Linux пайдаланушы топтары. Linux жүйесіндегі пайдаланушылар мен топтар. Жоюды өңдейтін пайдаланушылар тіркелгі тексеруін қосу
Linux операциялық жүйесінде қол жеткізу құқықтарын таратудың негізі пайдаланушы тұжырымдамасында жатыр. Файлдың иесі пайдаланушыға онымен жұмыс істеуге, атап айтқанда оқуға, жазуға және орындауға белгілі бір рұқсаттар беріледі. Оқу, жазу және орындау рұқсаттары да барлық басқа пайдаланушылар үшін бөлек орнатылады. Linux жүйесінде барлығы файл болғандықтан, мұндай жүйе файлға кіру құқықтарын орнату арқылы осы операциялық жүйедегі кез келген әрекетке қол жеткізуді реттеуге мүмкіндік береді. Бірақ Linux-ты жасау кезінде де әзірлеушілер бұл жеткіліксіз екенін түсінді.
Сондықтан пайдаланушы топтары ойлап табылды. Топтарға белгілі бір файлдарға және тиісінше әрекеттерге қол жеткізуге қажетті рұқсаттарды беру үшін пайдаланушылар топтарға біріге алады. Бұл мақалада біз Linux жүйесіндегі пайдаланушы топтарын қарастырамыз, олардың не үшін қажет екенін, топқа пайдаланушыны қалай қосуға және топтарды басқаруға болатынын қарастырамыз.
Жоғарыда айтқанымдай, Linux-тағы топтар осы операциялық жүйенің дамуының ең басында пайда болды. Олар құқықтарды басқару мүмкіндіктерін жақсартуға арналған. Шағын мысалды қарастырайық, бір ғана компьютер бар ұйымды алайық, бізде әкімшілер мен пайдаланушылар бар. Біздің компьютерде әр адамның жеке аккаунты бар. Әкімшілер жүйені теңшей алады, бірақ пайдаланушыларға бірдеңені бұзбау үшін еркіндік бермегені жақсы. Сондықтан әкімшілер әкімшілер тобына біріктірілген және оған барлық жабдыққа, шын мәнінде, dev каталогындағы барлық файлдарға, ал пайдаланушылар пайдаланушылар тобына біріктірілген және бұл топқа оқу және жазу мүмкіндігі берілген. файлдарды ортақ каталогқа жіберіңіз, оның көмегімен олар сіздің жұмысыңыздың нәтижелерін бөлісе алады. Біз әрбір пайдаланушыға белгілі бір файлға кіруге мүмкіндік беретін құқықтарды бөлек тағайындай аламыз, бірақ бұл тым ыңғайсыз. Сондықтан топтар ойлап табылды. Сіз айтасыз, жарайды, мен сізді тағайындай аламын ба? Енді біздің пайдаланушыларымыз процесс деп елестетіп көріңіз. Бұл жерде топтардың сұлулығы бірінші орынға шығады; топтар пайдаланушыларға қолжетімділікті қамтамасыз ету үшін ғана емес, бағдарлама құқықтарын басқару үшін, әсіресе олардың аппараттық құралдарға қолжетімділігін қамтамасыз ету үшін қолданылады. Қызметтер мен оның атынан іске қосылған пайдаланушы үшін жеке топтар құрылады, қызмет оған белгілі бір ресурстарға қол жеткізуді қамтамасыз ететін бірнеше топтардың мүшесі бола алады.
Енді Linux топтарын қалай көруге болатынын қарастырайық.
Linux жүйесіндегі топтар
Жүйеде жасалған барлық топтар /etc/group файлында орналасқан. Осы файлдың мазмұнын қарау арқылы сіз жүйеде бұрыннан бар Linux топтарының тізімін біле аласыз. Ал сіз таң қаласыз.
Стандартты түбір мен пайдаланушылардан басқа, мұнда тағы бірнеше ондаған топтар бар. Бұл бағдарламалардың ортақ ресурстарға қатынасын басқару үшін бағдарламалар жасаған топтар. Әрбір топ жүйеде белгілі бір файлды немесе каталогты оқуға немесе жазуға мүмкіндік береді, осылайша пайдаланушының рұқсаттарын реттейді, демек сол пайдаланушы ретінде жұмыс істейтін процесс. Бұл жерде пайдаланушы процесспен бірдей деп қарастыруға болады, өйткені процесс ол іске қосылған пайдаланушының барлық құқықтарына ие.
Топтардың не үшін қажет екенін жақсырақ түсіну үшін олардың әрқайсысын толығырақ қарастырайық:
- демон- файлдарды дискіге жазу мүмкіндігін қажет ететін қызметтер осы топтың және демон пайдаланушысының атынан іске қосылады.
- sys- топ ядро көздеріне қол жеткізуді қамтамасыз етеді және жүйеде сақталған файлдарды қамтиды
- синхрондау- /bin/sync командасын орындауға мүмкіндік береді
- ойындар- Ойындарға параметрлер файлдары мен тарихын белгілі бір қалтаға жазуға мүмкіндік береді
- адам- /var/cache/man каталогына беттерді қосуға мүмкіндік береді
- лп- параллель порт құрылғыларын пайдалануға мүмкіндік береді
- пошта- пошта жәшіктеріне деректерді жазуға мүмкіндік береді /var/mail/
- прокси- прокси серверлер пайдаланады, файлдарды дискіге жазуға рұқсат жоқ
- www-деректер- веб-сервер осы топтан басталады, ол веб-құжат файлдары орналасқан /var/www жазбасына рұқсат береді.
- тізім- /var/mail ішіндегі хабарларды көруге мүмкіндік береді
- жоқ топ- қатты дискіде файлдар жасай алмайтын, бірақ оларды тек оқуға болатын процестер үшін пайдаланылады, әдетте ешкім пайдаланушымен бірге қолданылады.
- адм- /var/log каталогынан журналдарды оқуға мүмкіндік береді
- tty- барлық құрылғылар /dev/vca осы топтағы пайдаланушыларға оқуға және жазуға рұқсат береді
- диск- қатты дискілерге /dev/sd* /dev/hd* рұқсатын ашады, бұл түбірлік қатынастың аналогы деп айта аламыз.
