girişKullanıcı yönetimi. Ubuntu Sunucusu - Ubuntu kullanıcılarının yönetici hakları, kök ayrıcalıklarına sahip yeni kullanıcı
Bu eğitimde, verileri ve ana dizini ile birlikte bir Linux kullanıcısını nasıl sileceğimize bakacağız.
Büyük bir şirkette sistem yöneticisiyseniz, büyük olasılıkla linux kullanıcılarını silmek sizin için oldukça sık yapılan bir iştir. Bir hesap gereksiz hale geldikten veya bir kullanıcı kuruluştan ayrıldıktan sonra, güvenlik açıkları bırakmamak için hesabının silinmesi gerekir.
Linux kullanıcılarını silerken, yeni kullanıcılar ve dosyaları için depolama alanı boşaltmak için ana dizinlerini silmek de önemlidir. İlk olarak, terminali kullanarak bir Linux kullanıcısının nasıl silineceğine bakacağız, ardından en popüler dağıtımlardan biri olan Ubuntu'nun grafik arayüzünde bunun nasıl yapılacağı hakkında konuşacağız.
Gerçek ortama geçmeden önce, biraz alıştırma yapmanız gerekiyor, ev dizinleri ile birlikte kayıp ve kayıp1 olmak üzere iki kullanıcı oluşturalım ve sonra onları silelim:
adduser kayıp
$ şifre kaybı
adduser kayıp1
$ şifre kaybı1
Burada adduser komutu bir kullanıcı hesabı oluşturmak için, passwd ise bir parola oluşturmak için kullanılır.
Şimdi terminalde bir Linux kullanıcısının nasıl silineceğine bir göz atalım. Bunu yapmak için debian ve türetilmiş sistemlerde ve RedHat - userdel'de - deluser komutunu kullanın. Bu iki yardımcı programa daha yakından bakalım.
Deuser açıklaması
Deluser komutunun sözdizimi çok basittir:
$ deluser parametresi kullanıcısı
deluser komutunun ayarları /etc/deluser.conf dosyasında bulunur, diğer ayarların yanı sıra ev daddy ve kullanıcı dosyalarıyla ne yapılacağını belirtir.
Komutu çalıştırarak bu ayarları görüntüleyebilir ve değiştirebilirsiniz:
vi /etc/deluser.conf
Bu ayarlara daha yakından bakalım:
- REMOVE_HOME- kullanıcı ana dizinini sil
- REMOVE_ALL_FILES- tüm kullanıcı dosyalarını sil
- DESTEK OLMAK- kullanıcı dosyalarını yedekleyin
- BACKUP_TO- yedekleme klasörü
- ONLY_IF_EMPTY- boşsa kullanıcı grubunu silin.
Bu ayarlar, bir kullanıcı silinirken yardımcı programın varsayılan davranışını belirler, elbette, komut için parametreler kullanılarak geçersiz kılınabilirler.
Bu parametreler desteklenir, ayarlara benzerler, ancak daha fazla seçenek var:
- --sistem- yalnızca sistem kullanıcısıysa silin
- --destek olmak- kullanıcı dosyalarının yedek bir kopyasını oluşturun
- --yedekleme-to- yedeklemeler için klasör
- --evden kaldır- ana klasörü sil
- --remove-all-files- dosya sistemindeki tüm kullanıcı dosyalarını silin
userdel'in açıklaması
userdel yardımcı programı biraz farklı çalışır, burada yapılandırma dosyası yoktur, ancak yardımcı programa ne yapacağını söylemek için kullanabileceğiniz seçenekler vardır. Sözdizimi benzer:
$ userdel parametreleri kullanıcı
- -f, --kuvvet- kullanıcı hala oturum açmış olsa bile zorla silme
- -r, --kaldır- kullanıcının ana dizinini ve sistemdeki dosyalarını silin.
- -Z- bu kullanıcı için tüm SELinux nesnelerini silin.
Bir kullanıcıyı sunucudan kaldırmak için aşağıda tartışacağımız gelişmiş yöntemi kullanmak daha iyidir. Kullanıcılar sunucuyu kullandıklarında çeşitli programları ve hizmetleri başlatırlar. Bir kullanıcı ancak sunucuda oturum açmadıysa ve onun adına başlatılan tüm programlar durdurulursa düzgün bir şekilde silinebilir, çünkü programlar kullanıcıya ait çeşitli dosyaları kullanabilir ve bu onların silinmesini önleyecektir. Buna göre, kullanıcının dosyaları tamamen silinmeyecek ve sistemi tıkamaya devam edecektir.
Kullanıcı hesabı kilitleme
Bir kullanıcı hesabını kilitlemek için passwd yardımcı programını kullanabilirsiniz. Bu, kullanıcının sisteme erişimini reddedecek ve yeni işlemlerin başlamasını önleyecektir:
--lock parametresiyle passwd komutunu çalıştırın:
passwd --lock kayıp
passwd: parola süre sonu bilgisi değişti.
Çalışan tüm kullanıcı işlemlerini öldür
Şimdi kullanıcı adına çalışan tüm işlemleri bulalım ve sonlandıralım.
pgrep kullanarak süreçleri bulalım:
Bu işlemlerin ne olduğunu, pid'i her birini ps komutuna aşağıdaki gibi ileterek daha ayrıntılı olarak görebilirsiniz:
ps -f --pid $ (pgrep -u kayıp)
UID PID PPID C STIME TTY STAT TIME CMD
kayıp 14684 14676 0 22:15 puan / 2 S 0:00 -bash
kayıp 14735 14684 0 22:15 puan / 2 S + 0:00 vi metin
Artık orada hiçbir şeyin önemli olmadığından emin olduğunuza göre, killall komutunu kullanarak tüm işlemleri sonlandırabilirsiniz:
Killall -9 -u kayıp
-9 seçeneği, programa bu işlemlere SIGKILL sonlandırma sinyali göndermesini söyler ve -u kullanıcı adını belirtir.
