jego pośrednictwem uruchamiać aplikacje graficzne z terminala. Z drugiej strony gksudo jest narzędziem graficznym, więc nie powinno być używane w terminalu, chociaż nie jest to zabronione.
W rezultacie otworzy się edytor z możliwością zapisywania zmian.
Załóżmy, że jestem nowym użytkownikiem Ubuntu Linux 16.04.xx LTS. Mogę od razu mieć kilka pytań. Jak utworzyć nowego użytkownika sudo na moim serwerze? Jak dodać nowego użytkownika do pliku sudoer za pomocą opcji wiersza poleceń na Ubuntu?
Linux (i ogólnie Unix) ma administratora o nazwie root. Użytkownik root może zrobić wszystko i wszystko, przez co normalne korzystanie z systemu może stać się bardzo niebezpieczne. Możesz niepoprawnie wpisać komendę i zniszczyć system. Polecenie sudo umożliwia autoryzowanemu użytkownikowi uruchomienie polecenia jako superużytkownik (użytkownik root) lub inny użytkownik określony w polityce bezpieczeństwa. Często sudo jest używane na serwerach, aby zapewnić prawa i uprawnienia administratora zwykłym użytkownikom. W tym krótkim samouczku dowiesz się, jak utworzyć użytkownika sudo na Ubuntu.
Kilka kroków, które należy wykonać, aby utworzyć użytkownika sudo na Ubuntu
Więcej o grupie admin i grupie sudo na serwerze Ubuntu
Członkowie grupy administracyjnej mogą otrzymać uprawnienia administratora. Wszyscy członkowie grupy sudo uruchamiają dowolne polecenie na serwerze Ubuntu. Po prostu dodaj użytkownika do grupy sudo na serwerze Ubuntu. Grupa administratorów została znacznie zmniejszona od wersji Ubuntu 12.04 i nowszych. W związku z tym grupa administratorów już nie istnieje lub jest właśnie używana w Ubuntu 12.04 lub nowszym. Powód, dla którego to działa:
# grep -B1 -i "^% sudo" / etc / sudoers
$ sudo grep -B1 -i "^% sudo" / etc / sudoers
# Pozwól członkom grupy sudo wykonać dowolne polecenie% sudo ALL = (ALL: ALL) ALL
Rzućmy okiem na kilka praktycznych przykładów.
Jak mogę dodać nowego użytkownika o nazwie vivek do sudo za pomocą wiersza poleceń?
Otwórz terminal lub zaloguj się do zdalnego serwera:
$ szsz [e-mail chroniony]$ szsz [e-mail chroniony] { [e-mail chroniony]: / źródło) #
# adduser vivek$ sudo adduser vivek
Rysunek 01: Jak dodać nowego użytkownika na Ubuntu
Przykłady możliwych wyjść danych:
Jak utworzyć użytkownika sudo w Ubuntu dla konta vivek
Wpisz następujące polecenie:
# adduser vivek sudo
LUB użyj polecenia usermod, aby dodać użytkownika do grupy w systemie Linux:
# usermod -aG sudo vivek
$ sudo usermod -aG sudo vivek
$ sudo adduser vivek sudo
Przykłady możliwych wyjść danych:
Rysunek 02: Dodaj użytkownika vivek do sudo, aby uzyskać uprawnienia administratora
Potwierdź nowego użytkownika i członka grupy za pomocą:
$ identyfikator vivek
Przykłady możliwych wyjść danych:
Rysunek 03: Wyświetlanie informacji o użytkowniku i grupie
Użytkownik vivek może teraz zalogować się za pomocą polecenia ssh w następujący sposób:
$ szsz [e-mail chroniony]
Upewnij się, że vivek może użyć polecenia sudo:
$ kot sudo / etc / sudoers
Przy pierwszym użyciu polecenia sudo zostaniesz poproszony o podanie hasła do konta vivek. Więc wprowadź hasło vivek, aby uzyskać dostęp do roota. Każdy rodzaj polecenia z sudo musi być uruchamiany z uprawnieniami roota dla konta vivek. Aby uzyskać powłokę root, wpisz:
$ sudo –s
Przykłady możliwych wyjść danych:
Rysunek 03: Testowanie dostępu sudo dla konta użytkownika vivek
I tak to zrobiłeś. Możesz teraz zezwolić innym użytkownikom na uruchamianie sudo na serwerze Ubuntu i przyznać użytkownikom prawa administratora.
