Uporabniške skupine Linuxa. Uporabniki in skupine v Linuxu. Dodajanje brisanje urejanje uporabnikov Preverjanje računa
Osnova za razdelitev dostopnih pravic v operacijski dvorani sistem Linux leži na konceptu uporabnika. Uporabnik, ki je lastnik datoteke, ima določena dovoljenja za delo z njo, in sicer za branje, pisanje in izvajanje. Dovoljenja za branje, pisanje in izvajanje so prav tako nastavljena ločeno za vse druge uporabnike. Ker je vse v Linuxu datoteka, vam tak sistem omogoča reguliranje dostopa do katerega koli dejanja v tem operacijskem sistemu z nastavitvijo pravic dostopa do datoteke. Toda tudi pri ustvarjanju Linuxa so razvijalci ugotovili, da to očitno ni dovolj.
Zato so bile izumljene uporabniške skupine. Uporabniki se lahko združijo v skupine, da skupinam podelijo potrebna dovoljenja za dostop do določenih datotek in s tem dejanja. V tem članku si bomo ogledali uporabniške skupine v Linuxu, zakaj so potrebne, kako dodati uporabnika v skupino in upravljati skupine.
Kot sem že rekel, so se skupine v Linuxu pojavile na samem začetku razvoja tega operacijskega sistema. Zasnovani so bili za izboljšanje zmogljivosti upravljanja pravic. Poglejmo majhen primer, vzemimo organizacijo, v kateri je samo en računalnik, imamo skrbnike in uporabnike. Vsaka oseba ima svoj račun na našem računalniku. Administratorji lahko prilagodijo sistem, vendar je bolje, da uporabniki ne dajejo proste roke, da ne bi česa pokvarili. Zato se skrbniki združujejo skrbniška skupina, in ji je omogočen dostop do vse opreme, pravzaprav do vseh datotek v imeniku dev, in uporabnikom, združenim v skupino uporabnikov, in tej skupini je dana možnost branja in pisanja datotek v skupni imenik, prek katerega lahko izmenjujejo rezultate svojega dela. Lahko bi dodelili pravice vsakemu uporabniku posebej in mu omogočili dostop do določene datoteke, vendar je to preveč neprijetno. Zato so bile izumljene skupine. Pravite, v redu je, ali vas lahko imenujem? No, zdaj pa si predstavljajte, da so naši uporabniki procesi. Tu pride do izraza lepota skupin; skupine se ne uporabljajo toliko za zagotavljanje dostopa uporabnikom, temveč za upravljanje programskih pravic, zlasti njihovega dostopa do strojne opreme. Za storitve in uporabnika, v imenu katerega se zažene, se ustvarijo ločene skupine, storitev je lahko član več skupin, kar ji omogoča dostop do določenih virov.
Zdaj pa poglejmo, kako si ogledati skupine Linux.
Skupine v Linuxu
Vse skupine, ustvarjene v sistemu, se nahajajo v datoteki /etc/group. Če pogledate vsebino te datoteke, lahko najdete seznam skupin Linux, ki so že v vašem sistemu. In presenečeni boste.
Poleg standardnega korena in uporabnikov je tukaj še nekaj deset skupin. To so skupine, ki jih ustvarijo programi za nadzor dostopa teh programov skupni viri. Vsaka skupina omogoča branje ali pisanje določeno datoteko ali sistemskega imenika, s čimer se urejajo dovoljenja uporabnika in s tem proces, ki ga zažene ta uporabnik. Tu lahko štejemo, da je uporabnik isto kot proces, saj ima proces vse pravice uporabnika, od katerega se zažene.
Oglejmo si podrobneje vsako od skupin, da bomo bolje razumeli, zakaj so potrebne:
- daemon- storitve, ki potrebujejo možnost zapisovanja datotek na disk, se zaženejo v imenu te skupine in uporabnika demona.