Red Hat tabanlı sistemlerde, killall'ı kullanmak için psmisc paketinin yüklenmesi gerekir:
sudo yum psmisc'i yükle
Kullanıcı verilerini yedekleme
Bu hiç gerekli değildir, ancak ciddi bir proje için, özellikle orada önemli dosyalar varsa, kullanıcı dosyalarının yedek bir kopyasını oluşturmak gereksiz olmayacaktır. Bunu yapmak için, örneğin tar yardımcı programını kullanabilirsiniz:
tar jcvf /user-backups/lost-backup.tar.bz2 / ana sayfa / kayıp
Bir kullanıcı hesabını kaldırma
Artık her şey hazır olduğuna göre linux kullanıcısını silmeye başlıyoruz. Her ihtimale karşı, kullanıcının dosyalarını ve ana dizini silmeniz gerektiğini açıkça belirteceğiz. Debian için:
deluser --remove-home kayıp
userdel --kayıpları kaldır
Sistemde bir kullanıcının sahip olduğu tüm dosyaları silmeniz gerekiyorsa, --remove-all-files seçeneğini kullanın, önemli dosyaların üzerine yazılabileceğinden dikkatli olun:
deluser --remove-all-files kayıp
Kullanıcı, dosyaları ve ana dizini ile birlikte artık sisteminizden tamamen kaldırılmıştır.
Ubuntu'da bir kullanıcıyı kaldırma
aç Sistem parametreleri:
Öğeyi aç Hesaplar:
Gördüğünüz gibi, artık tüm eylemler kullanılamıyor ve gri renkte çiziliyor. Bunları etkinleştirmek için düğmeye basın engeli kaldırmak ve kullanıcı şifresini girin.
Şimdi, linux'ta bir kullanıcıyı silmek için, fare ile üzerine tıklayın ve ardından eksi işaretine tıklayın.
Açılan pencerede, kullanıcının dosyalarıyla ne yapacağınızı seçebilirsiniz:
Doğal olarak sadece ana klasör silinecek, tüm dosyalardan bahsetmiyoruz. Ve doğru silme işlemi için kullanıcının sistemde çalışmıyor olması gerekmektedir.
sonuçlar
Linux'ta bir kullanıcıyı silmek, nerede yapılması gerektiğine bakılmaksızın, sunucuda veya ev bilgisayarınızda o kadar da zor değil. Tabii ki, grafik arayüz daha uygundur, ancak terminal her zaman olduğu gibi daha fazla seçenek sunar. Bununla ilgili başka fikirleriniz varsa, yorumlara yazın!
Şimdi biraz erişim haklarının çeşitli unsurlara göre farklılaşmasından bahsedelim. Bu makalede açıklanan mekanizma Linux'ta ve buna bağlı olarak Ubuntu'da temeldir, bu yüzden dikkatlice okuyun.
Kullanıcılar ve gruplar
Genel olarak Linux ve özellikle Ubuntu çok kullanıcılı sistemlerdir, yani. bir bilgisayar, her biri kendi ayarlarına, verilerine ve çeşitli sistem işlevlerine erişim haklarına sahip birkaç farklı kullanıcıya sahip olabilir.
Linux'ta kullanıcılara ek olarak, hakları farklılaştıran gruplar vardır. Her grup ve ayrıca bireysel bir kullanıcı, sistemin çeşitli bileşenlerine belirli bir erişim hakları grubuna sahiptir ve bu grubun her bir kullanıcı-üyesi, grubun tüm haklarını otomatik olarak alır. Yani, herhangi bir eylem için aynı yetki ilkesine göre kullanıcıları gruplamak için gruplara ihtiyaç vardır, bu böyle bir totolojidir. Her kullanıcı sınırsız sayıda gruba üye olabilir ve her grubun istediğiniz kadar kullanıcısı olabilir.
Örneğin, Ubuntu'nun çok kullanışlı bir grubu vardır: admin. Bu grubun herhangi bir üyesi sınırsız yönetici ayrıcalığına sahiptir. Ubuntu'da yöneticinin rolü hakkında zaten konuştum, bu yüzden kim olduğunu unuttuysanız, bilginizi tazeleyebilirsiniz. Ubuntu kurulumu sırasında oluşturulan kullanıcı otomatik olarak admin grubunun bir üyesi olacaktır.
Menüde bulunan özel bir araç kullanarak kullanıcıları ve grupları yönetebilirsiniz. Sistem → Yönetim → Kullanıcılar ve Gruplar.
Genel olarak, kullanıcı ve grup mekanizmasının ana uygulama alanı, sistemin çeşitli işlevlerine erişimin tam olarak sınırlandırılması değil, sabit sürücüdeki dosyalara erişimin sınırlandırılmasıdır. Daha fazla bahsetmeye çalışacağım şey bu.
Linux izinleri
Linux'taki herhangi bir dosya ve dizinin bir sahip kullanıcısı ve bir sahip grubu vardır. Yani, herhangi bir dosya ve dizin, bazı sistem kullanıcılarına ve bazı gruplara aittir. Ayrıca, herhangi bir dosya ve dizinin üç erişim hakkı grubu vardır: biri sahip kullanıcı için, biri sahip grubun üyeleri için ve biri sistemdeki diğer tüm kullanıcılar için. Her grup, yürütme için dosyayı okuma, yazma ve yürütme haklarından oluşur. Dizinler için, yürütme ve okuma her zaman birlikte gider ve aynı anlama gelir.