W tym materiale dowiesz się, jak utworzyć użytkownika, jak utworzyć zmianę hasła, uzyskać informacje o użytkowniku lub całkowicie je usunąć, utworzyć / zmienić / usunąć grupę, po przeczytaniu tego materiału możesz to wszystko zrobić z łatwością.
Pracujemy z użytkownikami i grupami, uczymy się zarządzać, tworzyć użytkowników, grupy, poruszać się po grupach i inne manipulacje z grupami w Ubuntu Linux.
Dodawanie użytkownika
Dodawanie użytkownika odbywa się za pomocą polecenia useradd. Przykład użycia:
Sudo useradd vasyapupkin
To polecenie utworzy nowego użytkownika vasyapupkin w systemie. Do zmiany ustawień utworzonego użytkownika służą następujące klawisze:
| Klucz | Opis |
|---|---|
| -b | Katalog podstawowy. Jest to katalog, w którym zostanie utworzony folder domowy użytkownika. Domyślny / domowy |
| -z | Komentarz. W nim możesz wpisać dowolny tekst. |
| -D | Nazwa katalogu domowego. Domyślnie nazwa pokrywa się z nazwą tworzonego użytkownika. |
| -mi | Data, po której użytkownik zostanie rozłączony. Określone w formacie RRRR-MM-DD. Domyślnie wyłączone. |
| -F | Blokowanie konta. Jeśli wartość wynosi 0, to zapis jest blokowany natychmiast po wygaśnięciu hasła, jeśli -1 - nie jest blokowany. Wartość domyślna to -1. |
| -g | Podstawowa grupa użytkownika. Możesz określić zarówno GID, jak i nazwę grupy. Jeśli parametr nie zostanie określony, zostanie utworzona nowa grupa, której nazwa pokrywa się z nazwą użytkownika. |
| -G | Lista grup, w których będzie się znajdował utworzony użytkownik |
| -k | Katalog szablonów. Pliki i foldery z tego katalogu zostaną umieszczone w katalogu domowym użytkownika. Domyślnie / etc / skel. |
| -m | Klucz wskazujący, że należy utworzyć folder domowy. Domyślny folder domowy nie stworzony. |
| -P | Hasło użytkownika. Domyślnie nie jest ustawione żadne hasło. |
| -s | Powłoka używana przez użytkownika. Domyślnie / bin / sh. |
| -u | Ręcznie ustaw UID na użytkownika. |
Domyślne opcje tworzenia użytkownika
Jeśli podczas tworzenia użytkownika nie określono dodatkowych kolców, przyjmowane są ustawienia domyślne. Możesz zobaczyć te ustawienia, uruchamiając
Dodaj użytkownika -D
Wynik będzie taki:
GROUP = 100HOME = / home INACTIVE = -1EXPIRE = SHELL = / bin / shSKEL = / etc / skel CREATE_MAIL_SPOOL = nie
Jeśli nie jesteś zadowolony z tych ustawień, możesz je zmienić, uruchamiając
Useradd -D-m-s / bin / bash
gdzie -m i -s są opcjami wziętymi z powyższej tabeli.
Zmiana użytkownika
Parametry użytkownika są zmieniane za pomocą narzędzia usermod. Przykład użycia:
Sudo usermod -c „To polecenie zmieni komentarz dla użytkownika” vasyapupkin
usermod używa tych samych opcji co useradd.
Zmień hasło
Hasło użytkownika można zmienić za pomocą narzędzia passwd.
Sudo passwd vasyapupkin
Podstawowe klucze hasła:
Uzyskiwanie informacji o użytkownikach
w - Wyświetla informacje (nazwę użytkownika, powłokę, czas logowania itp.) o wszystkich zalogowanych użytkownikach.
whoami - Wyświetla twoją nazwę użytkownika.
użytkownicy - wyświetla nazwy użytkowników pracujących w systemie.
groups nazwa użytkownika - wyświetla listę grup, których członkiem jest użytkownik.