- сөйлесу- сериялық портқа толық қол жеткізу
- CDROM- CD-ROM-ға қол жеткізу
- дөңгелек- артықшылықтарды арттыру үшін sudo утилитасын іске қосуға мүмкіндік береді
- аудио- аудио драйверді басқару
- src- /usr/src/ каталогындағы көздерге толық қол жеткізу
- көлеңке- /etc/shadow файлын оқуға мүмкіндік береді
- utmp- /var/log/utmp /var/log/wtmp файлдарына жазуға мүмкіндік береді
- бейне- бейне драйверімен жұмыс істеуге мүмкіндік береді
- plugdev- сыртқы құрылғыларды USB, CD және т.б. орнатуға мүмкіндік береді.
- персонал- /usr/local қалтасына жазуға мүмкіндік береді
Linux жүйесінде топтарды не үшін пайдаланатыныңызды және олардың әдепкі бойынша не екенін білетін болсаңыз, енді Linux топтарын басқаруды қарастырайық.
Linux тобын басқару
Графикалық интерфейсті пайдаланып топтарды басқаруға да болады. KDE-де бұл үшін арнайы әзірленген Kuser деп аталатын бағдарлама бар және Gnome-да ол жүйелік параметрлерді қолдану арқылы жасалады. Бұған қоса, танымал дистрибутивтерде OpenSUSE немесе Ubuntu параметрлеріндегі YaST сияқты бөлек құралдар бар. Бірақ сіз оны графикалық интерфейс арқылы түсінесіз деп ойлаймын. Біз терминал арқылы Linux топтарын басқаруды қарастырамыз. Алдымен файлдармен, содан кейін ғана пайдаланушылармен айналысайық.
Файл жасалған кезде оған оны жасаған пайдаланушының негізгі тобы тағайындалады. Бұл дәл осылай:
Мұнда сіз барлық қалталардың иесі sergiy және топтың да sergiy екенін көре аласыз. Дұрыс, бұл пайдаланушыларды мен жасағандықтан. Бірақ одан әрі қарай жүрейік:
Мұнда біз sd* дискі құрылғыларының дискілер тобына тағайындалғанын көреміз, бұл осы топқа жататын пайдаланушы оларға қол жеткізе алатынын білдіреді. Немесе басқа мысал:
Барлығы алдыңғы абзацта айтқанымыздай. Бірақ бұл топтар тек жүйе арқылы орнатылып қана қоймайды, сонымен қатар сіз файл топтарын қолмен өзгерте аласыз, бұл үшін chgrp пәрмені бар:
chgrp топ_атауы файл_аты
Мысалы, файл сынағын жасайық:
Ол үшін топты өзгертейік:
Егер сіз Linux тобын жасағыңыз келсе, мұны newgrp пәрменімен орындауға болады:
sudo groupadd тесті
Пайдаланушылармен жағдай біршама күрделірек. Пайдаланушыда құру кезінде көрсетілген негізгі топ, сонымен қатар бірнеше қосымшалар бар. Негізгі топтың әдеттегіден айырмашылығы, пайдаланушының үй каталогындағы барлық файлдарда осы топ бар және оны өзгерткен кезде бұл каталогтар тобы да өзгереді. Сондай-ақ, пайдаланушы жасаған барлық файлдар осы топты алады. Пайдаланушыларға Linux жүйесінде осы топтарға қосу арқылы әртүрлі ресурстарға қол жеткізуге мүмкіндік беру үшін қосымша топтар қажет.
Пайдаланушыға арналған Linux топтарын басқару usermod пәрмені арқылы орындалады. Оның синтаксисі мен опцияларын қарастырайық:
$usermod опциялары Қолданушының аты
- -Г- пайдаланушыны қосу қажет қосымша топтар
- -gпайдаланушы үшін негізгі топты өзгерту
- -Рпайдаланушыны топтан жою.
Пайдаланушыны usermod пәрмені арқылы топқа қосуға болады:
sudo usermod -G -топ_аты пайдаланушы аты
Сіз newgrp пәрмені арқылы пайдаланушыны Linux тобына уақытша қоса аласыз. Жаңа қабық ашылады және онда пайдаланушы қажетті рұқсаттарға ие болады, бірақ жабылғаннан кейін бәрі бұрынғыдай қайтарылады:
sudo newgrp топ_атауы
Мысал ретінде, sudo пәрменінсіз қатты дискілерге тікелей қол жеткізу үшін пайдаланушыны дискілер тобына қосамыз:
sudo usermod -G -a disk sergiy
Енді дискілерді sudo пәрменінсіз орнатуға болады:
орнату /dev/sda1 /mnt
Пайдаланушы мүше болып табылатын Linux топтарын келесі пәрмен арқылы көруге болады:
Сондай-ақ id пәрменін пайдалануға болады. Бірінші жағдайда біз жай ғана Linux топтарының тізімін көреміз, екіншісінде топ пен пайдаланушы идентификаторы қосымша көрсетілген. Пайдаланушыны Linux тобына қосу үшін негізгі топ үшін -g опциясын пайдаланыңыз.