Yani, şu veya bu dosyanın sahiplerini ve bu dosyaya çeşitli erişim hakları gruplarını değiştirerek, bu dosyaya erişimi esnek bir şekilde kontrol edebilirsiniz. Örneğin, kendinizi bir dosyanın sahibi yaparak ve sahip kullanıcı dışındaki herkesin bu dosyaya erişimini tamamen reddederek, içeriği gizleyebilir ve diğer tüm kullanıcıların bu dosyayı değiştirmesini önleyebilirsiniz. Aynı şey kataloglarda da olur. Örneğin, bir dizine dosya yazmayı yasaklayabilir, hatta içeriğini meraklı gözlerden gizleyebilirsiniz.
Şu anda sistemdeki böyle bir erişim hakları organizasyonunun son derece önemli bir sonucuyla ilgileniyoruz. Belirli bir Ubuntu kullanıcısı yalnızca kendi ana dizinine ve tüm içeriğine sahiptir. Sistemde bu dizin / home / username konumunda bulunur. Tüm uygulamalar, sistem ayarları vb. dahil olmak üzere sistemdeki diğer tüm dosyalar, harici / home öncelikle root'a aittir. Unutma, root sınırsız ayrıcalıklara sahip bir kullanıcıdır ve doğrudan Ubuntu'da kullanılamaz demiştim. Bu nedenle, tüm sistem dosyaları ve dizinleri bir nedenden dolayı root'a aittir, hepsinin sadece sahibi kullanıcı için değişiklik hakları vardır, bu nedenle root dışında hiç kimse sisteme müdahale edemez ve sistem dosyalarındaki bir şeyi değiştiremez.
Bu güvenlik için harikadır, ancak herhangi bir sistem dosyasını değiştirmeniz gerekirse ne olur? Burada iki yol vardır: birincisi, kullanıcı için gerekli olan sistem ayarlarının çoğu, grafiksel yapılandırıcılardan yönetici hakları ile değiştirilebilir, en çok tercih edilen yol budur. İkincisi, kök salma ve istediğinizi yapma haklarınızı geçici olarak artırabilirsiniz.
Bu, sudo yardımcı programı ve türevleri kullanılarak yapılır. sudo bir komut satırı yardımcı programıdır. Belirli bir komutu yürütürken "root"muş gibi davranmanıza, böylece sınırsız haklar elde etmenize olanak tanır. Örneğin, komut
Sudo yetenek güncellemesi
size sunulan uygulamalar hakkındaki verileri güncelleyecektir (bunun neden gerekli olduğunu program yönetimi makalesinde açıklayacağım). takımın kendisi
Yetenek güncellemesi
sadece root tarafından başlatılırsa çalışır. Ancak, sudo ile çalıştırarak, kök değilken kendinizi kök olarak taklit edersiniz. Doğal olarak, sudo kullanmak için yönetici haklarına sahip olmalısınız. Aynı zamanda komutu sudo üzerinden çalıştırdığınızda sistem sizden şifrenizi isteyecek ancak güvenlik nedeniyle girdiğinizde size hiçbir şey gösterilmeyecek, yıldız yok, tire yok, kuş yok, hiçbir şey yok. Endişelenme, olması gereken bu, sonuna kadar girip Enter'a basmanız yeterli. Yöneticiyseniz ve şifreyi doğru girdiyseniz, sudo'dan sonra belirtilen komut root olarak yürütülecektir.
Terminal üzerinden istediğinizi yapabilirsiniz, yani root olma özelliğine sahip olarak, ihtiyacınız olan tüm ayarları gerçekleştirebilirsiniz. Ancak, bazen kök haklarına sahipken grafik uygulamaları kullanmak uygundur. Örneğin, dosyaları sistem dizinlerine kopyalamanız gerekiyorsa. Grafik uygulamalarını root olarak çalıştırmak için Alt + F2 ile GNOME Başlatma İletişim Kutusunu açın ve şunu yazın
Gksudo uygulama_adı
Örneğin, Nautlus dosya yöneticisini başlatmak için şunu girin:
Gksudo nautilus
Bu şekilde başlatılan Nautilus sayesinde bilgisayarınızdaki herhangi bir dosyayı istediğiniz şekilde değiştirebilirsiniz.
Nautilus'u kök olarak kullanırken son derece dikkatli olun! Herhangi bir sistem dosyasını herhangi bir uyarı olmadan kalıcı olarak silebilirsiniz, bu da tüm sistemin kolayca çalışmamasına neden olabilir.
Yapılandırma dosyalarını düzenleme
Yukarıda açıklanan "rol yapma" teknolojisinin kök tarafından uygulanmasının en önemli örneği, sistemin yapılandırma dosyalarını düzenlemektir. Linux'taki tüm sistem ayarlarının ve tüm uygulamaların metin dosyaları olarak saklandığını zaten söylemiştim. Böylece sadece size ait olan dosyaları yani sadece kullanıcınızla ilgili ayarları düzenleyebilirsiniz. Ve sistem parametrelerini düzenlemek için yönetici haklarına ihtiyacınız var.
Birçok dosya açabilirsiniz, ancak bunlarda hiçbir şeyi değiştiremezsiniz, işlemi kaydedemezsiniz:
Elbette, komutla uygulama başlatma iletişim kutusundan yapılandırma dosyalarını root olarak açabilirsiniz.
