Linux lietotāju grupas. Lietotāji un grupas operētājsistēmā Linux. Pievienojot dzēšanas rediģēšanas lietotājus Konta verifikācija
Piekļuves tiesību sadales pamats operāciju zālē Linux sistēma balstās uz lietotāja jēdzienu. Lietotājam, kuram pieder fails, tiek piešķirtas noteiktas atļaujas strādāt ar to, proti, lasīt, rakstīt un izpildīt. Lasīšanas, rakstīšanas un izpildes atļaujas visiem citiem lietotājiem tiek iestatītas atsevišķi. Tā kā Linux sistēmā viss ir fails, šāda sistēma ļauj regulēt piekļuvi jebkurai darbībai šajā operētājsistēmā, iestatot faila piekļuves tiesības. Bet pat veidojot Linux, izstrādātāji saprata, ka ar to vien nepietiek.
Tāpēc tika izgudrotas lietotāju grupas. Lietotāji var apvienoties grupās, lai piešķirtu grupām nepieciešamās atļaujas piekļūt noteiktiem failiem un attiecīgi darbībām. Šajā rakstā mēs apskatīsim lietotāju grupas operētājsistēmā Linux, apskatīsim, kāpēc tās ir vajadzīgas, kā grupai pievienot lietotāju un pārvaldīt grupas.
Kā jau teicu, grupas Linux parādījās šīs operētājsistēmas izstrādes pašā sākumā. Tie tika izstrādāti, lai uzlabotu tiesību pārvaldības iespējas. Apskatīsim nelielu piemēru, ņemsim organizāciju, kurā ir tikai viens dators, mums ir administratori un lietotāji. Katrai personai mūsu datorā ir savs konts. Administratori var pielāgot sistēmu, taču lietotājiem labāk nedot brīvību, lai kaut ko nesabojātu. Tāpēc administratori apvienojas admin grupa, un viņai tiek dota piekļuve visam aprīkojumam, faktiski visiem failiem dev direktorijā un lietotājiem, kas apvienoti lietotāju grupā, un šai grupai tiek dota iespēja lasīt un rakstīt failus kopējā direktorijā, caur kuru viņi var apmainīties ar sava darba rezultātiem. Mēs varētu piešķirt tiesības katram lietotājam atsevišķi, ļaujot viņam piekļūt konkrētam failam, taču tas ir pārāk neērti. Tāpēc tika izgudrotas grupas. Jūs sakāt, viss ir kārtībā, vai es varu jūs iecelt? Tagad iedomājieties, ka mūsu lietotāji ir procesi. Šeit priekšplānā izceļas grupu skaistums; grupas tiek izmantotas ne tik daudz, lai nodrošinātu piekļuvi lietotājiem, bet gan lai pārvaldītu programmas tiesības, īpaši viņu piekļuvi aparatūrai. Pakalpojumiem un lietotājam, kura vārdā tas tiek palaists, tiek izveidotas atsevišķas grupas, pakalpojums var būt vairāku grupu dalībnieks, kas tam nodrošina piekļuvi noteiktiem resursiem.
Tagad apskatīsim, kā skatīt Linux grupas.
Grupas operētājsistēmā Linux
Visas sistēmā izveidotās grupas atrodas failā /etc/group. Apskatot šī faila saturu, varat uzzināt to Linux grupu sarakstu, kuras jau ir jūsu sistēmā. Un jūs būsiet pārsteigti.
Papildus standarta saknei un lietotājiem šeit ir vēl pāris desmiti grupu. Tās ir grupas, ko izveidojušas programmas, lai kontrolētu šo programmu piekļuvi kopīgi resursi. Katra grupa ļauj lasīt vai rakstīt konkrēts fails vai sistēmas direktoriju, tādējādi regulējot lietotāja atļaujas un līdz ar to arī no šī lietotāja uzsākto procesu. Šeit mēs varam uzskatīt, ka lietotājs ir tas pats, kas process, jo procesam ir visas tā lietotāja tiesības, no kura tas tiek palaists.
Sīkāk apskatīsim katru no grupām, lai labāk saprastu, kāpēc tās ir vajadzīgas:
- dēmons- šīs grupas un dēmona lietotāja vārdā tiek palaisti pakalpojumi, kuriem nepieciešama iespēja ierakstīt failus diskā.
- sys- grupa nodrošina piekļuvi kodola avotiem un ietver sistēmā saglabātos failus
- sinhronizēt- ļauj izpildīt komandu /bin/sync
- spēles- Ļauj spēlēm rakstīt iestatījumu failus un vēsturi noteiktā mapē
- vīrietis- ļauj pievienot lapas direktorijam /var/cache/man
- lp- ļauj izmantot paralēlo portu ierīces
- pastu- ļauj rakstīt datus pastkastītes/var/mail/
- starpniekserveris- izmanto starpniekserveri, nav piekļuves failu ierakstīšanai diskā
- www-dati- tīmekļa serveris sākas ar šo grupu, tas nodrošina piekļuvi /var/www ierakstam, kurā atrodas tīmekļa dokumentu faili
- sarakstu- ļauj skatīt ziņojumus mapē /var/mail
- neviena grupa- izmanto procesiem, kas nevar izveidot failus cietajā diskā, bet tikai tos lasīt, parasti izmanto kopā ar lietotāju neviens.
- adm- ļauj lasīt žurnālus no direktorijas /var/log
- tty- visas ierīces /dev/vca ļauj lasīt un rakstīt šīs grupas lietotājiem
- disks- atver piekļuvi cietajiem diskiem /dev/sd* /dev/hd*, mēs varam teikt, ka tas ir root piekļuves analogs.