vivek пайдаланушысын жасап, оны әзірлеушілер тобына қосамыз. Түбірлік пайдаланушы ретінде кіру:
Мысалы, пайдаланушыны қосайық вивек:
useradd -gпайдаланушылар -G әкімшілері, ftp, www, әзірлеушілер -s/bin/bash -бххх-d/үй/елес -м вивек
- -dүй каталогы
- -sбастапқы қабықты (/bin/sh) орнатыңыз - содан кейін оны файлда өзгертуге болады /etc/passwd
- -бқұпия сөз
- -gпайдаланушы тағайындалған негізгі топ (Топ болуы керек)
- -Гпайдаланушы тағайындалған басқа топтар
- -мпайдаланушы үшін үй каталогын жасаңыз
- xxxx таңбалы пайдаланушы құпия сөзі
Әзірлеушілер тобының бар екеніне көз жеткізейік:
# grep әзірлеушілері /etc/group
Егер топ болмаса, пәрменді пайдаланыңыз топ қосужаңа әзірлеушілер тобын құру үшін:
Енді пәрменді пайдаланыңыз пайдаланушы модәзірлеушілер тобына vivek пайдаланушысын қосыңыз:
# adduser vivek әзірлеушілері && newgrp әзірлеушілері
Пайдаланушы әзірлеушілер тобына қосылғанына көз жеткізейік:
#id vivek
Шығару:
uid=1122(vivek) gid=1125(vivek) топтары=1125(vivek),1124(әзірлеушілер)
vivek пайдаланушысы үшін құпия сөзді орнату/өзгерту:
Топпен ойнайық
vivek пайдаланушысына тек әзірлеушілер тобына қатысуын айтайық
пайдаланушы мод-G әзірлеушілері vivek
vivek қолданушысына тек әкімшілер, ftp, www, әзірлеушілер топтарына қатысуын айтайық:
# usermod -G әкімшілері, ftp, www, әзірлеушілер vivek
Кейбір топтардан vivek пайдаланушысын алып тастайық (топтарды оған қайта тағайындаңыз):
# usermod -G ftp,www vivek
енді vivek әкімшілер мен әзірлеушілер топтарына қосылмаған.
Ескерту:команда пайдаланушы модегер бұл пайдаланушы жүйеге қазір кірген болса, пайдаланушы атын өзгертпейді.
userdel— пайдаланушыны жою
Мысалы, vivek пайдаланушысын жойыңыз:
- -рпайдаланушыны үй каталогымен бірге жойыңыз
Егжей-тегжейлі SYNTAX
useradd [-u идентификатор[-o] [-i]] [-g топ] [-Г топ[[,топ]. . .]] [-d каталог] [-с қабық] [-c түсініктеме] [-m [-k skel_dir]] [-f белсенді емес] [-e мерзімі бітеді] [-б пасген] [-а оқиға[, . . .]] reg_nameТолық сипаттама
Қоңырау useraddәдетте жүйелік деректер файлдарына жаңа пайдаланушы жазбасын қосады сәйкестендіру және жеке басын тексеру(Сәйкестендіру және аутентификация – I&A). Ерекшелік - пайдаланушылар желілік ақпарат қызметі(Network Information Service немесе қысқаша NIS). Ол сондай-ақ пайдаланушы үшін қосымша топтарға мүшелікті көрсетуге мүмкіндік береді (опция -Г) және ол үшін бастапқы каталогты жасаңыз (опция -м). Жаңа логин пәрмен орындалғанға дейін блокталады passwd.
Орнатқаннан кейін бірден файлда әртүрлі параметрлердің стандартты мәндері көрсетіледі /etc/default/useradd. Әдепкі мәндерді қажет ететін төменде тізімделген опциялар үшін әдепкі мәндерді пәрмен арқылы өзгертуге болады Defadm.
Осы пәрменмен жасалған жүйелік файл жазбаларының ұзындық шегі әр жолға 512 таңбадан тұрады. Бірнеше опцияға ұзақ аргументтер берілсе, бұл шектеу бұзылуы мүмкін.
Келесі опцияларға қолдау көрсетіледі:
| -u идентификаторы | Пайдаланушының сәйкестендіру нөмірі (UID). Бұл сан артық емес теріс емес бүтін сан болуы керек MAXUID, ішінде анықталған sys/param.h. Әдепкі - 99-дан асатын келесі қолжетімді (бірегей) бұрынғы емес UID. Жаңа логин желілік ақпарат қызметі (NIS) арқылы басқарылатын болса, бұл опция еленбейді. Бұл туралы қосымша ақпаратты төмендегі «Желілік ақпарат қызметін тіркеу атаулары» бөлімінен қараңыз. |
| -о | Бұл опция UID көшірмесін жасауға мүмкіндік береді (бірегей емес ету). Тұтастай жүйені, сондай-ақ тұтастығын қорғау болғандықтан аудит ізі(аудит ізі) және бухгалтерлік есеп мәліметтері(бухгалтерлік ақпарат), атап айтқанда, әрбір UID нақты тұлғаға бірегей сәйкестігіне байланысты, бұл опцияны пайдалану ұсынылмайды (пайдаланушы әрекеттерінің есепке алынуын қамтамасыз ету үшін). |
| -і | Бұрынғы UID пайдалануға рұқсат береді. |
| -g тобы | Бар топтың бүтін идентификаторы немесе символдық атауы. Бұл опцияны анықтайды негізгі топ(негізгі топ) жаңа пайдаланушыға арналған. Әдепкі бойынша файлда көрсетілген стандартты топ пайдаланылады /etc/default/useradd |
| -G тобы[[,топ] . . .] | Үтірмен бөлінген тізімдегі бір немесе бірнеше элементтер, олардың әрқайсысы бар топтың бүтін идентификаторын немесе символдық атауын білдіреді. Бұл тізім анықтайды қосымша топтарға мүшелік(қосымша топ мүшелігі) пайдаланушыға арналған. Қайталаулар еленбейді. Тізімдегі элементтердің саны аспауы керек NGROUPS_MAX- 1, өйткені пайдаланушыға және негізгі топқа арналған қосымша топтардың жалпы саны аспауы керек NGROUPS_MAX. Жаңа логин Network Information Service (NIS) арқылы басқарылатын болса, бұл опция еленбейді. Төмендегі "Желілік ақпарат қызметінің тіркеу атаулары" бөлімін қараңыз. |