Usuwanie użytkownika
Aby usunąć użytkownika, użyj narzędzia userdel. Przykład użycia:
Sudo userdel vasyapupkin
userdel ma tylko dwa główne klucze:
Zarządzanie grupą
Tworzenie grupy
Program groupadd tworzy nową grupę zgodnie z określonymi wartościami wiersza poleceń i domyślnymi ustawieniami systemu. Przykład użycia:
Grupa Sudododaj grupę testową
Klucze podstawowe:
Zmiana grupy
Możesz zmienić nazwę grupy, jej GID lub hasło za pomocą groupmod. Przykład:
Sudo groupmod -n newtestgroup testgroup # Zmieniono nazwę grupy z testgroup na newtestgroup
Opcje modów grupowych:
Usuwanie grupy
Usunięcie grupy przebiega tak:
Grupa testowa Sudo groupdel
groupdel nie ma dodatkowych parametrów.
Pliki konfiguracyjne
Możesz zmieniać parametry użytkowników i grup nie tylko za pomocą specjalnych narzędzi, ale także ręcznie. Wszystkie ustawienia są przechowywane w plikach tekstowych. Opis każdego z nich znajduje się poniżej.
/ etc / passwd
W pliku / etc / passwd przechowywane są wszystkie informacje o użytkownikach z wyjątkiem hasła. Jedna linia z tego pliku odpowiada opisowi jednego użytkownika. Orientacyjna treść linii przedstawia się następująco:
Vasyapupkin: x: 1000: 1000: Vasya Pupkin: / home / vpupkin: / bin / bash
Łańcuch składa się z kilku pól, oddzielonych od siebie dwukropkiem. Znaczenie każdego pola pokazano w tabeli.
Drugie i ostatnie pola są opcjonalne i mogą nie mieć znaczenia.
/ etc / grupa
W / etc / grupa, jak sama nazwa wskazuje, informacje o grupach są przechowywane. Jest to zapisane w podobnym / etc / passwd Formularz:
Wasyapupkin: x: 1000: wasyapupkin, petya
W tym pliku drugie i czwarte pole mogą być puste.
/ etc / cień
Plik / etc / cień przechowuje hasła w sobie, dlatego prawa ustawione w tym pliku nie pozwalają prostemu użytkownikowi na jego odczytanie. Przykład jednego z wpisów z tego pliku:
Vasyapupkin: $ 6 $ Yvp9VO2s $ VfI0t.o754QB3HcvVbz5hlOafmO.LaHXwfavJHniHNzq / bCI3AEo562hhiWLoBSqxLy7RJJNm3fwz.sdh80993: 0: 15993
Zarządzanie użytkownikami i grupami przez GUI
W obecnej wersji Ubuntu nie ma standardowego narzędzia do zarządzania grupami użytkowników systemu, więc domyślnie wszystkie akcje z grupami muszą być wykonywane w konsoli. Jednak do tych celów istnieje specjalne narzędzie o nazwie „Użytkownicy i grupy”.
Instalowanie graficznego narzędzia GUI do zarządzania grupami
Pakiet gnome-system-tools znajduje się w repozytorium Ubuntu, więc można go zainstalować jednym poleceniem:
Sudo apt-get install gnome-system-tools
Zarządzanie grupą
Aby dodawać, usuwać grupy, a także dodawać / usuwać użytkowników do / z określonych grup, należy przejść do menu Ubuntu / Dash - Narzędzia systemowe - Administracja - Użytkownicy i grupy, po kliknięciu przycisku "Zarządzaj grupami" w tym oknie , pojawi się okno wyświetlające wszystkie grupy obecne w systemie:
w którym, wybierając żądaną grupę i klikając „Właściwości”, możesz odhaczyć użytkowników, których należy dodać do grupy.
Zarządzanie użytkownikami jest ważną częścią bezpieczeństwa systemu. Nieefektywni użytkownicy i zarządzanie uprawnieniami często prowadzą wiele systemów do złamania zabezpieczeń. Dlatego ważne jest, aby wiedzieć, jak chronić swój serwer za pomocą prostych i skutecznych technik zarządzania kontami użytkowników.