- iezvanpieeja - pilna piekļuve uz seriālo portu
- CD ROM- piekļuve CD-ROM
- ritenis- ļauj palaist sudo utilītu, lai palielinātu privilēģijas
- audio- audio draiveru pārvaldība
- src- pilnīga piekļuve avotiem /usr/src/ direktorijā
- ēna- ļauj lasīt /etc/shadow failu
- utmp- ļauj rakstīt failos /var/log/utmp /var/log/wtmp
- video- ļauj strādāt ar video draiveri
- plugdev- ļauj uzstādīt ārējās ierīces USB, CD utt
- personāls- ļauj rakstīt mapē /usr/local
Tagad, kad zināt, kāpēc Linux izmantojat grupas un kas tās ir pēc noklusējuma, apskatīsim LInux grupu pārvaldību.
Linux grupas pārvaldība
Varat arī pārvaldīt grupas, izmantojot grafisko interfeisu. KDE ir speciāli šim nolūkam paredzēta programma Kuser, un Gnome tas tiek darīts, izmantojot sistēmas iestatījumus. Turklāt populārajiem izplatījumiem ir atsevišķi rīki, piemēram, YaST OpenSUSE vai Ubuntu iestatījumi. Deguns grafiskais interfeiss Es domāju, ka jūs to izdomāsit. Un mēs apskatīsim Linux grupu pārvaldību, izmantojot termināli. Vispirms tiksim galā ar failiem un tikai pēc tam ar lietotājiem.
Kad fails ir izveidots, tam tiek piešķirta tā lietotāja primārā grupa, kurš to izveidojis. Tas ir tieši šādi:
Šeit var redzēt, ka visu mapju īpašnieks ir sergiy un grupa arī ir sergiy. Pareizi, jo šos lietotājus izveidoju es. Bet iesim tālāk:
Šeit redzams, ka sd* disku ierīces ir piešķirtas disku grupai, kas nozīmē, ka lietotājs, kas pieder šai grupai, var tām piekļūt. Vai cits piemērs:
Viss ir tā, kā mēs runājām iepriekšējā punktā. Bet šīs grupas var ne tikai iestatīt sistēma, bet arī jūs varat manuāli mainīt failu grupas; šim nolūkam ir komanda chgrp:
chgrp grupas_nosaukums faila_nosaukums
Piemēram, izveidosim faila testu:
Un mainīsim tai grupu:
Ja vēlaties izveidot Linux grupu, varat to izdarīt ar komandu newgrp:
sudo groupadd tests
Situācija ar lietotājiem ir nedaudz sarežģītāka. Lietotājam ir galvenā grupa, kas tiek norādīta izveides laikā, kā arī vairākas papildu grupas. Galvenā grupa no ierastajām atšķiras ar to, ka visiem failiem lietotāja mājas direktorijā ir šī grupa, un, to mainot, mainīsies arī šo direktoriju grupa. Arī visi lietotāja izveidotie faili saņem šo grupu. Ir nepieciešamas papildu grupas, lai mēs varētu ļaut lietotājiem piekļūt dažādiem resursiem, pievienojot tos šīm grupām operētājsistēmā Linux.
Linux grupu pārvaldīšana lietotājam tiek veikta, izmantojot komandu usermod. Apskatīsim tā sintaksi un opcijas:
$usermod opcijas Lietotājvārds
- -G- papildu grupas, kurām jāpievieno lietotājs
- -g mainīt lietotāja primāro grupu
- -R noņemt lietotāju no grupas.
Jūs varat pievienot lietotāju grupai, izmantojot komandu usermod:
sudo usermod -G -a group_name lietotājvārds
Varat uz laiku pievienot lietotāju Linux grupai, izmantojot komandu newgrp. Tiks atvērts jauns apvalks, un tajā lietotājam būs nepieciešamās atļaujas, bet pēc aizvēršanas viss atgriezīsies tā, kā bija:
sudo newgrp grupas_nosaukums
Piemēram, pievienosim savu lietotāju disku grupai, lai mēs varētu tieši piekļūt cietajiem diskiem bez sudo komandas:
sudo usermod -G -a diska sergiy
Tagad varat uzstādīt diskus bez sudo komandas:
mount /dev/sda1 /mnt
Varat skatīt Linux grupas, kurās lietotājs ir dalībnieks, izmantojot komandu:
Varat arī izmantot komandu id. Pirmajā gadījumā mēs vienkārši redzam Linux grupu sarakstu, otrajā ir papildus norādīta grupa un lietotāja ID. Lai pievienotu lietotāju Linux grupai, izmantojiet primārās grupas opciju -g.
Izveidosim lietotāju vivek un pievienosim viņu izstrādātāju grupai. Piesakieties kā root lietotājs:
Piemēram, pievienosim lietotāju vivek:
useradd -g lietotājiem -G administratori, ftp, www, izstrādātāji -s/bin/bash -lppxxxx-d/mājas/spoks -m vivek
- -d mājas direktorijs
- -s iestatiet sākuma apvalku (/bin/sh) - pēc tam varat to mainīt failā /etc/passwd
- -lpp parole
- -g primārā grupa, kurai ir piešķirts lietotājs (grupai ir jābūt)
- -G citas grupas, kurām lietotājs ir piešķirts
- -m izveidot lietotāja mājas direktoriju
- xxxx rakstzīmju lietotāja parole
Pārliecināsimies, vai izstrādātāju grupa pastāv:
# grep izstrādātāji /etc/group
Ja grupas nav, izmantojiet komandu pievienot grupu lai izveidotu jaunu izstrādātāju grupu:
Tagad izmantojiet komandu usermod pievienojiet lietotāju vivek izstrādātāju grupai:
# adduser vivek izstrādātāji && newgrp izstrādātāji
Pārliecināsimies, ka lietotājs ir pievienots izstrādātāju grupai:
#id vivek
Izvade:
uid=1122(vivek) gid=1125(vivek) grupas=1125(vivek),1124(izstrādātāji)
Iestatiet/mainiet paroli vivek lietotājam:
Spēlēsim ar grupām
Liksim lietotājam vivek piedalīties tikai izstrādātāju grupā
usermod-G izstrādātāji vivek
Liksim lietotājam vivek piedalīties tikai adminu, ftp, www, izstrādātāju grupās, ievadot:
# usermod -G admins,ftp,www,developers vivek
Noņemsim lietotāju vivek no dažām grupām (atkārtoti piešķirsim viņam grupas):
# usermod -G ftp,www vivek
tagad vivek nav iekļauts administratoru un izstrādātāju grupās.