- sys- skupina omogoča dostop do virov jedra in vključuje datoteke, shranjene v sistemu
- sinhronizacija- omogoča izvajanje ukaza /bin/sync
- igre- Omogoča igram, da svoje nastavitvene datoteke in zgodovino zapišejo v določeno mapo
- moški- omogoča dodajanje strani v imenik /var/cache/man
- lp- omogoča uporabo naprav z vzporednimi vrati
- pošta- omogoča pisanje podatkov poštnih predalov/var/mail/
- zastopnik- uporabljajo ga proxy strežniki, ni dostopa do zapisovanja datotek na disk
- www-podatki- spletni strežnik se zažene s to skupino, omogoča dostop do vnosa /var/www, kjer se nahajajo datoteke spletnih dokumentov
- seznam- omogoča ogled sporočil v /var/mail
- nogroup- uporablja se za procese, ki ne morejo ustvarjati datotek na trdem disku, ampak jih le berejo, običajno se uporablja v povezavi z uporabnikom nobody.
- adm- omogoča branje dnevnikov iz imenika /var/log
- tty- vse naprave /dev/vca omogočajo dostop za branje in pisanje uporabnikom iz te skupine
- disk- odpre dostop do trdih diskov /dev/sd* /dev/hd*, lahko rečemo, da je to analog korenskega dostopa.
- klicanje - popoln dostop na serijska vrata
- CD ROM- dostop do CD-ROM-a
- kolo- omogoča zagon pripomočka sudo za povečanje privilegijev
- zvok- upravljanje zvočnih gonilnikov
- src- popoln dostop do virov v imeniku /usr/src/
- senca- omogoča branje datoteke /etc/shadow
- utmp- omogoča pisanje v datoteke /var/log/utmp /var/log/wtmp
- video- omogoča delo z video gonilnikom
- plugdev- omogoča montažo zunanje naprave USB, CD itd
- osebje- omogoča pisanje v mapo /usr/local
Zdaj, ko veste, zakaj uporabljate skupine v Linuxu in kaj so privzeto, si poglejmo upravljanje skupin LInux.
Upravljanje skupine Linux
Skupine lahko upravljate tudi z grafičnim vmesnikom. KDE ima program z imenom Kuser, ki je posebej zasnovan za to, v Gnome pa se to izvaja s sistemskimi nastavitvami. Poleg tega imajo priljubljene distribucije ločena orodja, kot je YaST v OpenSUSE oz Nastavitve Ubuntuja. Nos grafični vmesnik Mislim, da boš ugotovil. Ogledali si bomo upravljanje skupin Linux prek terminala. Najprej se posvetimo datotekam in šele nato uporabnikom.
Ko je datoteka ustvarjena, ji je dodeljena primarna skupina uporabnika, ki jo je ustvaril. Takole je:
Tukaj lahko vidite, da je lastnik vseh map sergiy in da je tudi skupina sergiy. Pravilno, saj sem te uporabnike ustvaril jaz. Ampak pojdimo dlje:
Tukaj vidimo, da so diskovne naprave sd* dodeljene skupini diskov, kar vse pomeni, da lahko uporabnik, ki pripada tej skupini, dostopa do njih. Ali drug primer:
Vse je tako, kot smo razpravljali v prejšnjem odstavku. Toda teh skupin ne more nastaviti samo sistem, ampak lahko sami ročno spremenite skupine datotek; za to obstaja ukaz chgrp:
chgrp ime_skupine ime_datoteke
Na primer, ustvarimo testno datoteko:
In spremenimo skupino za to:
Če želite ustvariti skupino linux, lahko to storite z ukazom newgrp:
test sudo groupadd
Situacija z uporabniki je nekoliko bolj zapletena. Uporabnik ima glavno skupino, ki je določena med ustvarjanjem, in več dodatnih. Glavna skupina se od običajnih razlikuje po tem, da imajo to skupino vse datoteke v domačem imeniku uporabnika in ko jo spremenite, se spremeni tudi skupina teh imenikov. To skupino prejmejo tudi vse datoteke, ki jih ustvari uporabnik. Potrebne so dodatne skupine, da lahko uporabnikom omogočimo dostop do različnih virov, tako da jih dodamo v te skupine v Linuxu.