Gdzie jest superużytkownik?
Twórcy Ubuntu podjęli świadomą decyzję o zablokowaniu domyślnego administracyjnego konta root we wszystkich instalacjach Ubuntu. Nie oznacza to, że konto root zostało usunięte lub nie można uzyskać do niego dostępu. Jest po prostu przypisywane hasło, które nie pasuje do żadnej możliwej zaszyfrowanej wartości, dlatego nie można go użyć do bezpośredniego logowania.
Zamiast tego zachęca się użytkowników do korzystania z narzędzia o nazwie sudo do przeniesienia obowiązków administracyjnych. Sudo umożliwia autoryzowanym użytkownikom tymczasowe podniesienie ich uprawnień przy użyciu własnego hasła zamiast znajomości hasła przypisanego do superużytkownika. Ta prosta, ale skuteczna technika zapewnia odpowiedzialność za wszystkie działania użytkownika i daje administracyjną uznaniową kontrolę nad tym, jakie działania może wykonywać użytkownik z określonymi uprawnieniami.
1. Jeśli z jakiegoś powodu chcesz zezwolić na konto superużytkownika, po prostu ustaw dla niego hasło:
Sudo passwd
Sudo poprosi o podanie hasła, a następnie poprosi o ustawienie nowego hasła roota, jak pokazano poniżej:
Hasło dla nazwy użytkownika: (wprowadź własne hasło) Wprowadź nowe hasło UNIX: (wprowadź nowe hasło administratora) Ponownie wpisz nowe hasło UNIX: (powtórz nowe hasło administratora) passwd: hasło zostało pomyślnie zaktualizowane
2. Użyj następującej składni passwd, aby zablokować konto root:
Sudo passwd -l root
człowiek sudo
Domyślnie pierwotny użytkownik utworzony przez instalator Ubuntu jest członkiem grupy „admin”, która jest dodawana do pliku / etc / sudoers jako użytkownicy autoryzowani przez sudo. Jeśli chcesz zezwolić innemu kontu na pełny dostęp superużytkownika przez sudo, po prostu dodaj go do grupy Admin.
Dodawanie i usuwanie użytkowników
Proces zarządzania lokalnymi użytkownikami i grupami jest prosty i nie różni się zbytnio od większości innych systemów operacyjnych GNU/Linux. Ubuntu i inne dystrybucje oparte na Debianie zachęcają do używania pakietu „adduser” do zarządzania kontami.
1. Aby dodać konto użytkownika, użyj następującej składni i postępuj zgodnie z monitami o podanie hasła i określenie cech, takich jak imię i nazwisko, numer telefonu itp.:
Sudo adduser nazwa użytkownika
2. Użyj następującej składni, aby usunąć użytkownika i jego grupę podstawową:
Nazwa użytkownika Sudo deluser
Usunięcie użytkownika nie powoduje usunięcia powiązanego katalogu domowego. Od Ciebie zależy, czy chcesz usunąć katalog ręcznie, czy pozostawić go zgodnie z zasadami przechowywania.
Pamiętaj, że każdy dodany później użytkownik z tym samym UID / GID co poprzedni będzie miał dostęp do tego katalogu, chyba że podejmiesz niezbędne środki ostrożności.
Możesz zmienić te wartości UID / GID katalogu na bardziej odpowiednie, takie jak wartości superużytkownika, i być może przenieść katalog, aby zapobiec przyszłym konfliktom:
Sudo chown -R root: root / home / username / sudo mkdir / home / archived_users / sudo mv / home / username / home / archived_users /
3. Aby tymczasowo zablokować lub odblokować, użyj następującej składni:
Sudo passwd -l nazwa użytkownika sudo passwd -u nazwa użytkownika
4. Aby dodać lub usunąć grupę osobistą, użyj odpowiednio następującej składni:
Sudo addgroup nazwa grupy sudo delgroup nazwa grupy
5. Aby dodać użytkownika do grupy, użyj:
Sudo adduser nazwa użytkownika nazwa grupy
Bezpieczeństwo profilu użytkownika
Kiedy tworzony jest nowy użytkownik, narzędzie adduser tworzy odpowiednio nowy nazwany katalog. / home / nazwa użytkownika... Domyślny profil jest generowany z zawartości znajdującej się w katalogu /etc/skel, który zawiera wszystkie podstawy generowania profili.