Piezīme: komanda usermod nemainīs lietotājvārdu, ja šis lietotājs ir Šis brīdis darbojas sistēmā.
userdel— dzēst lietotāju
Piemēram, izdzēsiet lietotāju vivek:
- -r izdzēsiet lietotāju kopā ar mājas direktoriju
Detalizēta SINTAKSE
pievienot lietotājam [-u identifikators[-o] [-i]] [-g grupai] [-G grupai[[, grupa] . . .]] [-d katalogu] [-s apvalks] [-c komentāru] [-m [-k skel_dir]] [-f neaktīvs] [-e beidzas] [-lpp passgen] [-a notikumu[, . . .]] reg_nameDetalizēts apraksts
Zvaniet lietotāja pievienošana parasti sistēmas datu failiem pievieno jaunu lietotāja ierakstu identifikācija un identitātes pārbaude(Identifikācija un autentifikācija — I&A). Izņēmums ir lietotāji tīkla informācijas pakalpojums(Tīkla informācijas pakalpojums vai saīsināti NIS). Tas arī ļauj lietotājam norādīt dalību papildu grupās (opcija -G) un izveidojiet tam sākotnējo direktoriju (opcija -m). Jaunā pieteikšanās tiek bloķēta, līdz tiek izpildīta komanda passwd.
Tūlīt pēc instalēšanas failā tiek norādītas dažādu parametru standarta vērtības /etc/default/useradd. To tālāk norādīto opciju noklusējuma vērtības, kurām nepieciešamas noklusējuma vērtības, var mainīt, izmantojot komandu defadm.
Ziņas sistēmas fails, kas izveidoti, izmantojot šo komandu, ir garuma ierobežojums 512 rakstzīmes katrā rindā. Ja tiek sniegti gari argumenti vairākiem variantiem, šis ierobežojums var tikt pārkāpts.
Tiek atbalstītas šādas opcijas:
| -u identifikators | Lietotāja identifikācijas numurs (UID). Šim skaitlim ir jābūt nenegatīvam veselam skaitlim, kas nav lielāks par MAXUID, kas definēts sys/param.h. Noklusējums ir nākamais pieejamais (unikālais) nemantotais UID, kas ir lielāks par 99. Šī opcija tiek ignorēta, ja jauno pieteikšanos administrēs tīkla informācijas pakalpojums (NIS). Papildinformāciju par to skatiet tālāk esošajā sadaļā "Tīkla informācijas pakalpojumu reģistrācijas nosaukumi". |
| -o | Šī opcija ļauj dublēt UID (padarīt to par unikālu). Tā kā sistēmas aizsardzība kopumā, kā arī integritāte audita pēdas(revīzijas liecības) un grāmatvedības informāciju(uzskaites informācija) jo īpaši ir atkarīga no katra UID unikālās atbilstības konkrētai personai, šīs opcijas izmantošana nav ieteicama (lai nodrošinātu lietotāja darbību uzskaiti). |
| -i | Ļauj izmantot mantoto UID. |
| -g grupa | Esošas grupas vesels skaitlis identifikators vai simboliskais nosaukums. Šī opcija norāda pamatgrupa(primārā grupa) jaunam lietotājam. Pēc noklusējuma tiek izmantota failā norādītā standarta grupa /etc/default/useradd |
| -G grupa[[,grupa] . . .] | Viens vai vairāki elementi sarakstā, kas atdalīts ar komatu, un katrs no tiem ir vesela skaitļa identifikators vai esošas grupas simboliskais nosaukums. Šis saraksts nosaka dalība papildu grupās(papildu dalība grupā) lietotājam. Atkārtojumi tiek ignorēti. Elementu skaits sarakstā nedrīkst pārsniegt NGROUPS_MAX-1, jo kopējais papildu grupu skaits lietotājam plus galvenā grupa nedrīkst pārsniegt NGROUPS_MAX. Šī opcija tiek ignorēta, ja jauno pieteikšanos administrēs tīkla informācijas pakalpojums (NIS). Skatiet tālāk sadaļu "Tīkla informācijas pakalpojumu reģistrācijas nosaukumi". |
| -d direktorijs | Sākt direktoriju(mājas direktoriju) jaunajam lietotājam. Šī lauka garums nedrīkst pārsniegt 256 rakstzīmes. Noklusējums ir HOMEDIR/reg_name, Kur HOMEDIR- bāzes direktorijs jauno lietotāju sākotnējiem direktorijiem un reg_name- jaunā lietotāja reģistrācijas vārds. |
| -s apvalks | Pilns ceļš uz programmu, kas tiek izmantota kā sākotnējais apvalks lietotājam tūlīt pēc reģistrācijas. Šī lauka garums nedrīkst pārsniegt 256 rakstzīmes. Pēc noklusējuma šis lauks ir tukšs, kas liek sistēmai izmantot standarta komandu tulku /usr/bin/sh. Kā vērtību apvalks ir jānorāda esošs izpildāmais fails. |