| -d каталогы | Бастау каталогыжаңа пайдаланушының (үй каталогы). Бұл өрістің ұзындығы 256 таңбадан аспауы керек. Әдепкі HOMEDIR/reg_name, Қайда HOMEIR- жаңа пайдаланушылардың бастапқы каталогтары үшін негізгі каталог және reg_name- жаңа пайдаланушының тіркеу аты. |
| -s қабығы | Бағдарламаға толық жол тіркелгеннен кейін бірден пайдаланушы үшін бастапқы қабық ретінде пайдаланылады. Бұл өрістің ұзындығы 256 таңбадан аспауы керек. Әдепкі бойынша бұл өріс бос, бұл жүйені стандартты пәрмен интерпретаторын пайдалануға мәжбүр етеді /usr/bin/sh. Құндылық ретінде қабықбар орындалатын файл көрсетілуі керек. |
| -c түсініктеме | Кез келген мәтін жолы. Әдетте, бұл логин атауының қысқаша сипаттамасы және енді нақты пайдаланушының тегі мен атын көрсету үшін пайдаланылады. Бұл ақпарат файлдағы пайдаланушы жазбасында сақталады /etc/passwd. Бұл өрістің ұзындығы 128 таңбадан аспауы керек. |
| -м | Жаңа пайдаланушының үй каталогын жасайды, егер ол бұрыннан жоқ болса. Каталог әлдеқашан бар болса, қосылған пайдаланушының көрсетілген каталогқа кіру рұқсаты болуы керек. |
| -k skel_dir | Каталогтың мазмұнын көшіреді skel_dirстандартты «скелет» каталогының мазмұнының орнына жаңа пайдаланушының үй каталогына, /etc/skel. Каталог skel_dirболуы керек. Стандартты «скелет» каталогында пайдаланушының жұмыс ортасын анықтайтын стандартты файлдар бар. Әкімші көрсеткен каталог skel_dirбелгілі бір мақсат үшін жасалған ұқсас файлдар мен каталогтарды қамтуы мүмкін. |
| -f белсенді емес | Аты жарамсыз деп танылғанға дейін тіркеу атауын пайдалану арасындағы рұқсат етілген күндердің ең көп саны. Әдетте мәндер оң бүтін сандар болып табылады. |
| -е мерзімі бітеді | Тіркеу атауын бұдан былай пайдалану мүмкін болмайтын күн; осы күннен кейін ешбір пайдаланушы осы логин бойынша кіре алмайды. (Бұл опция уақытша кірулерді жасау кезінде пайдалы.) Аргумент мәнін енгізіңіз мерзімі бітеді(күнді білдіретін) кез келген форматта болуы мүмкін (Джулиан күнінен басқа). Мысалы, 10/6/99 немесе 6 қазан 1999 ж. енгізуге болады. |
| -p өту | Файлдағы FLAG өрісін көрсетеді /etc/shadowкөрсетілген мәнге орнату керек. Бұл өріске пәрмен арқылы қол жеткізіледі passwdқұпия сөз генераторының берілген пайдаланушы үшін жарамдылығын анықтау. Егер опция -банық көрсетілмеген, жазба тексеріледі FORCED_PASSфайлда /etc/default/useraddішіндегі сәйкес өрістің мәнін анықтау /etc/shadow. Жазбалар болса FORCED_PASSжоқ /etc/default/useradd, жазбаның сәйкес өрісінде /etc/shadowмаңызды емес. Мән болса FORCED_PASS 1-ге тең, енгізу /etc/shadow 1 мәнін алады. Егер мән пасгенбос емес және басып шығарылатын ASCII таңбасы емес, диагностикалық хабар шығарылады. |
| - оқиға | Оқиға түрлерінің немесе сыныптардың тізімі, үтірмен бөлінген, қалыптастыру аудит маскасы(аудит маскасы) пайдаланушыға арналған. Жүйені орнатқаннан кейін бірден пайдаланушы үшін стандартты аудит маскасы жоқ, бірақ оны файлда орнатуға болады. /etc/default/useraddпәрменін қолдану Defadm. Бұл опцияны Аудиторлық утилиталар орнатылған жағдайда ғана пайдалануға болады. (Жүйеде қандай пакеттер орнатылғанын білу үшін пәрменді іске қосыңыз pkginfo.) |
| reg_name | Жаңа пайдаланушыға кіру атын көрсететін басып шығарылатын жол. Онда қос нүкте болмауы керек ( : ) және жол беру таңбалары ( \n). Ол сондай-ақ бас әріппен басталмауы керек. |
Жоғарыда қарастырылған параметрлердің әдепкі мәндерінің көпшілігін пәрмен арқылы өзгертуге болатынын ескеріңіз Defadm, файлмен жұмыс істеуге арналған /etc/default/useradd. Бұл әдепкі мәндер тек жергілікті пайдаланушыларға қолданылады. NIS пайдаланушылары үшін әдепкі мәндер Network Information Service дерекқорында орнатылады. NIS әдепкі параметрлерін өзгерту үшін пәрмен жолында опцияларды көрсету керек.
Желілік ақпарат қызметінің тіркеу атаулары
Егер логин аты таңбадан басталса + , (Мысалы, + Крис), пайдаланушы анықтамасын желілік ақпарат қызметі (NIS) басқарады. Әдепкі мәндер файлға емес, NIS дерекқорына негізделеді /etc/defaults/useradd. Опциялар үшін аргумент мәндері -у, -gЖәне -Гбұл опциялар көрсетілген болса, үнсіз еленбейді. Оның орнына пайдаланушы идентификаторы мен топ идентификаторының мәндері NIS дерекқорынан алынады. Мәліметтер алу үшін анықтама бетін қараңыз. passwd. NIS пайдаланушысын қосқанда логин NIS дерекқорында бұрыннан бар болуы керек екенін ескеріңіз. Мысалы, кіру атын қосу үшін Крис NIS пайдаланушы аты ретінде, Крис NIS дерекқорында бұрыннан бар болуы керек. Содан кейін қоңырау шалу керек useraddтіркеу атымен + Криспайдаланушыны қосу керек екенін көрсету үшін Крисжергілікті пайдаланушы ретінде емес, NIS пайдаланушысы ретінде.