Jeśli Twój serwer jest domem dla wielu użytkowników, musisz zwrócić szczególną uwagę na uprawnienia do katalogów domowych użytkowników, aby zachować prywatność. Domyślnie tworzone są niestandardowe katalogi domowe z uprawnieniami do odczytu / wykonywania dla wszystkich. Oznacza to, że wszyscy użytkownicy mogą przeglądać i uzyskiwać dostęp do zawartości innych katalogów domowych. Może to nie być odpowiednie dla Twojego środowiska.
1. Użyj następującej składni, aby sprawdzić uprawnienia do katalogów domowych istniejących użytkowników:
Ls -ld / home / nazwa użytkownika
Poniższe dane wyjściowe pokazują, że katalog /home/nazwa_użytkownika ma dostęp do odczytu dla wszystkich:
Drwxr-xr-x 2 nazwa użytkownika nazwa użytkownika 4096 2007-10-02 20:03 nazwa użytkownika
2. Możesz usunąć uprawnienia do odczytu dla wszystkich, używając następującej składni:
Sudo chmod 0750 / strona główna / nazwa użytkownika
Niektórzy ludzie mają tendencję do używania opcji rekurencji (-R) na oślep, która zmienia wszystkie podrzędne katalogi i pliki, chociaż jest to opcjonalne i może prowadzić do innych niepożądanych konsekwencji. Sam katalog nadrzędny odmówi nieautoryzowanego dostępu do jakiejkolwiek jego zawartości.
Bardziej efektywnym podejściem do tego problemu byłaby zmiana domyślnych globalnych uprawnień dla Dodaj użytkownika podczas tworzenia katalogów domowych. Po prostu edytuj plik /etc/adduser.conf, aby zmienić zmienną DIR_MODE na bardziej odpowiednią, po czym wszystkie nowe katalogi domowe będą miały odpowiednie uprawnienia.
DIR_MODE = 0750
3. Po poprawieniu uprawnień do katalogu za pomocą dowolnej z wcześniej wymienionych technik, sprawdź wyniki za pomocą następującego polecenia:
Ls -ld / home / nazwa użytkownika
Poniższy wynik pokazuje, że uprawnienia do odczytu zostały usunięte dla wszystkich:
Drwxr-x --- 2 nazwa użytkownika nazwa użytkownika 4096 2007-10-02 20:03 nazwa użytkownika
Polityka haseł
Silna polityka haseł to jeden z najważniejszych aspektów Twojego podejścia do bezpieczeństwa. Wiele udanych naruszeń bezpieczeństwa wykorzystywało ataki brute force i słownikowe na słabe hasła. Jeśli zamierzasz korzystać z dowolnej formy zdalnego dostępu przy użyciu lokalnego systemu haseł, upewnij się, że wyznaczyłeś odpowiednie minimalne wymagania dotyczące hasła, maksymalny czas życia hasła i często sprawdzaj system uwierzytelniania.
Minimalna długość hasła
Domyślnie Ubuntu wymaga hasła o minimalnej długości 6 znaków, a także kilku podstawowych testów rozproszenia. Opcje te są kontrolowane przez plik /etc/pam.d/common-password i są wymienione poniżej:
Hasło pam_unix.so niejasne sha512
Jeśli chcesz ustawić minimalną długość na 8 znaków, zmień odpowiednią zmienną na min = 8. Zmiany są pokazane poniżej:
Hasło pam_unix.so niejasne sha512 min = 8
Podstawowe kontrole jakości i minimalne długości haseł nie dotyczą administratora korzystającego z poleceń poziomu sudo w celu skonfigurowania nowego użytkownika.
Żywotność hasła
Tworząc konta użytkowników, musisz utworzyć politykę minimalnego i maksymalnego okresu istnienia hasła, aby zmusić użytkowników do zmiany haseł po określonym czasie.