| -c komentārs | Jebkura teksta virkne. Parasti šis Īss apraksts reģistrācijas vārds un tagad tiek izmantots, lai norādītu īstā lietotāja uzvārdu un vārdu. Šī informācija tiek saglabāta lietotāja ierakstā failā /etc/passwd. Šī lauka garums nedrīkst pārsniegt 128 rakstzīmes. |
| -m | Izveido jaunu lietotāja mājas direktoriju, ja tas vēl nepastāv. Ja direktorijs jau pastāv, pievienotajam lietotājam ir jābūt atļaujai piekļūt norādītajam direktorijam. |
| -k skel_dir | Kopē direktorija saturu skel_dir uz jaunā lietotāja mājas direktoriju, nevis standarta "skeleta" direktorija saturu, /etc/skel. Katalogs skel_dir ir jāpastāv. Standarta direktorijā "skelets" ir standarta faili, kas nosaka lietotāja darba vidi. Administratora norādīts direktorijs skel_dir var saturēt līdzīgus failus un direktorijus, kas izveidoti konkrētam mērķim. |
| -f neaktīvs | Maksimālais atļautais dienu skaits starp reģistrācijas nosaukuma lietošanu, pirms nosaukums jau ir pasludināts par nederīgu. Parasti vērtības ir pozitīvi veseli skaitļi. |
| - beidzas derīguma termiņš | Datums, no kura reģistrācijas nosaukumu vairs nevar izmantot; Pēc šī datuma neviens lietotājs nevarēs piekļūt ar šo pieteikumvārdu. (Šī opcija ir noderīga, veidojot pagaidu pieteikšanās vārdus.) Ievadiet argumenta vērtību beidzas(attēlo datumu) var būt jebkurā formātā (izņemot Jūlija datumu). Piemēram, varat ievadīt 10/6/99 vai 1999. gada 6. oktobri. |
| -p passgen | Norāda, ka faila lauks FLAG /etc/shadow jāiestata uz norādīto vērtību. Šim laukam var piekļūt ar komandu passwd lai noteiktu, vai paroles ģenerators ir derīgs konkrētam lietotājam. Ja iespēja -lpp nav skaidri norādīts, ieraksts ir pārbaudīts FORCED_PASS failā /etc/default/useradd lai noteiktu attiecīgā lauka vērtību /etc/shadow. Ja ieraksti FORCED_PASS nē iekšā /etc/default/useradd, attiecīgajā ieraksta laukā /etc/shadow tam nebūs nozīmes. Ja vērtība FORCED_PASS vienāds ar 1, ievadiet /etc/shadow iegūst vērtību 1. Ja vērtība passgen nav tukšs un nav drukājama ASCII rakstzīme, tiek izdots diagnostikas ziņojums. |
| - pasākums | Notikumu veidu vai klašu saraksts, atdalot ar komatiem, veidojot audita maska(audita maska) lietotājam. Uzreiz pēc sistēmas instalēšanas lietotājam nav standarta audita maskas, taču to var iestatīt failā /etc/default/useradd izmantojot komandu defadm. Šo opciju var izmantot tikai tad, ja ir instalētas auditēšanas utilītas. (Lai uzzinātu, kuras pakotnes ir instalētas sistēmā, palaidiet komandu pkginfo.) |
| reg_name | Drukājama virkne, kas norāda jaunā lietotāja pieteikšanās vārdu. Tajā nedrīkst būt kolu ( : ) un rindu plūsmas rakstzīmes ( \n). Tas arī nedrīkst sākties ar lielo burtu. |
Ņemiet vērā, ka daudzas iepriekš apskatīto parametru noklusējuma vērtības var mainīt, izmantojot komandu defadm, kas paredzēts darbam ar failu /etc/default/useradd. Šīs noklusējuma vērtības attiecas tikai uz vietējiem lietotājiem. NIS lietotājiem noklusējuma vērtības ir iestatītas tīkla informācijas pakalpojuma datu bāzē. Lai mainītu NIS noklusējuma iestatījumus, komandrindā ir jānorāda opcijas.
Tīkla informācijas pakalpojumu reģistrācijas nosaukumi
Ja pieteikšanās vārds sākas ar rakstzīmi + , (Piemēram, + Kriss), lietotāja definīciju pārvaldīs Tīkla informācijas dienests (NIS). Noklusējuma vērtības tiks noteiktas, pamatojoties uz NIS datu bāzi, nevis failu /etc/defaults/useradd. Opciju argumentu vērtības -u, -g Un -G tiks klusi ignorēts, ja ir norādītas šīs opcijas. Tā vietā lietotāja ID un grupas ID vērtības tiks ņemtas no NIS datu bāzes. Plašāku informāciju skatiet palīdzības lapā. passwd. Lūdzu, ņemiet vērā, ka, pievienojot NIS lietotāju, pieteikšanās vārdam jau ir jābūt NIS datu bāzē. Piemēram, lai pievienotu pieteikšanās vārdu Kriss kā NIS lietotājvārds, Kriss jau jābūt NIS datu bāzē. Tad vajag piezvanīt lietotāja pievienošana ar reģistrācijas nosaukumu + Kriss lai norādītu, ka ir jāpievieno lietotājs Kriss kā NIS lietotājs, nevis kā vietējais lietotājs.