Upravljanje skupin Linux za uporabnika poteka z ukazom usermod. Oglejmo si njegovo sintakso in možnosti:
možnosti $usermod Uporabniško ime
- -G- dodatne skupine, v katere morate dodati uporabnika
- -g spremeni primarno skupino za uporabnika
- -R odstranite uporabnika iz skupine.
Uporabnika lahko dodate v skupino z ukazom usermod:
sudo usermod -G -a ime_skupine uporabniško ime
Uporabnika lahko v skupino linux začasno dodate z ukazom newgrp. Odprla se bo nova lupina in v njej bo uporabnik imel potrebna dovoljenja, vendar se bo po zaprtju vse vrnilo, kot je bilo:
sudo newgrp ime_skupine
Kot primer dodajmo našega uporabnika v skupino diskov, tako da lahko neposredno dostopamo do trdih diskov brez ukaza sudo:
sudo usermod -G -a disk sergiy
Zdaj lahko priklopite diske brez ukaza sudo:
mount /dev/sda1 /mnt
Skupine linux, v katerih je uporabnik član, si lahko ogledate z ukazom:
Uporabite lahko tudi ukaz id. V prvem primeru preprosto vidimo seznam skupin Linux, v drugem pa sta dodatno navedena skupina in ID uporabnika. Če želite dodati uporabnika v skupino Linux, uporabite možnost -g za primarno skupino.
Ustvarimo uporabnika vivek in ga dodamo v skupino razvijalcev. Prijavite se kot root uporabnik:
Na primer, dodajmo uporabnika vivek:
useradd -g uporabniki -G skrbniki,ftp,www,razvijalci -s/bin/bash -strxxxx-d/doma/duh -m vivek
- -d domači imenik
- -s nastavite začetno lupino (/bin/sh) - nato jo lahko spremenite v datoteki /etc/passwd
- -str geslo
- -g primarna skupina, kateri je uporabnik dodeljen (skupina mora obstajati)
- -G druge skupine, ki jim je uporabnik dodeljen
- -m ustvarite domači imenik za uporabnika
- xxxx uporabniško geslo z znaki
Prepričajmo se, da skupina razvijalcev obstaja:
# grep razvijalci /etc/group
Če skupine ni, uporabite ukaz groupadd za ustvarjanje nove skupine razvijalcev:
Zdaj uporabite ukaz uporabniški mod dodajte uporabnika vivek v skupino razvijalcev:
# adduser vivek razvijalci && razvijalci newgrp
Prepričajmo se, da je uporabnik dodan v skupino razvijalcev:
#id vivek
Izhod:
uid=1122(vivek) gid=1125(vivek) skupine=1125(vivek),1124(razvijalci)
Nastavite/spremenite geslo za uporabnika vivek:
Igrajmo se s skupinami
Uporabniku vivek povejmo, naj sodeluje samo v skupini razvijalcev
uporabniški mod-G razvijalci vivek
Uporabniku vivek povejmo, naj sodeluje samo v skupinah skrbnikov, ftp, www, razvijalcev, tako da vnese:
# usermod -G skrbniki,ftp,www,razvijalci vivek
Uporabnika vivek odstranimo iz nekaterih skupin (ponovno mu dodelimo skupine):
# usermod -G ftp,www vivek
zdaj vivek ni vključen v skupine skrbnikov in razvijalcev.