1. Aby łatwo sprawdzić aktualny stan konta użytkownika, użyj następującej składni:
Sudo chage -l nazwa użytkownika
Poniższe dane wyjściowe pokazują interesujące fakty dotyczące konta użytkownika, a mianowicie, że nie zastosowano żadnych zasad:
Ostatnia zmiana hasła: 20.01.2008 Hasło wygasa: nigdy Hasło nieaktywne: nigdy Konto wygasa: nigdy Minimalna liczba dni między zmianą hasła: 0 Maksymalna liczba dni między zmianą hasła: 99999 Liczba dni ostrzeżenia przed wygaśnięciem hasła: 7
2. Aby ustawić te wartości, po prostu użyj następującego polecenia i postępuj zgodnie z interaktywnymi monitami:
Sudo chage nazwa użytkownika
Poniżej znajduje się również przykład ręcznego zmiany wyraźnej daty wygaśnięcia hasła (-E) na 31.01.2008, minimalnego wieku hasła (-m) na 5 dni, maksymalnej daty wygaśnięcia (-M) na 90 dni, okres nieaktywności (-I) przez 5 dni po wygaśnięciu hasła i okres ostrzeżenia (-W) przez 14 dni przed wygaśnięciem hasła.
Sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 nazwa użytkownika
3. Aby sprawdzić zmiany, użyj tego samego polecenia, jak wspomniano powyżej:
Sudo chage -l nazwa użytkownika
Poniższe dane wyjściowe polecenia pokazują nowe zasady zastosowane do konta:
Ostatnia zmiana hasła: 20.01.2008 Hasło wygasło: 19.04.2008 Hasło nieaktywne: 19.05.2008 Konto wygasło: 31.01.2008 Minimalna liczba dni między zmianą hasła: 5 Maksymalna liczba dni między zmianą hasła: 90 Liczba dni ostrzeżenia przed wygaśnięciem hasła: 14
Inne względy bezpieczeństwa
Wiele aplikacji korzysta z alternatywnych mechanizmów uwierzytelniania, które mogą być łatwo przeoczone nawet przez doświadczonych administratorów systemów. Dlatego ważne jest, aby zrozumieć i kontrolować sposób, w jaki użytkownicy logują się i uzyskują dostęp do usług i aplikacji na serwerze.
Dostęp SSH przez zablokowanych użytkowników
Regularne rozłączanie/blokowanie nie wyklucza zdalnego połączenia użytkownika z serwerem, jeśli wcześniej został on skonfigurowany z uwierzytelnianiem klucza publicznego RSA. Tacy użytkownicy będą mogli uzyskać dostęp do powłoki konsoli na serwerze bez konieczności wprowadzania hasła. Pamiętaj, aby sprawdzić katalogi domowe użytkowników pod kątem plików, które umożliwiają ten typ uwierzytelniania SSH, na przykład /home/nazwa_użytkownika/.ssh/authorized_keys.
Usunięcie lub zmiana nazwy katalogu .ssh / w katalogu domowym użytkownika uniemożliwi dalsze uwierzytelnianie SSH.
Pamiętaj, aby sprawdzić wszelkie ustanowione połączenia SSH zablokowanych użytkowników, ponieważ mogą istnieć połączenia przychodzące lub wychodzące. Zabij wszystkich, których znajdziesz.
Ogranicz dostęp SSH tylko do kont użytkowników, które tego wymagają. Na przykład możesz utworzyć grupę o nazwie „sshlogin” i dodać nazwę grupy jako wartość zmiennej AllowGroups znajdującej się w pliku /etc/ssh/sshd_config.
Zezwól na sshlogowanie grup
Następnie dodaj użytkowników, którzy mają dostęp SSH do grupy „sshlogin” i uruchom ponownie usługę SSH.
Sudo adduser nazwa użytkownika sshlogin sudo service ssh restart
Uwierzytelnianie zewnętrznej bazy danych
Większość sieci korporacyjnych wymaga scentralizowanego uwierzytelniania i kontroli dostępu do wszystkich zasobów systemowych. Jeśli serwer został skonfigurowany do uwierzytelniania użytkowników w zewnętrznej bazie danych, należy wyłączyć zarówno konta zewnętrzne, jak i lokalne, aby mieć pewność, że nie można przywrócić uwierzytelniania lokalnego.