FAILI
/etc/default/useradd/etc/group
/etc/passwd
/etc/security/ia/ageduid
/etc/security/ia/audit(ja ir instalēti audita utilīti)
/etc/security/ia/index
/etc/security/ia/master
/etc/shadow
/etc/skel
DIAGNOSTIKA
Komanda lietotāja pievienošana iziet ar atgriešanās kodu 0, ja tas ir veiksmīgs. Ja rodas kļūdas, var tikt parādīti šādi ziņojumi:
Nederīga sintakse komandrinda.
Komandrindas sintakse nebija derīga.
Opcijā tika norādīts nederīgs arguments.
Nederīgs arguments tika nodrošināts ar opciju.
Opcijā -u norādītais identifikators jau tiek izmantots, bet opcija -o nav norādīta.
Uid, kas norādīts ar opciju -u, jau tiek izmantots, un opcija -o netika norādīta.
Ar opciju -g norādītā grupa nepastāv.
Grupa, kas norādīta ar opciju -g, to dara neeksistē.
Norādītais pieteikšanās vārds nav unikāls.
Norādītais pieteikšanās vārds nav unikāls.
Neizdevās mainīt /etc/group. Pieteikšanās tiek pievienota failam /etc/passwd, bet ne failam /etc/group.
Nevar atjaunināt /etc/group. Pieteikšanās tika pievienota failam /etc/passwd, bet ne failam /etc/group.
Sākuma direktoriju nevarēja izveidot (ar opciju -m) vai neizdevās kopēt skel_dir uz sākuma direktoriju.
Nevar izveidot mājas direktoriju (ar opciju -m) vai nevar pabeigt skel_dir kopiju mājas direktorijā.
ID nav pietiekami vecs. Izvēlieties citu.
uid nav pietiekami novecojis. Izvēlieties citu.
Tika norādīta nederīga opcija -a; sistēmas pakalpojums nav instalēts.
Tika norādīta nederīga opcija -a; sistēmas pakalpojums nav instalēts.
Norādītais audita notikuma veids vai klase nav derīgs.
Tika norādīts nederīgs audita notikuma veids vai klases notikums.
Sistēmas, kas nodrošina vairāku lietotāju piekļuvi, vai operētājsistēma OS, programmatūra(programmatūra), satura pārvaldības sistēma (CMS), ir ļoti svarīgi, lai būtu rīki uzticamai lietotāju (viņu kontu vai kontu, lietotāju konfigurāciju, mājas direktoriju u.c.) pārvaldībai, kā arī pašas lietotāju piekļuves organizēšanai un vadīšanai. Šādos gadījumos kompetenta un pārdomāta lietotāju (precīzāk, viņu kontu) pārvaldība ir galvenais aspekts, no kura ir atkarīga visas sistēmas drošība, stabilitāte un līdz ar to arī uzticamība. Mūsdienu Linux distribūcijās ir automatizētas sistēmas lietotāju pārvaldība ar skaidru grafiku lietotāja interfeiss(GUI), kas ļauj ātri un ērti veikt rutīnas (kā izrādās patiesībā) darbības lietotāju pārvaldīšanai un viņu kontu konfigurēšanai. Tomēr ir ļoti svarīgi zināt un saprast, kā un kādi faktiskie procesi un izmaiņas notiek pašā sistēmā lietotāju pārvaldības laikā.
Lietotāju pievienošana operētājsistēmā Linux
Lai sistēmai pievienotu jaunu lietotāju vārdā Džons, vienkārši palaidiet komandu:
$sudo useradd Jānis
Tādējādi /etc/passwd failā tiks izveidots šāds ieraksts:
Jānis:x:535:20: :/home/john:/bin/sh
Tomēr komanda lietotāja pievienošana ir daudz lielākas iespējas, piemēram:
$ sudo useradd -c "Džons Sudrabs" -d /mājas/pirāti/džons -g pirāti -G Džons -m -s /bin/bash Džons
Šī komanda sistēmai pievienos lietotāju ar pilnu vārdu "John Silver" un pieteikšanās vārdu "džons". Iekļaujot viņu galvenajā grupā "pirāti", viņš tiks pievienots citai papildu grupai "džons" un tiks piešķirts mājas direktorijs /home/pirates/john. Rezultātā atbilstošais ieraksts failā /etc/passwd būs aptuveni šāds:
Jānis:x:535:30:Džons Sudrabs:/mājas/pirāti/džons:/bin/bash
Komanda lietotāja pievienošana automātiski izveido lietotāja mājas direktoriju, ja tas vēl nav izveidots. A tajā arī kopē failus no /etc/skel/.