Gksudo gedit / yol / dosya / dosya
Gedit, standart Ubuntu metin düzenleyicisidir.
Ancak, başlangıç iletişim kutusunda otomatik tamamlama çalışmaz, bu nedenle dosyanın yolunu manuel olarak yazmanız gerekir, bu her zaman uygun değildir. Bu nedenle, bir metin düzenleyiciyi süper kullanıcı olarak başlatmak için terminali kullanabilirsiniz, örneğin:
Lütfen sudo'nun tamamen bir konsol yardımcı programı olduğunu unutmayın, bu nedenle onu uygulama başlatma iletişim kutusunda kullanamazsınız, ancak bunun üzerinden terminalden grafik uygulamaları başlatabilirsiniz. Öte yandan, gksudo grafiksel bir yardımcı programdır, bu nedenle yasak olmasa da terminalde kullanılmamalıdır.
Sonuç olarak, değişiklikleri kaydetme özelliğine sahip bir düzenleyici açılır.
Yeni bir Ubuntu Linux 16.04.xx LTS kullanıcısı olduğumu varsayalım. Hemen bir takım sorularım olabilir. Sunucumda nasıl yeni bir sudo kullanıcısı oluşturabilirim? Ubuntu'da komut satırı seçeneğini kullanarak sudoer dosyasına yeni kullanıcı nasıl eklenir?
Linux (ve genel olarak Unix) root adında bir süper kullanıcıya sahiptir. Kök kullanıcı her şeyi yapabilir ve bu nedenle sistemin normal kullanımı çok tehlikeli hale gelebilir. Komutu yanlış girebilir ve sistemi bozabilirsiniz. Sudo komutu, yetkili bir kullanıcının komutu süper kullanıcı (kök kullanıcı) veya güvenlik ilkesinde belirtildiği gibi başka bir kullanıcı olarak çalıştırmasını sağlar. Genellikle sudo, normal kullanıcılar için yönetici hakları ve ayrıcalıkları sağlamak için sunucularda kullanılır. Bu hızlı eğitimde, Ubuntu'da nasıl sudo kullanıcısı oluşturulacağını öğreneceksiniz.
Ubuntu'da bir sudo kullanıcısı oluşturmak için atılması gereken birkaç adım
Ubuntu sunucusunda yönetici grubu ve sudo grubu hakkında daha fazla bilgi
Yönetim grubunun üyeleri kök ayrıcalıkları alabilir. Sudo grubunun tüm üyeleri, Ubuntu sunucusunda herhangi bir komutu çalıştırır. Bu nedenle, kullanıcıyı Ubuntu sunucusundaki sudo grubuna eklemeniz yeterlidir. Yönetici grubu, Ubuntu 12.04 ve sonraki sürümlerden bu yana önemli ölçüde azaltılmıştır. Bu nedenle, yönetici grubu artık mevcut değil veya yalnızca Ubuntu 12.04 veya daha yüksek sürümlerde kullanılıyor. Çalışmasının nedeni:
# grep -B1 -i "^% sudo" / etc / sudoers
$ sudo grep -B1 -i "^% sudo" / etc / sudoers
# Sudo grubunun üyelerinin herhangi bir komutu yürütmesine izin ver % sudo ALL = (ALL: ALL) ALL
Bazı pratik örneklere bir göz atalım.
Komut satırını kullanarak sudo'ya vivek adlı yeni bir kullanıcıyı nasıl ekleyebilirim?
Bir terminal açın veya uzak sunucunuza giriş yapın:
$ ssh [e-posta korumalı]$ ssh [e-posta korumalı] { [e-posta korumalı]: / kök) #
# adduser vivek$ sudo adduser vivek
Şekil 01: Ubuntu'da Yeni Bir Kullanıcı Nasıl Eklenir
Olası veri çıktılarına örnekler:
Vivek hesabı için Ubuntu'da sudo kullanıcısı nasıl oluşturulur
Aşağıdaki komutu girin:
# adduser vivek sudo
VEYA Linux'ta bir gruba kullanıcı eklemek için usermod komutunu kullanın:
# usermod -aG sudo vivek
$ sudo usermod -aG sudo vivek
$ sudo adduser vivek sudo
Olası veri çıktılarına örnekler:
Şekil 02: Yönetici haklarını almak için sudo'ya vivek kullanıcısı ekleyin
Yeni kullanıcıyı ve grup üyesini şu şekilde onaylayın:
$ kimliği vivek
Olası veri çıktılarına örnekler:
Şekil 03: Kullanıcı ve Grup Bilgilerini Görüntüle
Vivek kullanıcısı artık şu şekilde ssh komutunu kullanarak giriş yapabilir:
$ ssh [e-posta korumalı]
Vivek'in sudo komutunu kullanabileceğinden emin olun:
$ sudo kedisi / vb / sudoers
sudo komutunu ilk kez kullandığınızda, sizden vivek hesap şifreniz istenecektir. Bu yüzden root erişimi elde etmek için vivek şifresini girin. Sudo ile herhangi bir komut türü, vivek hesabı için kök ayrıcalıklarıyla çalıştırılmalıdır. Kök kabuk almak için şunu girin:
$ sudo –s
Olası veri çıktılarına örnekler:
Şekil 03: vivek kullanıcı hesabı için sudo erişimini test etme
Ve sen de yaptın. Artık diğer kullanıcıların Ubuntu sunucusunda sudo çalıştırmasına ve kullanıcılara yönetici hakları vermesine izin verebilirsiniz.