ФАЙЛДАР
/etc/default/useradd/etc/group
/etc/passwd
/etc/security/ia/ageduid
/etc/security/ia/audit(аудиттік утилиталар орнатылған болса)
/etc/security/ia/index
/etc/security/ia/master
/etc/shadow
/etc/skel
ДИАГНОСТИКА
Команда useraddсәтті болса, қайтару коды 0 арқылы шығады. Қателер орын алса, келесі хабарламалар көрсетілуі мүмкін:
Пәрмен жолы синтаксисі жарамсыз.
Пәрмен жолы синтаксисі жарамсыз.
Опцияда жарамсыз аргумент көрсетілді.
Жарамсыз аргумент опциямен қамтамасыз етілді.
-u опциясында көрсетілген идентификатор бұрыннан қолданыста, бірақ -o опциясы көрсетілмеген.
-u опциясымен көрсетілген uid қазірдің өзінде қолданыста және -o опциясы көрсетілмеген.
-g опциясымен көрсетілген топ жоқ.
-g опциясымен көрсетілген топ жоқ.
Берілген кіру аты бірегей емес.
Көрсетілген логин бірегей емес.
/etc/group өзгертілмеді. Кіру /etc/passwd файлына қосылады, бірақ /etc/group файлына қосылмайды.
/etc/group жаңарту мүмкін емес. Кіру /etc/passwd файлына қосылды, бірақ /etc/group файлына емес.
Бастапқы каталогты жасау мүмкін болмады (-m опциясымен) немесе skel_dir файлын бастапқы каталогқа көшіру сәтсіз аяқталды.
Басты каталогты жасау мүмкін емес (-m опциясымен) немесе skel_dir көшірмесін үй каталогына аяқтау мүмкін емес.
Жеке куәлік жеткілікті ескі емес. Басқасын таңдаңыз.
жеткілікті түрде ескірмеген. Басқасын таңдаңыз.
Жарамсыз опция көрсетілді; жүйелік қызмет орнатылмаған.
Жарамсыз опция -a көрсетілді; жүйелік қызмет орнатылмаған.
Көрсетілген аудит оқиғасының түрі немесе класы жарамсыз.
Жарамсыз аудит оқиғасының түрі немесе сынып оқиғасы көрсетілді.
Көп пайдаланушыға қол жеткізуді қамтамасыз ететін жүйелер, мейлі ол ОЖ операциялық жүйесі, бағдарламалық қамтамасыз ету, мазмұнды басқару жүйесі (CMS) болсын, пайдаланушыларды сенімді басқару құралдарының болуы өте маңызды (олардың тіркелгілері немесе тіркелгілері, пайдаланушы конфигурациялары, үй каталогтары және т.б.). ).), сондай-ақ пайдаланушы қатынасын ұйымдастыруға және басқаруға арналған. Мұндай жағдайларда пайдаланушыларды сауатты және ойластырылған басқару (дәлірек айтқанда, олардың тіркелгілері) қауіпсіздік, тұрақтылық және нәтижесінде бүкіл жүйенің сенімділігі тәуелді болатын негізгі аспект болып табылады. Қазіргі заманғы Linux дистрибутивтерінде пайдаланушыларды басқаруға және олардың тіркелгілерін конфигурациялауға арналған күнделікті әрекеттерді (шындығында белгілі болғандай) жылдам және ыңғайлы орындауға мүмкіндік беретін анық графикалық пайдаланушы интерфейсі (GUI) бар пайдаланушыларды басқарудың автоматтандырылған жүйелері бар. Дегенмен, пайдаланушыны басқару кезінде жүйенің өзінде қалай және қандай нақты процестер мен өзгерістер орын алатынын білу және түсіну өте маңызды.
Linux жүйесінде пайдаланушыларды қосу
Жүйеге Джон атты жаңа пайдаланушыны қосу үшін жай ғана пәрменді орындаңыз:
$sudo useradd John
Бұл /etc/passwd файлында келесі жазбаны жасайды:
John:x:535:20: :/home/john:/bin/sh
Дегенмен, команда useraddәлдеқайда үлкен мүмкіндіктерге ие, мысалы:
$ sudo useradd -c "Джон Күміс" -d /home/пираттар/джон -г қарақшылар -Г Джон -m -s /bin/bash john
Бұл пәрмен жүйеге толық аты «Джон Силвер» және логин аты «джон» бар пайдаланушыны қосады. Оны негізгі «қарақшылар» тобына қосқанда, оны басқа қосымша «Джон» тобына қосады және оған /home/pirates/john мекенжайындағы үй каталогын тағайындайды. Нәтижесінде /etc/passwd файлындағы сәйкес жазба келесідей болады:
Джон:x:535:30:Джон Силвер:/үй/қарақшылар/джон:/бин/баш
Команда useraddегер ол әлі жасалмаған болса, пайдаланушының үй каталогын автоматты түрде жасайды. A сонымен қатар /etc/skel/ ішінен файлдарды көшіреді.