Pilns parametru saraksts lietotāja pievienošana
Lietošana: useradd [options] USER
lietotāja pievienošana -D
useradd -D [opcijas]
Iespējas:
-b, --base-dir BAZ_KAT bāzes direktorijs jaunā mājas direktorijai
konts
-c, -- komentārs jaunā konta lauks KOMENTĀRS GECOS
-d, --home-dir DOM_KAT jaunā konta mājas direktorijs
-D, --noklusējums parāda vai maina iestatījumus
noklusējuma lietotāja pievienošana
-e, --expiredate DATE_STATE jaunā konta derīguma termiņš
-f, —neaktīvs DARBĪBAS periods jaunās konta paroles neaktivitātes periodā
-g, --gid GROUP nosaukums vai jaunās primārās grupas ID
konts
-G, --groups GROUPS jauno papildu grupu saraksts
konts
-k, --skel CAB_SHAB izmanto alternatīvu direktoriju ar veidnēm
-K, --key KEY=VALUE aizstāt noklusējuma vērtību
no /etc/login.defs
-l, --no-log-init nepievieno lietotāju lastlog datu bāzēm un
faillog
-m, --create-home izveido lietotāja mājas direktoriju
-M, --no-create-home neizveido lietotāja mājas direktoriju
-N, --no-user-group neveido grupu ar tādu pašu nosaukumu kā
lietotājs
-o, --non-unikāls ļauj izveidot lietotājus ar
atkārtoti (ne unikāli) UID
-lpp, --parole PASSWORD šifrēta parole jaunajam kontam
-r, --sistēma izveido sistēmas kontu
-R
-s, --shell SHELL jaunā reģistrācijas apvalks
konts
-u, —uid UID jaunā konta lietotāja ID
-U, --user-group izveidot grupu ar tādu pašu nosaukumu kā
lietotājs
-Z, --selinux-user SEUSER izmanto norādīto SEUSER priekš
SELinux pielāgotā kartēšana
Mājas direktorija izveide un piešķiršana lietotājam
Parasti mājas direktorijs tiek izveidots automātiski, kad sistēmai tiek pievienots lietotājs. Bet ir reizes, kad kādu iemeslu dēļ mājas direktorijs netiek izveidots. Un tad ir nepieciešamība to izveidot. Lai izveidotu lietotāja mājas direktoriju, izmantojiet standarta komandu mkdir. Pēc tam nepieciešamie konfigurācijas skripti ir jākopē mājas direktorijā (lai sakārtotu lietotāja darba vidi), pēc tam, izmantojot komandas chown un chmod, direktorijā un tā saturā iestatiet īpašnieka un piekļuves režīmus. To vislabāk var izdarīt pēc tam, kad visi konfigurācijas faili ir kopēti mērķa direktorijā. Piemēram:
$ mkdir /home/john/ $ cd /etc/skel/ $ cp -Rp . /home/john/ $ chown -R john:john /home/john/ $ chmod -R 644 /home/john/ $ atrast /home/john/ -type d -exec chmod 755 () \;
Kā redzat, konfigurācijas faili tika kopēti no /etc/skel/ direktorija – šeit tiek glabāti palaišanas konfigurāciju piemēri, kurus var rediģēt pēc vajadzības. Starp citu, modificēta failu kopija no direktorija /etc/skel/ ir jāsaglabā direktorijā usr/local/etc/skel. Iestatot mājas direktorija īpašnieku, jāraugās, lai (neuzmanīgas komandas chown izmantošanas gadījumā) lietotājs nekļūtu par pseidodirektorija ".." īpašnieku, t.i., augstāka direktorija līmeņa, kas bieži vien ir /home direktorijs, kas drošības apsvērumu dēļ nav pieņemams.
Paroles izveide lietotājam
Drošības nolūkos jūsu kontam ir jābūt spēcīgai parolei. Kas jāiestata uzreiz pēc lietotāja konta izveides:
$ sudo passwd name_of_new_user
Piemēram, lietotājam jonh:
$ sudo passwd john Jaunā parole: Atkārtoti ievadiet jauno paroli: passwd: Visi autentifikācijas dati ir veiksmīgi atjaunināti.
Konta verifikācija
Pirms pārsūtāt informāciju un sākotnējo paroli, lai pieteiktos savā kontā jaunam lietotājam, tas ir jāpārbauda. Lai to izdarītu, jums ir jāpārtrauc pašreizējā sesija. Un piesakieties ar jaunā lietotāja vārdu (kura konts ir jāverificē). Un pēc kārtas izpildiet šādas komandas:
$ pwd $ ls -al
Pirmajā tiks parādīts pašreizējā lietotāja mājas direktorijs, otrajā tiks parādīts visu mājas direktorijā esošo (ieskaitot slēpto) failu un apakšdirektoriju saraksts, norādot to īpašnieku un piekļuves režīmus.
Kontu pārvaldība
Kā minēts iepriekš, lai pārvaldītu lietotājus Linux sistēmās, ir pieejami specializētu utilītu komplekti kontu (lietotāju) pievienošanai, rediģēšanai un dzēšanai - useradd, usermod un userdel. Viņi ievēro noteiktu darbību secību, lai sasniegtu gala mērķi - piemēram, ja tiek pievienots jauns lietotājs, komanda lietotāja pievienošana attiecīgi rada visu iepriekš aprakstīto “darbību kopumu”. Katru no šīm utilītprogrammām var elastīgi konfigurēt, izmantojot konfigurācijas failus, kurus, starp citu, ļoti aktīvi izmanto Linux izplatīšanas izstrādātāji. Galu galā dažādās Linux sistēmās šo utilītu darbība nedaudz atšķiras, lai gan utilītas būtībā ir identiskas. Zemāk ir tabula, kurā parādītas komandas un konfigurācijas faili lietotāju pārvaldībai dažās sistēmās, izmantojot utilītu kā piemēru lietotāja pievienošana:
| Sistēma | Komandas | Konfigurācijas faili | Komentārs |
| Ubuntu | lietotāja pievienošana | /etc/login.defs | |
| adduser | /etc/default/useradd | Perl versija | |
| /etc/adduser.conf | |||
| SUSE | lietotāja pievienošana | /etc/login.defs | |