Bu materyalde nasıl kullanıcı oluşturulacağını, şifre değiştirmeyi, bir kullanıcı hakkında bilgi almayı veya tamamen silmeyi, bir grup oluşturmayı / değiştirmeyi / silmeyi öğreneceksiniz, bu materyali okuduktan sonra tüm bunları kolaylıkla yapabilirsiniz.
Ubuntu Linux'ta kullanıcılar ve gruplarla çalışıyoruz, yönetmeyi, kullanıcılar, gruplar oluşturmayı, gruplara göre hareket etmeyi ve gruplarla diğer manipülasyonları öğreniyoruz.
kullanıcı ekleme
Kullanıcı ekleme, useradd komutu kullanılarak yapılır. Kullanım örneği:
Sudo useradd vasyapupkin
Bu komut sistemde yeni bir kullanıcı vasyapupkin oluşturacaktır. Oluşturulan kullanıcının ayarlarını değiştirmek için aşağıdaki tuşları kullanabilirsiniz:
| Anahtar | Tanım |
|---|---|
| -B | Temel dizin. Bu, kullanıcının ana klasörünün oluşturulacağı dizindir. Varsayılan / ana sayfa |
| -ile birlikte | Bir yorum. İçinde herhangi bir metin yazabilirsiniz. |
| -NS | Ana dizin adı. Varsayılan olarak ad, oluşturulan kullanıcının adıyla aynıdır. |
| -e | Kullanıcının bağlantısının kesileceği tarih. YYYY-AA-GG formatında belirtilir. Varsayılan olarak devre dışıdır. |
| -F | Hesap engelleme. Değer 0 ise, parolanın süresi dolduktan hemen sonra yazma engellenir, -1 ise - engellenmez. Varsayılan -1'dir. |
| -G | Kullanıcının birincil grubu. Hem GID'yi hem de grup adını belirtebilirsiniz. Parametre belirtilmezse, adı kullanıcı adıyla çakışan yeni bir grup oluşturulur. |
| -G | Oluşturulan kullanıcının bulunacağı grupların listesi |
| -k | Şablonların kataloğu. Bu dizindeki dosya ve klasörler, kullanıcının ana klasörüne yerleştirilecektir. Varsayılan olarak, / etc / skel. |
| -m | Bir ana klasörün oluşturulması gerektiğini belirten bir anahtar. Varsayılan ana klasör oluşturulmadı. |
| -P | Kullanıcı şifresi. Varsayılan olarak, herhangi bir parola ayarlanmamıştır. |
| -s | Kullanıcı tarafından kullanılan kabuk. Varsayılan olarak / bin / sh. |
| -u | UID'yi kullanıcıya manuel olarak ayarlayın. |
Varsayılan Kullanıcı Oluşturma Seçenekleri
Kullanıcı oluşturulurken ek dikenler belirtilmemişse varsayılan ayarlar alınır. Çalıştırarak bu ayarları görebilirsiniz.
Kullanıcı ekleme -D
Sonuç şöyle bir şey olacaktır:
GROUP = 100HOME = / home AKTİF DEĞİL = -1EXPIRE = SHELL = / bin / shSKEL = / etc / skel CREATE_MAIL_SPOOL = hayır
Bu ayarlardan memnun değilseniz, çalıştırarak değiştirebilirsiniz.
Useradd -D-m-s / bin / bash
burada -m ve -s yukarıdaki tablodan alınan seçeneklerdir.
Kullanıcı değişikliği
Kullanıcı parametreleri, usermod yardımcı programı kullanılarak değiştirilir. Kullanım örneği:
Sudo usermod -c "Bu komut, yorumu kullanıcıya göre değiştirecek" vasyapupkin
usermod, useradd ile aynı seçenekleri kullanır.
şifre değiştir
passwd yardımcı programını kullanarak bir kullanıcının parolasını değiştirebilirsiniz.
Sudo passwd vasyapupkin
Temel şifre anahtarları:
Kullanıcılar hakkında bilgi alma
w - Oturum açmış tüm kullanıcılarla ilgili bilgileri (kullanıcı adı, kabuk, oturum açma zamanı vb.) görüntüler.
whoami - Kullanıcı adınızı görüntüler.
kullanıcılar - sistemde çalışan kullanıcıların adlarını görüntüler.
gruplar kullanıcı adı - kullanıcının üyesi olduğu grupların listesini görüntüler.
Bir kullanıcıyı silme
Bir kullanıcıyı silmek için userdel yardımcı programını kullanın. Kullanım örneği:
Sudo userdel vasyapupkin
userdel'in yalnızca iki ana anahtarı vardır:
Grup yönetimi
Grup oluşturma
groupadd programı, belirtilen komut satırı değerlerine ve sistem varsayılanlarına göre yeni bir grup oluşturur. Kullanım örneği:
Sudo grubu test grubu ekle
Temel Tuşlar:
Grup değişikliği
groupmod'u kullanarak bir grubun adını, GID'sini veya şifresini değiştirebilirsiniz. Örnek:
Sudo groupmod -n newtestgroup testgroup # Grup adı testgroup'tan newtestgroup olarak değiştirildi
Grup modu seçenekleri:
Bir grubu silme
Bir grubu silmek şu şekilde olur:
Sudo groupdel test grubu
groupdel'in ek parametresi yoktur.
Yapılandırma dosyaları
Kullanıcıların ve grupların parametrelerini yalnızca özel yardımcı programlar yardımıyla değil, manuel olarak da değiştirebilirsiniz. Tüm ayarlar metin dosyalarında saklanır. Her birinin açıklaması aşağıda verilmiştir.