Параметрлердің толық тізімі useradd
Қолданылуы: useradd [опциялар] USER
пайдаланушы қосу - D
useradd -D [опциялар]
Опциялар:
-б, --base-dir BAZ_KAT негізгі каталогы жаңаның үй каталогы үшін
есептік жазба
-c, --түсініктеме жаңа тіркелгінің GECOS өрісі
-d, --home-dir DOM_KAT жаңа тіркелгінің негізгі каталогы
-Д, --әдепкі параметрлер параметрлерді көрсетеді немесе өзгертеді
useradd үшін әдепкі
-е, --expiredate DATE_STATE жаңа тіркелгінің жарамдылық мерзімі
-ф, —белсенді емес Әрекетсіздік жаңа тіркелгі құпия сөзінің әрекетсіздік кезеңі
-g, --gid GROUP атауы немесе жаңа топтың негізгі тобының идентификаторы
есептік жазба
-Г, --groups GROUPS жаңаның қосымша топтарының тізімі
есептік жазба
-қ, --skel CAB_SHAB үлгілері бар балама каталогты пайдаланады
-Қ, --пернесі KEY=VALUE әдепкі мәнді ауыстырады
/etc/login.defs сайтынан
-л, --no-log-init пайдаланушыны lastlog дерекқорларына қоспайды және
сәтсіздіктер журналы
-м, --create-home пайдаланушының үй каталогын жасаңыз
-М, --no-create-home пайдаланушының үй каталогын жасамайды
-Н, --no-user-group атымен бірдей топ жасамаңыз
пайдаланушы
-о, --бірегей емес пайдаланушыларды құруға мүмкіндік береді
қайталанатын (бірегей емес) UID
-б, --password Жаңа тіркелгі үшін PASSWORD шифрланған құпия сөз
-р, --жүйе жүйе тіркелгісін жасаңыз
-Р
-s, --shell SHELL жаңасының тіркеу қабығы
есептік жазба
-у, --uid жаңа тіркелгінің UID пайдаланушы идентификаторы
-У, --user-group атымен бірдей топ жасаңыз
пайдаланушы
-З, --selinux-user SEUSER көрсетілген SEUSER үшін пайдаланады
SELinux теңшелетін салыстыру
Пайдаланушыға үй каталогын құру және тағайындау
Әдетте, пайдаланушы жүйеге қосылған кезде үй каталогы автоматты түрде жасалады. Бірақ кейбір себептермен үй каталогы жасалмаған кездер болады. Содан кейін оны құру қажеттілігі туындайды. Пайдаланушының үй каталогын жасау үшін стандартты mkdir пәрменін пайдаланыңыз. Осыдан кейін сізге қажетті конфигурация сценарийлерін үй каталогына көшіру керек (пайдаланушының жұмыс ортасын ұйымдастыру үшін), содан кейін chown және chmod пәрмендерін пайдаланып, каталог пен оның мазмұнына иелік және кіру режимдерін орнатыңыз. Бұл барлық конфигурация файлдары мақсатты каталогқа көшірілгеннен кейін жақсы орындалады. Мысалы:
$ mkdir /home/john/ $ cd /etc/skel/ $ cp -Rp . /home/john/ $ chown -R john:john /home/john/ $ chmod -R 644 /home/john/ $ табу /home/john/ -түрі d -exec chmod 755 () \;
Көріп отырғаныңыздай, конфигурация файлдары /etc/skel/ каталогынан көшірілген - бұл жерде іске қосу конфигурацияларының мысалдары сақталады, оларды қажетінше өңдеуге болады. Айтпақшы, /etc/skel/ каталогындағы файлдардың өзгертілген көшірмесі usr/local/etc/skel каталогында сақталуы керек. Үй каталогының иесін орнату кезінде (chown командасын абайсыз пайдаланған жағдайда) пайдаланушы жалған каталогтың «..», яғни жоғарыдағы каталог деңгейінің иесі болып қалмауын қамтамасыз ету керек. бұл көбінесе /home каталогы болып табылады, бұл қауіпсіздік себептері бойынша қабылданбайды.
Пайдаланушы үшін пароль жасау
Қауіпсіздік мақсатында тіркелгіңізде күшті құпия сөз болуы керек. Пайдаланушы тіркелгісін жасағаннан кейін бірден орнату керек:
$ sudo passwd жаңа пайдаланушының аты
Мысалы, jonh пайдаланушысы үшін:
$ sudo passwd john Жаңа құпия сөз: Жаңа құпия сөзді қайта енгізіңіз: passwd: Барлық аутентификация деректері сәтті жаңартылды.
Есептік жазбаны тексеру
Тіркелгіңізге кіру үшін мәліметтер мен бастапқы құпия сөзді жаңа пайдаланушыға бермес бұрын, оны растау керек. Ол үшін ағымдағы сеансты аяқтау керек. Және жаңа пайдаланушының атымен кіріңіз (оның тіркелгісін растау қажет). Және келесі пәрмендерді ретімен орындаңыз:
$ pwd $ ls -al
Біріншісі ағымдағы пайдаланушыға арналған үй каталогын көрсетеді, екіншісі үй каталогындағы барлық (соның ішінде жасырын) файлдар мен ішкі каталогтардың тізімін көрсетеді, олардың иесі мен кіру режимдерін көрсетеді.
Есептік жазбаны басқару
Бұрын айтылғандай, Linux жүйелеріндегі пайдаланушыларды басқару үшін тіркелгілерді (пайдаланушыларды) қосу, өңдеу және жою үшін арнайы утилиталар жиынтығы бар - useradd, usermod және userdel. Олар түпкілікті мақсатқа жету үшін белгіленген әрекеттер ретін орындайды - мысалы, жаңа пайдаланушыны қосқанда, пәрмен useraddтиісінше жоғарыда сипатталған «қызметтердің жиынтығын» жасайды. Осы утилиталардың әрқайсысын конфигурация файлдарының көмегімен икемді түрде конфигурациялауға болады, айтпақшы, оны Linux дистрибьюторларын әзірлеушілер өте белсенді пайдаланады. Өйткені, әртүрлі Linux жүйелерінде бұл утилиталардың жұмысы аздап ерекшеленеді, дегенмен утилиталар іс жүзінде бірдей. Төменде мысал ретінде утилитаны пайдаланатын кейбір жүйелер үшін пайдаланушыларды басқаруға арналған пәрмендер мен конфигурация файлдарын көрсететін кесте берілген. useradd:
| Жүйе | Командалар | Конфигурация файлдары | Пікір |