| /etc/default/useradd | |||
| /etc/default/passwd | |||
| /usr/sbin/useradd.local | Vietējie iestatījumi | ||
| /usr/sbin/userdel.local | Vietējie iestatījumi | ||
| /usr/sbin/userdel-pre.local | Vietējie iestatījumi | ||
| /usr/sbin/userdel-post.local | Vietējie iestatījumi | ||
| sarkana cepure | lietotāja pievienošana | /etc/login.defs | |
| /etc/default/useradd | |||
| Solaris | lietotāja pievienošana | /etc/default/(login,passwd) | |
| /etc/security/policy.conf |
Notiek lietotāju noņemšana
Lai noņemtu lietotājus no sistēmas, izmantojiet komandu userdel, piemēram, komandu
userdel Džons
Izdzēsīs lietotāju John, bet bieži (piemēram, komandu lietotāja pievienošana, starp citu), nevis “tīrā” formā, bet gan Perl apvalku veidā, izmantojot konta dzēšanas skriptu. Piemēram, Ubuntu izplatījumos tiek izmantota komanda deluser, kas ir izplatīts Perl skripts. Kas savukārt izsauc pašu userdel komandu, lai dzēstu un notīrītu visu, ko komanda iepriekš darīja lietotāja pievienošana. Šajā gadījumā tiek izmantots skripta fails (parasti fails /etc/deluser.conf Ubuntu un /etc/login.defs programmā RedHat). Kas ļauj komandai userdel iestatīt šādas opcijas:
Lietošana: userdel [opcijas] LIETOTĀJS
Iespējas:
-f, -- piespiedu kārtā piespiedu kārtā dzēst lietotāju un failus, pat ja tie pašlaik tiek izmantoti
-r, --remove noņemt mājas direktoriju un pastkasti
-R, --root CAT_CHROOT direktorijs, kurā chroot
-Z, --selinux-user noņemt visus lietotāju kartējumus
SELinux lietotājam
Fails /etc/passwd – vietējo kontu apraksts
Ja sistēma neizmanto nevienu automatizētu direktoriju pārvaldības pakalpojumu (piemēram, LDAP, NIS), tad fails /etc/passwd ir fails, kurā tiek glabāta informācija par sistēmai zināmajiem lietotāju kontiem. Sistēma piekļūst šim failam ikreiz, kad lietotājs mēģina autentificēties, meklējot nepieciešamo lietotāja ID un nosakot savu mājas direktoriju. Šī faila formāts ir tāds, ka katra rinda tajā atbilst vienam konkrētam lietotājam (kontam), kurā (rindā) ir uzskaitīti konta atribūti (lauki), atdalot tos ar kolu:
- Lietotājvārds.
- Lietotāja parole (šifrēta) vai “viettura” parole.
- Lietotāja ID.
- Lietotāju grupas ID (noklusējums).
- GECOS informācija - pilns vārds, birojs, tālruņu numuri utt.
- Mājas direktorijs.
- Reģistrācijas apvalks.
Faila /etc/passwd saturs varētu izskatīties šādi: Kā redzat, otrajā laukā visiem ierakstiem ir “x”, paroles vietturis. Linux sistēmās šifrētās paroles tiek glabātas atsevišķi failā /etc/shadow. Ja automatizētais direktoriju pārvaldības pakalpojums tiek izmantots kopā ar failu /etc/passwd, tad tajā pašā failā ir ieraksti, kas sākas ar “+” rakstzīmi. Šie ieraksti sniedz norādījumus direktoriju pārvaldības pakalpojumu integrēšanai sistēmā. Ir vērts ātri apskatīt konta laukus:
- Lietotājvārds vai pieteikšanās vārds- unikāls nosaukums, kas jāapkopo saskaņā ar noteikumiem par reģistrācijas nosaukumu konstruēšanu konkrētai sistēmai. Operētājsistēmā Linux pieteikšanās vārds var būt līdz 32 rakstzīmēm garš. Drīkst izmantot tikai mazos burtus un ciparus. Reģistrācijas vārdam jāsākas ar burtu.
- Šifrēta parole- kā jau minēts, vietējo kontu paroles tiek glabātas mapē /etc/shadow šifrētā veidā. Operētājsistēmā Linux crypt, MD5 un Blowfish algoritmi tiek izmantoti kā kriptogrāfijas rīki paroļu šifrēšanai. Minimālais paroles garums ir 5 rakstzīmes, maksimālais ir 8 rakstzīmes
- Lietotāja ID ir neparakstīts vesels skaitlis, pēc kura sistēma “atpazīst” atsevišķus lietotājus, tātad lietotāju identifikatorus izmanto sistēma un programmatūras vide, savukārt lietotāju vārdi tiek izmantoti skaidrības un lietotāju prezentācijas ērtībai sistēmā. Priekš root lietotājs identifikatora numurs 0 ir rezervēts; reāliem lietotājiem ieteicams arī piešķirt identifikatorus pēc 500, jo sistēmā var būt daudz “nepersonalizētu” lietotāju, piemēram, bin vai dēmons - tādējādi lietotāju saraksts būs kārtībā un izvairīties no neskaidrībām. Linux sistēmas nodrošina arī pseidolietotāju neviens ar identifikatoru -1 vai -2. Parasti šis pseidolietotājs tiek izmantots, kad sistēmas superlietotājs mēģina piekļūt failiem, kas uzstādīti no cita datora, kas neuzticas sākotnējam datoram.
- Grupas ID- neparakstīts vesels skaitlis, līdzīgs lietotāja identifikatoram, kas paredzēts, lai sistēmā apzīmētu unikālas lietotāju grupas. Grupas numurs 0 ir rezervēts saknes grupai. Grupas galvenokārt izmanto ērtai failu pārvaldībai un koplietošanai. Tāpat kā ar lietotāju ID, sistēma rezervē grupas (piemēram, bin), ko izmanto pati sistēma.
- LauksGECOS– informācija, kurai nav skaidri definētas specifikācijas, atspoguļo papildu datus par lietotāju: viņa pilns vārds, tālruņa numuri, informācija par amatu un nodaļu utt. Informāciju šajā laukā var mainīt, izmantojot komandu chfn.