/ vb / şifre
Dosyada / vb / şifre kullanıcılarla ilgili tüm bilgiler şifre dışında saklanır. Bu dosyadan bir satır, bir kullanıcının açıklamasına karşılık gelir. Hattın yaklaşık içeriği aşağıdaki gibidir:
Vasyapupkin: x: 1000: 1000: Vasya Pupkin: / ana sayfa / vpupkin: / bin / bash
Bir dize, her biri diğerinden iki nokta üst üste ile ayrılmış birkaç alandan oluşur. Her alanın anlamı tabloda gösterilmiştir.
İkinci ve son alanlar isteğe bağlıdır ve önemli olmayabilir.
/ vb / grup
İÇİNDE / vb / grup, adından da anlaşılacağı gibi, gruplarla ilgili bilgiler saklanır. Benzer şekilde kaydedilir / vb / şifre biçim:
Vasyapupkin: x: 1000: vasyapupkin, petya
Bu dosyada ikinci ve dördüncü alanlar boş olabilir.
/ vb / gölge
Dosya / vb / gölgeşifreleri kendi içinde saklar, bu nedenle bu dosyada belirlenen haklar basit bir kullanıcının onu okumasına izin vermez. Bu dosyadaki girişlerden birine bir örnek:
Vasyapupkin: $ 6 $ Yvp9VO2s $ VfI0t.o754QB3HcvVbz5hlOafmO.LaHXwfavJHniHNzq / bCI3AEo562hhiWLoBSqxLy7RJJNm3fwz.sdh80993: 0: 15993
GUI aracılığıyla kullanıcı ve grup yönetimi
Ubuntu'nun mevcut sürümünde, sistem kullanıcı gruplarını yönetmek için standart bir yardımcı program yoktur, bu nedenle varsayılan olarak gruplarla tüm eylemler konsolda gerçekleştirilmelidir. Ancak, bu amaçlar için "Kullanıcılar ve Gruplar" adı verilen özel bir yardımcı program vardır.
Grup yönetimi için bir grafik GUI yardımcı programı yükleme
Gnome-system-tools paketi Ubuntu deposunda bulunur, bu nedenle tek bir komutla kurulabilir:
Sudo apt-get install gnome-system-tools
Grup yönetimi
Grupları eklemek, kaldırmak ve ayrıca belirli gruplara / gruplardan kullanıcı eklemek / kaldırmak için, bu penceredeki "Grupları Yönet" düğmesini tıkladıktan sonra Ubuntu / Dash Menüsü - Sistem Yardımcı Programları - Yönetim - Kullanıcılar ve Gruplar'a gitmeniz gerekir. , sistemde bulunan tüm grupları gösteren bir pencere göreceksiniz:
burada, istediğiniz grubu seçip "Özellikler"e tıklayarak gruba eklenmesi gereken kullanıcıları işaretleyebilirsiniz.
Kullanıcı yönetimi, sistem güvenliğinin önemli bir parçasıdır. Yetersiz kullanıcılar ve ayrıcalık yönetimi, çoğu zaman birçok sistemin taviz vermesine neden olur. Bu nedenle, sunucunuzu basit ve etkili kullanıcı hesabı yönetimi teknikleriyle nasıl güvence altına alacağınızı anlamanız önemlidir.
Süper kullanıcı nerede?
Ubuntu geliştiricileri, tüm Ubuntu kurulumlarında varsayılan yönetici kök hesabını engellemek için bilinçli bir karar verdi. Bu, kök hesabın silindiği veya erişilemeyeceği anlamına gelmez. Herhangi bir olası şifrelenmiş değerle eşleşmeyen bir parola atanır, bu nedenle doğrudan oturum açmak için kullanılamaz.
Bunun yerine, kullanıcılar adlı bir aracı kullanmaya teşvik edilir. sudo idari sorumlulukları devretmek. sudo yetkili kullanıcıların, süper kullanıcıya atanan parolayı bilmek yerine kendi parolalarını kullanarak ayrıcalıklarını geçici olarak yükseltmelerine olanak tanır. Bu basit ama etkili teknik, tüm kullanıcı eylemleri için hesap verebilirlik sağlar ve belirli ayrıcalıklara sahip bir kullanıcının hangi eylemleri gerçekleştirebileceği konusunda idari takdir yetkisi verir.
1. Herhangi bir nedenle süper kullanıcı hesabına izin vermek istiyorsanız, bunun için bir şifre belirlemeniz yeterlidir:
sudo şifresi
Sudo sizden parolanızı ister ve ardından aşağıda gösterildiği gibi yeni bir kök parola belirlemenizi ister:
Kullanıcı adı için parola: (kendi parolanızı girin) Yeni UNIX parolasını girin: (yeni süper kullanıcı parolasını girin) Yeni UNIX parolasını yeniden yazın: (yeni süper kullanıcı parolasını tekrarlayın) passwd: parola başarıyla güncellendi
2. Kök hesabı kilitlemek için aşağıdaki passwd sözdizimini kullanın:
Sudo passwd -l kök
Adam sudo
Varsayılan olarak, Ubuntu yükleyicisi tarafından oluşturulan orijinal kullanıcı, / etc / sudoers dosyasına sudo yetkili kullanıcılar olarak eklenen "admin" grubunun bir üyesidir. Başka bir hesaba tam süper kullanıcı erişimine izin vermek istiyorsanız, sudo, sadece gruba ekleyin yönetici.