Opomba: ekipa uporabniški mod ne bo spremenil uporabniškega imena, če je ta uporabnik v ta trenutek deluje v sistemu.
userdel— izbriši uporabnika
Na primer, izbrišite uporabnika vivek:
- -r izbrišite uporabnika skupaj z domačim imenikom
Podrobna SINTAKSA
useradd [-u identifikator[-o] [-i]] [-g skupina] [-G skupina[[,skupina] . . .]] [-d katalog] [-s lupina] [-c komentar] [-m [-k skel_dir]] [-f neaktiven] [-e poteče] [-str passgen] [-a dogodek[, . . .]] reg_nameNatančen opis
Pokliči useradd običajno doda nov uporabniški vnos v sistemske podatkovne datoteke identifikacija in preverjanje identitete(Identifikacija in avtentikacija – I&A). Izjema so uporabniki omrežna informacijska storitev(Network Information Service ali na kratko NIS). Prav tako vam omogoča, da določite članstvo v dodatnih skupinah za uporabnika (možnost -G) in ustvarite začetni imenik zanj (možnost -m). Nova prijava je blokirana, dokler se ukaz ne izvrši passwd.
Takoj po namestitvi so v datoteki navedene standardne vrednosti za različne parametre /etc/default/useradd. Privzete vrednosti za spodaj navedene možnosti, ki zahtevajo privzete vrednosti, lahko spremenite z ukazom defadm.
Objave sistemsko datoteko, ustvarjene s tem ukazom, imajo omejitev dolžine 512 znakov na vrstico. Če je več možnostim podanih dolgih argumentov, je ta omejitev morda kršena.
Podprte so naslednje možnosti:
| -u identifikator | Identifikacijska številka uporabnika (UID). To število mora biti nenegativno celo število, ki ni večje od MAXUID, opredeljeno v sys/param.h. Privzeto je naslednji razpoložljivi (edinstveni) UID, ki ni podedovan, večji od 99. Ta možnost je prezrta, če bo novo prijavo upravljala omrežna informacijska storitev (NIS). Za več informacij o tem glejte spodnji razdelek »Imena registracije omrežnih informacijskih storitev«. |
| -o | Ta možnost vam omogoča, da podvojite UID (naj bo neenoličen). Od zaščite sistema kot celote, pa tudi celovitosti revizijska sled(revizijska sled) in računovodske informacije(računovodski podatki) je zlasti odvisen od edinstvene korespondence vsakega UID-ja z določeno osebo, zato uporaba te možnosti ni priporočljiva (za zagotovitev, da so uporabniška dejanja upoštevana). |
| -jaz | Omogoča uporabo starega UID-ja. |
| -g skupina | Celoštevilski identifikator ali simbolično ime obstoječe skupine. Ta možnost določa jedrna skupina(primarna skupina) za novega uporabnika. Privzeto se uporablja standardna skupina, navedena v datoteki /etc/default/useradd |
| -G skupina[[,skupina] . . .] | Eden ali več elementov na seznamu, ločenem z vejicami, od katerih vsak predstavlja identifikator celega števila ali simbolično ime obstoječe skupine. Ta seznam določa članstvo v dodatnih skupinah(dopolnilno članstvo v skupini) za uporabnika. Ponavljanja se ne upoštevajo. Število elementov na seznamu ne sme preseči NGROUPS_MAX- 1, saj skupno število dodatnih skupin za uporabnika in glavno skupino ne sme preseči NGROUPS_MAX. Ta možnost je prezrta, če bo novo prijavo upravljala omrežna informacijska storitev (NIS). Glejte "Imena registracije storitev omrežnih informacij" spodaj. |
| -d imenik | Začni imenik(domači imenik) novega uporabnika. Dolžina tega polja ne sme presegati 256 znakov. Privzeto je HOMEDIR/reg_name, Kje HOMEDIR- osnovni imenik za začetne imenike novih uporabnikov in reg_name- registracijsko ime novega uporabnika. |
| -s lupino | Celotna pot do programa, ki se uporablja kot začetna lupina za uporabnika takoj po registraciji. Dolžina tega polja ne sme presegati 256 znakov. Privzeto je to polje prazno, kar prisili sistem k uporabi standardnega tolmača ukazov /usr/bin/sh. Kot vrednost lupina navesti je treba obstoječo izvršljivo datoteko. |