- Mājas direktorijs- “vieta” failu sistēmas kokā, kas ir rezervēta konkrēta lietotāja datu glabāšanai. Drošības apsvērumu dēļ šim direktorijam vajadzētu būt pieejamam tikai lietotājam, kuram šis direktorijs pieder. Ja reģistrācijas brīdī nav mājas direktorija, lietotāja dati tiek ievietoti / direktorijā. Turklāt, ja opcija DEFAULT_HOME failā /etc/login.defs, kas norāda noklusējuma mājas direktoriju, ir iestatīta uz nē, lietotāja autorizācija/reģistrācija nebūs iespējama.
- Reģistrācijas apvalks- komandu čaula komandu tulkam (vai jebkurai citai programmai), kas tiek palaista, kad lietotājs piesakās savā kontā. Operētājsistēmā Linux tiek izmantots tulks
Fails /etc/group – lietotāju grupu izveide un dzēšana
Jaunas grupas pievienošana operētājsistēmā Linux tiek veikta, izmantojot komandu
$groupadd grupas_nosaukums
kur grupas_nosaukums ir jaunās grupas nosaukums. Šī komanda izveidos jaunu ierakstu failā /etc/group
Šī faila formāts ir tāds pats kā /etc/passwd. Faila /etc/group satura piemērs: 
Kā redzat, katrā rindā ir četri lauki:
- Grupas nosaukums.
- Šifrēta parole vai paroles vietturis.
- Unikāls grupas identifikators.
- Šajā grupā iekļauto lietotāju saraksts, kurā ir lietotājvārdi, kas atdalīti ar komatiem bez atstarpēm.
Interesantākais šeit ir paroles lauks. Grupas paroles mērķis ir ļaut lietotājiem pievienoties grupai, izmantojot komandu newgrp. Pašas grupas paroli iestata komanda gpasswd, pēc kuras tā tiks saglabāta šifrētā veidā failā /etc/gshadow. Tomēr jāatzīmē, ka grupu paroles tiek izmantotas ārkārtīgi reti. Sistēmas administratori Jums vajadzētu pārraudzīt /etc/passwd un /etc/group failu saturu un saskaņot tos savā starpā, jo dažreiz rodas situācijas, kad lietotājs tiek norādīts kā grupas dalībnieks failā /etc/passwd un tajā pašā laikā. laikam failā /etc/group šādas deklarācijas nav. Jāņem vērā, ka šajā gadījumā lietotājs tiks uzskatīts par grupas dalībnieku, taču joprojām ir ļoti ieteicams saskaņot abu failu saturu.
Pēc noklusējuma Linux izplatījumos (izņemot SUSE), veidojot lietotāju (utilīta lietotāja pievienošana) tiek izveidota viņa tāda paša nosaukuma grupa, kurā viņš tiek nekavējoties iekļauts. Tas tiek nodrošināts, lai pēc iespējas vairāk novērstu iespēju, ka dažādi lietotāji varētu piekļūt viens otra failiem.
Lietotāju grupu var izdzēst, izmantojot komandu
$groupdel grupas_nosaukums
Šī komanda noņems ierakstu no /etc/group.
Fails /etc/shadow — paroļu glabāšana
Slēpto vai ēnu paroļu glabāšanai tiek izmantots atsevišķs /etc/shadow fails. Piekļuve tam ir pieejama tikai superlietotājam. Jāņem vērā arī tas, ka faili /etc/shadow un /etc/passwd ir konceptuāli saistīti, taču sistēmas līmenī mijiedarbības starp tiem praktiski nav. Izņemot to, ka lauks, kurā atrodas pieteikšanās vārds ēnā, tiek ņemts no passwd. Tie. Modificējot ēnu, izmaiņas netiek automātiski atspoguļotas passwd - šie faili tiek glabāti atsevišķi, un sistēma tos apstrādā neatkarīgi viens no otra. Faila /etc/shadow formāts ir līdzīgs /etc/passwd, un katrā rindā ir šādi lauki:
- Reģistrācijas nosaukums.
- Parole ir šifrēta.
- datums pēdējās izmaiņas parole.
- Minimālais dienu skaits starp paroles maiņu.
- Maksimālais dienu skaits starp paroles maiņu.
- Dienu skaits pirms paroles derīguma termiņa ziņojuma izdošanas.
- Dienu skaits (pēc paroles derīguma termiņa beigām), līdz konts tiek automātiski atcelts.
- Konta derīguma termiņš.
- Rezervēts lauks.
Ieraksts no faila /etc/shadow izskatās šādi:
Jānis:$md5$em5JhGE$a$iQhgS70sakdRaRFyy7Ppj. :14469:0:180:14: : :
Jāņem vērā, ka pirmie divi lauki ir obligāti. Datuma lauku formāts atbilst dienu skaitam, kas pagājušas kopš 1970. gada 1. janvāra. Reģistrācijas nosaukuma lauks, kā jau minēts, ir aizpildīts ar atbilstošo vērtību no faila /etc/passwd. Operētājsistēmā Linux septītajā laukā ir vērtība, kas nosaka, cik ilgi (dienās) pēc paroles derīguma termiņa beigām konts tiks automātiski atspējots. Šī interpretācija atšķiras no tās, ko izmanto Solaris un HP-UX sistēmās. Astotajā laukā varat izmantot komandu usermod formātā gggg-mm-hh, lai iestatītu konta derīguma termiņu.
Ja atrodat kļūdu, lūdzu, iezīmējiet teksta daļu un noklikšķiniet Ctrl+Enter.