Kullanıcı ekleme ve kaldırma
Yerel kullanıcıları ve grupları yönetme süreci basittir ve diğer çoğu GNU / Linux işletim sisteminden çok farklı değildir. Ubuntu ve diğer Debian tabanlı dağıtımlar, hesap yönetimi için "adduser" paketinin kullanımını teşvik eder.
1. Bir kullanıcı hesabı eklemek için, aşağıdaki söz dizimini kullanın ve bir parola belirleme ve tam ad, telefon numarası vb. gibi tanımlayıcı özellikler için istemleri izleyin:
Sudo adduser kullanıcı adı
2. Bir kullanıcıyı ve birincil grubunu silmek için aşağıdaki sözdizimini kullanın:
Sudo deluser kullanıcı adı
Bir kullanıcının kaldırılması, ilişkili ana dizini kaldırmaz. Dizini manuel olarak silmek mi yoksa saklama ilkelerinize göre bırakmak mı size kalmış.
Daha sonra aynı UID / GID ile eklenen herhangi bir kullanıcının, gerekli önlemleri almadığınız sürece bu dizine erişimi olacağını unutmayın.
Bu dizin UID / GID değerlerini, süper kullanıcı değerleri gibi daha uygun bir şeye değiştirmek ve belki de gelecekteki çakışmaları önlemek için dizini taşımak isteyebilirsiniz:
Sudo chown -R kökü: kök / ev / kullanıcı adı / sudo mkdir / ev / arşivlenmiş_kullanıcılar / sudo mv / ev / kullanıcı adı / ev / arşivlenmiş_kullanıcılar /
3. Geçici olarak engellemek veya engellemeyi kaldırmak için aşağıdaki sözdizimini kullanın:
Sudo passwd -l kullanıcı adı sudo passwd -u kullanıcı adı
4. Bir Kişisel Grup eklemek veya kaldırmak için sırasıyla aşağıdaki sözdizimini kullanın:
Sudo addgroup grup adı sudo delgroup grup adı
5. Bir gruba kullanıcı eklemek için şunu kullanın:
Sudo adduser kullanıcı adı grup adı
Kullanıcı profili güvenliği
Yeni bir kullanıcı oluşturulduğunda, adduser yardımcı programı buna göre yeni bir adlandırılmış dizin oluşturur. / ana sayfa / kullanıcı adı... Varsayılan profil, / etc / skel dizininde bulunan ve profil oluşturmaya ilişkin tüm temel bilgileri içeren içerikten oluşturulur.
Sunucunuz çok sayıda kullanıcıya ev sahipliği yapıyorsa, gizliliği korumak için kullanıcının ana dizinlerindeki izinlere çok dikkat etmelisiniz. Varsayılan olarak, herkes için okuma/yürütme izinleriyle özel ana dizinler oluşturulur. Bu, tüm kullanıcıların diğer ana dizinlerin içeriğini görüntüleyebileceği ve bunlara erişebileceği anlamına gelir. Bu, ortamınız için uygun olmayabilir.
1. Mevcut kullanıcıların ana dizinlerindeki izinleri kontrol etmek için aşağıdaki söz dizimini kullanın:
Ls -ld / ev / kullanıcı adı
Aşağıdaki çıktı, / home / username dizininin herkes için okuma erişimine sahip olduğunu gösterir:
Drwxr-xr-x 2 kullanıcı adı 4096 2007-10-02 20:03 kullanıcı adı
2. Aşağıdaki sözdizimini kullanarak herkesin okuma izinlerini kaldırabilirsiniz:
Sudo chmod 0750 / ana sayfa / kullanıcı adı
Bazı insanlar, isteğe bağlı olmasına ve diğer istenmeyen sonuçlara yol açabilmesine rağmen, tüm alt dizinleri ve dosyaları değiştiren özyineleme (-R) seçeneğini ayrım gözetmeksizin kullanma eğilimindedir. Ana dizinin kendisi, içeriğinden herhangi birine yetkisiz erişimi reddedecektir.
Bu soruna daha etkili bir yaklaşım, varsayılan genel izinleri değiştirmek olacaktır. Kullanıcı Ekle ev dizinleri oluştururken. DIR_MODE değişkenini daha uygun bir şeyle değiştirmek için /etc/adduser.conf dosyasını düzenlemeniz yeterlidir, bundan sonra tüm yeni ana dizinler doğru izinlere sahip olacaktır.
DIR_MODE = 0750
3. Daha önce bahsedilen tekniklerden herhangi birini kullanarak dizin izinlerini düzelttikten sonra, aşağıdaki komutu kullanarak sonuçları kontrol edin:
Ls -ld / ev / kullanıcı adı
Aşağıdaki sonuç, okuma izinlerinin herkes için kaldırıldığını gösteriyor:
Drwxr-x --- 2 kullanıcı adı kullanıcı adı 4096 2007-10-02 20:03 kullanıcı adı
Şifre politikası
Güçlü bir parola politikası, güvenlik yaklaşımınızın en önemli yönlerinden biridir. Birçok başarılı güvenlik ihlali, zayıf parolalara karşı kaba kuvvet ve sözlük saldırıları kullandı. Yerel parola sisteminizi kullanarak herhangi bir uzaktan erişim biçimi kullanmayı düşünüyorsanız, yeterli minimum parola gereksinimleri, maksimum parola ömrü atadığınızdan emin olun ve kimlik doğrulama sisteminizi sık sık kontrol edin.