| Ubuntu | useradd | /etc/login.defs | |
| қосушы | /etc/default/useradd | Perl нұсқасы | |
| /etc/adduser.conf | |||
| SUSE | useradd | /etc/login.defs | |
| /etc/default/useradd | |||
| /etc/default/passwd | |||
| /usr/sbin/useradd.local | Жергілікті параметрлер | ||
| /usr/sbin/userdel.local | Жергілікті параметрлер | ||
| /usr/sbin/userdel-pre.local | Жергілікті параметрлер | ||
| /usr/sbin/userdel-post.local | Жергілікті параметрлер | ||
| Қызыл қалпақ | useradd | /etc/login.defs | |
| /etc/default/useradd | |||
| Solaris | useradd | /etc/default/(логин,passwd) | |
| /etc/security/policy.conf |
Пайдаланушыларды жою
Жүйеден пайдаланушыларды жою үшін userdel пәрменін пайдаланыңыз, мысалы, пәрмен
пайдаланушыдел Джон
Джон пайдаланушысын жояды, бірақ жиі (пәрмен сияқты useradd, айтпақшы) «таза» пішінде емес, есептік жазбаны жою сценарийін пайдаланып Perl қабықшалары түрінде. Мысалы, Ubuntu дистрибутивтері жалпы Perl сценарийі болып табылатын deluser пәрменін пайдаланады. Бұл, өз кезегінде, бұрын пәрмен арқылы жасалған барлық нәрсені жою және тазалау үшін userdel пәрменін өзі шақырады useradd. Бұл жағдайда сценарий файлы пайдаланылады (әдетте Ubuntu жүйесінде /etc/deluser.conf файлы және RedHat жүйесінде /etc/login.defs файлы). Бұл userdel пәрмені үшін келесі опцияларды орнатуға мүмкіндік береді:
Қолданылуы: userdel [опциялар] USER
Опциялар:
-ф, --пайдаланушыны және файлдарды, тіпті олар қазір қолданыста болса да, мәжбүрлеп жою
-р, --жою негізгі каталогты және пошта жәшігін жою
-Р, chroot үшін --root CAT_CHROOT каталогы
-З, --selinux-user барлық пайдаланушы салыстыруларын жояды
Пайдаланушыға арналған SELinux
File /etc/passwd – жергілікті тіркелгілердің сипаттамасы
Жүйе ешқандай автоматтандырылған каталогтарды басқару қызметін пайдаланбаса (мысалы, LDAP, NIS), онда /etc/passwd файлы жүйеге белгілі пайдаланушы тіркелгілері туралы ақпаратты сақтайтын файл болып табылады. Жүйе бұл файлға пайдаланушы аутентификация жасауға әрекет жасаған сайын, қажетті пайдаланушы идентификаторын іздеп, оның үй каталогын анықтаған кезде қатынасады. Бұл файлдың пішімі ондағы әрбір жол бір нақты пайдаланушыға (шотқа) сәйкес келеді, ол (жолда) қос нүктемен бөлінген тіркелгі атрибуттарын (өрістерін) тізімдейді:
- Қолданушының аты.
- Пайдаланушы құпия сөзі (шифрланған) немесе «толтырғыш» құпия сөзі.
- Қолданушының ID.
- Пайдаланушы тобының идентификаторы (әдепкі).
- GECOS ақпараты - толық аты-жөні, кеңсесі, телефон нөмірлері және т.б.
- Үй каталогы.
- Тіркеу қабығы.
/etc/passwd файлының мазмұны келесідей болуы мүмкін: Көріп отырғаныңыздай, барлық жазбаларға арналған екінші өрісте «x», құпия сөз толтырғышы бар. Linux жүйелерінде шифрланған құпия сөздер /etc/shadow файлында бөлек сақталады. Егер каталогтарды басқарудың автоматтандырылған қызметі /etc/passwd файлымен бірге пайдаланылса, сол файлда «+» таңбасынан басталатын жазбалар болады. Бұл жазбалар каталогтарды басқару қызметтерін жүйеге біріктіру нұсқауларын береді. Есептік жазба өрістерін жылдам қарап шыққан жөн:
- Пайдаланушы аты немесе логин аты- белгілі бір жүйе үшін тіркеу атауларын құру ережелеріне сәйкес құрастырылуы тиіс бірегей атау. Linux үшін кіру аты 32 таңбаға дейін болуы мүмкін. Тек кіші әріптер мен сандарды пайдалануға болады. Тіркеу атауы әріптен басталуы керек.
- Шифрланған құпия сөз- бұрын айтылғандай, жергілікті тіркелгілердің құпия сөздері /etc/shadow ішінде шифрланған түрде сақталады. Linux жүйесінде құпия сөздерді шифрлау үшін криптографиялық құралдар ретінде crypt, MD5 және Blowfish алгоритмдері пайдаланылады. Құпия сөздің ең аз ұзындығы - 5 таңба, ең көбі - 8
- Қолданушының IDбұл жүйе жеке пайдаланушыларды «танатын» қолтаңбасы жоқ бүтін сан, сондықтан пайдаланушы идентификаторлары жүйе және бағдарламалық жасақтама ортасы арқылы пайдаланылады, ал пайдаланушы аттары жүйеде пайдаланушыларды көрсетудің анықтығы мен жеңілдігі үшін пайдаланылады. ID нөмірі 0 түбірлік пайдаланушы үшін сақталған, сонымен қатар нақты пайдаланушыларға 500-ден кейін идентификаторларды тағайындау ұсынылады, өйткені жүйеде бин немесе демон сияқты көптеген «анықталмаған» пайдаланушылар болуы мүмкін - бұл тізімді сақтайды. пайдаланушыларды ретке келтіріп, шатасуды болдырмаңыз. Linux жүйелері сонымен қатар -1 немесе -2 идентификаторымен жалған пайдаланушы ешкімді қамтамасыз етеді. Әдетте, бұл псевдопайдаланушы жүйе суперпайдаланушы бастапқы компьютерге сенімі жоқ басқа компьютерден орнатылған файлдарға кіруге әрекет жасағанда пайдаланылады.
- Топ идентификаторы- жүйедегі бірегей пайдаланушы топтарын белгілеуге арналған пайдаланушы идентификаторына ұқсас таңбасыз бүтін сан. 0 топ нөмірі түбір тобы үшін сақталған. Топтар негізінен файлдарды ыңғайлы басқару және ортақ пайдалану үшін қолданылады. Пайдаланушы идентификаторлары сияқты, жүйе жүйенің өзі пайдалану үшін топтарды (мысалы, себет) сақтайды.