Minimum şifre uzunluğu
Varsayılan olarak Ubuntu, bazı temel dağılım kontrollerinin yanı sıra minimum 6 karakter uzunluğunda bir parola gerektirir. Bu seçenekler /etc/pam.d/common-password dosyası tarafından kontrol edilir ve aşağıda listelenmiştir:
Parola pam_unix.so belirsiz sha512
Minimum uzunluğu 8 karakter olarak ayarlamak istiyorsanız, karşılık gelen değişkeni min = 8 olarak değiştirin. Değişiklikler aşağıda gösterilmiştir:
Parola pam_unix.so belirsiz sha512 dk = 8
Temel kalite kontrolleri ve minimum parola uzunlukları, yeni bir kullanıcı ayarlamak için sudo düzeyinde komutlar kullanan bir yönetici için geçerli değildir.
Şifre ömrü
Kullanıcı hesapları oluştururken, belirli bir süre sonra kullanıcıları parolalarını değiştirmeye zorlamak için minimum ve maksimum parola ömrü politikası oluşturmalısınız.
1. Bir kullanıcı hesabının mevcut durumunu kolayca görüntülemek için aşağıdaki sözdizimini kullanın:
Sudo chage -l kullanıcı adı
Aşağıdaki çıktı, kullanıcı hesabıyla ilgili ilginç gerçekleri gösterir, yani uygulanan hiçbir politika yoktur:
Son şifre değişikliği: 20 Ocak 2008 Şifre süresi doluyor: asla Şifre etkin değil: asla Hesabın süresi dolmaz: asla Şifre değişikliği arasındaki minimum gün sayısı: 0 Şifre değişikliği arasındaki maksimum gün sayısı: 99999 Şifrenin süresi dolmadan önceki uyarı gün sayısı: 7
2. Bu değerleri ayarlamak için aşağıdaki komutu kullanın ve etkileşimli komutları izleyin:
Sudo chage kullanıcı adı
Aşağıda ayrıca açık parola son kullanma tarihini (-E) 01/31/2008, minimum parola yaşını (-m) 5 gün, maksimum son kullanma tarihini (-M) 90 olarak manuel olarak nasıl değiştirebileceğinize bir örnek verilmiştir. gün, şifrenin süresi dolduktan sonra 5 gün süreyle hareketsizlik süresi (-I) ve şifrenin süresi dolmadan önce 14 gün için bir uyarı süresi (-W).
Sudo chage -E 31/01/2011 -m 5 -M 90 -I 30 -W 14 kullanıcı adı
3. Değişiklikleri kontrol etmek için yukarıda belirtilen komutun aynısını kullanın:
Sudo chage -l kullanıcı adı
Aşağıdaki komut çıktısı, hesaba uygulanan yeni ilkeleri gösterir:
Son şifre değişikliği: 20 Ocak 2008 Şifrenin süresi doluyor: 19 Nisan 2008 Şifre etkin değil: 19 Mayıs 2008 Hesabın süresi doluyor: 31 Ocak 2008 Şifre değişikliği arasındaki minimum gün sayısı: 5 Şifre değişikliği arasındaki maksimum gün sayısı: 90 Gün sayısı parolanın süresi dolmadan önce uyarı: 14
Diğer güvenlik hususları
Birçok uygulama, deneyimli sistem yöneticilerinin bile kolayca gözden kaçırabileceği alternatif kimlik doğrulama mekanizmalarını kullanır. Bu nedenle, kullanıcıların nasıl oturum açtığını ve sunucunuzdaki hizmetlere ve uygulamalara nasıl eriştiğini anlamak ve kontrol etmek önemlidir.
Engellenen kullanıcılar tarafından SSH erişimi
Düzenli bağlantı kesme/engelleme, daha önce RSA ortak anahtar kimlik doğrulaması ile ayarlanmışsa, kullanıcının sunucuya uzaktan bağlantısını dışlamaz. Bu tür kullanıcılar, herhangi bir şifre girmek zorunda kalmadan sunucu üzerindeki konsol kabuğuna erişebileceklerdir. Bu tür SSH kimlik doğrulamasına izin veren dosyalar için kullanıcı ana dizinlerini kontrol etmeyi unutmayın, örneğin /home/username/.ssh/yetkili_keys.
Kullanıcının ana dizinindeki .ssh / dizininin silinmesi veya yeniden adlandırılması, daha fazla SSH kimlik doğrulamasının yapılabilmesini önleyecektir.
Gelen veya giden bağlantılar olabileceğinden, engellenen kullanıcıların kurulu SSH bağlantılarını kontrol ettiğinizden emin olun. Bulduğunuz herkesi öldürün.
SSH erişimini yalnızca bunları gerektiren kullanıcı hesaplarıyla sınırlayın. Örneğin, "sshlogin" adında bir grup oluşturabilir ve grup adını / etc / ssh / sshd_config dosyasında bulunan AllowGroups değişkeni için değer olarak ekleyebilirsiniz.
AllowGroups sshlogin
Ardından SSH erişimine izin verilen kullanıcılarınızı "sshlogin" grubuna ekleyin ve SSH hizmetini yeniden başlatın.
Sudo adduser kullanıcı adı sshlogin sudo hizmeti ssh yeniden başlatma
Harici veritabanı kimlik doğrulaması
Çoğu kurumsal ağ, tüm sistem kaynakları için merkezi kimlik doğrulama ve erişim denetimi gerektirir. Sunucunuzu, kullanıcıların kimliğini harici bir veritabanında doğrulayacak şekilde yapılandırdıysanız, yerel kimlik doğrulamaya geri dönemeyeceğinizden emin olmak için hem harici hem de yerel hesapları devre dışı bıraktığınızdan emin olun.