- ӨрісGECOS– нақты анықталған спецификациясы жоқ ақпарат, пайдаланушы туралы қосымша деректерді көрсетеді: оның толық аты-жөні, телефондары, қызметі мен бөлімі туралы ақпарат және т.б. Бұл өрістегі ақпаратты chfn командасы арқылы өзгертуге болады.
- Үй каталогы- белгілі бір пайдаланушының деректерін сақтауға арналған файлдық жүйе ағашындағы «орын». Қауіпсіздік мақсатында бұл каталогқа осы каталогтың иесі пайдаланушы ғана қол жеткізе алады. Тіркеу кезінде үй каталогы болмаса, пайдаланушы деректері / каталогында орналастырылады. Сондай-ақ, әдепкі үй каталогын көрсететін /etc/login.defs файлындағы DEFAULT_HOME опциясы жоқ күйіне орнатылса, пайдаланушыны авторизациялау/тіркеу мүмкін болмайды.
- Тіркеу қабығы- пайдаланушы өз тіркелгісіне кірген кезде іске қосылатын командалық интерпретаторға (немесе кез келген басқа бағдарламаға) арналған пәрмен қабығы. Linux үшін аудармашы қолданылады
Файл /etc/group – пайдаланушы топтарын құру және жою
Linux жүйесінде жаңа топты қосу пәрмен арқылы орындалады
$groupadd group_name
мұндағы топ_атауы - жаңа топтың аты. Бұл пәрмен /etc/group файлында жаңа жазба жасайды
Бұл файлдың пішімі /etc/passwd форматымен бірдей. /etc/group файлының мазмұнының мысалы: 
Көріп отырғаныңыздай, әрбір жол төрт өрісті қамтиды:
- Топ аты.
- Шифрланған құпия сөз немесе құпия сөз толтырғышы.
- Бірегей топ идентификаторы.
- Бос орынсыз үтірмен бөлінген пайдаланушы аттары бар осы топқа енгізілген пайдаланушылар тізімі.
Мұнда қызықты нәрсе - пароль өрісі. Топтық құпия сөздің мақсаты - пайдаланушыларға newgrp пәрмені арқылы топқа қосылуға мүмкіндік беру. Топтың құпия сөзі gpasswd пәрменімен орнатылады, содан кейін ол /etc/gshadow файлында шифрланған түрде сақталады. Дегенмен, топтарға арналған құпия сөздер өте сирек қолданылатынын атап өткен жөн. Жүйе әкімшілері /etc/passwd және /etc/group файлдарының мазмұнын бақылап, оларды бір-бірімен үйлестіруі керек, өйткені кейде пайдаланушы /etc/passwd файлында топ мүшесі ретінде көрсетілген кезде және бір пайдаланушының /etc/group файлында бірдей уақытта. хабарландыру жоқ. Айта кету керек, бұл жағдайда пайдаланушы топтың мүшесі болып саналады, бірақ әлі де екі файлдың мазмұнын сәйкестендіру ұсынылады.
Әдепкі бойынша Linux дистрибутивтерінде (SUSE-ден басқа), пайдаланушыны жасау кезінде (утилит useradd) оның аттас тобы құрылады, ол бірден кіреді. Бұл әртүрлі пайдаланушылардың бір-бірінің файлдарына қол жеткізу мүмкіндігін мүмкіндігінше жою үшін қамтамасыз етілген.
Пәрменді пайдаланып пайдаланушылар тобын жоюға болады
$groupdel group_name
Бұл пәрмен /etc/group ішінен жазбаны жояды.
File /etc/shadow – құпия сөздерді сақтау
Жасырын немесе көлеңкелі құпия сөздерді сақтау үшін бөлек /etc/shadow файлы пайдаланылады. Оған кіру тек суперпайдаланушыға қолжетімді. Сондай-ақ, /etc/shadow және /etc/passwd файлдары концептуалды түрде байланысты, бірақ жүйелік деңгейде олардың арасында өзара әрекеттесу іс жүзінде жоқ екенін атап өткен жөн. Көлеңкедегі логин атауы бар өріс passwd ішінен алынғанын қоспағанда. Анау. Көлеңкені өзгерту кезінде өзгерістер passwd-де автоматты түрде көрсетілмейді - бұл файлдар бөлек сақталады және жүйе бір-бірінен тәуелсіз өңдейді. /etc/shadow пішімі /etc/passwd форматына ұқсас және әрбір жол келесі өрістерді қамтиды:
- Тіркеу атауы.
- Құпия сөз шифрланған.
- Құпия сөз соңғы рет өзгертілген күн.
- Құпия сөзді өзгерту арасындағы күндердің ең аз саны.
- Құпия сөзді өзгерту арасындағы ең көп күндер саны.
- Құпия сөздің жарамдылық мерзімі туралы хабарлама шығарылғанға дейінгі күндер саны.
- Есептік жазба автоматты түрде жойылғанға дейінгі күндер саны (құпия сөздің жарамдылық мерзімі аяқталғаннан кейін).
- Есептік жазбаның жарамдылық мерзімі.
- Резервтелген өріс.
/etc/shadow файлындағы жазба келесідей:
Джон:$md5$em5JhGE$a$iQhgS70sakdRaRFyy7Ppj. :14469:0:180:14: : :
Айта кету керек, алғашқы екі өріс міндетті болып табылады. Күн өрістерінің пішімі 1970 жылдың 1 қаңтарынан бастап өткен күндер санына сәйкес келеді. Тіркеу атауы өрісі, бұрын айтылғандай, /etc/passwd файлындағы сәйкес мәнмен толтырылады. Linux жүйесінде жетінші өрісте құпия сөздің қолданылу мерзімі қанша уақыттан кейін (күнмен) есептік жазба автоматты түрде өшірілетінін анықтайтын мән бар. Бұл интерпретация Solaris және HP-UX жүйелерінде қолданылатыннан өзгеше. Сегізінші өрісте есептік жазбаның жарамдылық мерзімін орнату үшін yyyy-mm-hh пішіміндегі usermod пәрменін пайдалануға болады.
Қатені тапсаңыз, мәтін бөлігін бөлектеп, басыңыз Ctrl+Enter.