| -c komentar | Kateri koli besedilni niz. Ponavadi to Kratek opis registracijsko ime in se zdaj uporablja za označevanje priimka in imena pravega uporabnika. Ti podatki so shranjeni v zapisu uporabnika v datoteki /etc/passwd. Dolžina tega polja ne sme presegati 128 znakov. |
| -m | Ustvari nov uporabniški domači imenik, če še ne obstaja. Če imenik že obstaja, mora imeti uporabnik, ki ga dodajate, dovoljenje za dostop do navedenega imenika. |
| -k skel_dir | Kopira vsebino imenika skel_dir v domači imenik novega uporabnika, namesto v vsebino standardnega "okostnega" imenika, /etc/skel. Katalog skel_dir mora obstajati. Standardni "skeleton" imenik vsebuje standardne datoteke, ki določajo uporabnikovo delovno okolje. Imenik, ki ga določi skrbnik skel_dir lahko vsebuje podobne datoteke in imenike, ustvarjene za določen namen. |
| -f neaktiven | Največje dovoljeno število dni med uporabami registracijskega imena, preden je ime že razglašeno za neveljavno. Običajno so vrednosti pozitivna cela števila. |
| -e poteče | Datum, od katerega registracijskega imena ni več mogoče uporabljati; po tem datumu noben uporabnik ne bo mogel dostopati pod to prijavo. (Ta možnost je uporabna pri ustvarjanju začasnih prijav.) Vnesite vrednost argumenta poteče(ki predstavlja datum) je lahko v kateri koli obliki (razen julijanskega datuma). Vnesete lahko na primer 10/6/99 ali 6. oktober 1999. |
| -p prepustnica | Označuje, da polje FLAG v datoteki /etc/shadow mora biti nastavljen na določeno vrednost. Do tega polja dostopate z ukazom passwd da ugotovi, ali je generator gesel veljaven za danega uporabnika. Če možnost -str ni izrecno navedeno, vnos se preveri VSILJEN_PASS v datoteki /etc/default/useradd za določitev vrednosti za ustrezno polje v /etc/shadow. Če zapisi VSILJEN_PASS ne v /etc/default/useradd, v ustreznem polju vnosa v /etc/shadow ne bo pomembno. Če vrednost VSILJEN_PASS je enako 1, vnos v /etc/shadow dobi vrednost 1. Če vrednost passgen ni prazen in ni natisljiv znak ASCII, se izda diagnostično sporočilo. |
| - dogodek | Seznam vrst dogodkov ali razredov, ločenih z vejicami, oblikovanje revizijska maska(revizijska maska) za uporabnika. Takoj po namestitvi sistema ni standardne revizijske maske za uporabnika, lahko pa jo nastavimo v datoteki /etc/default/useradd z uporabo ukaza defadm. To možnost je mogoče uporabiti le, če so nameščeni pripomočki za revizijo. (Če želite izvedeti, kateri paketi so nameščeni v sistemu, zaženite ukaz pkginfo.) |
| reg_name | Natisljiv niz, ki določa prijavno ime za novega uporabnika. Ne sme vsebovati dvopičja ( : ) in znakov za pomik vrstice ( \n). Prav tako se ne sme začeti z veliko začetnico. |
Upoštevajte, da je veliko privzetih vrednosti za zgoraj obravnavane parametre mogoče spremeniti z ukazom defadm, zasnovan za delo z datoteko /etc/default/useradd. Te privzete vrednosti veljajo samo za lokalne uporabnike. Za uporabnike NIS so privzete vrednosti nastavljene v podatkovni zbirki Network Information Service. Če želite spremeniti privzete nastavitve NIS, morate podati možnosti v ukazni vrstici.
Registracijska imena storitev omrežnih informacij
Če se prijavno ime začne z znakom + , (npr. +chris), bo definicijo uporabnika upravljala omrežna informacijska storitev (NIS). Privzete vrednosti bodo določene na podlagi baze podatkov NIS in ne datoteke /etc/defaults/useradd. Vrednosti argumentov za možnosti -u, -g in -G bo tiho prezrt, če so podane te možnosti. Namesto tega bodo vrednosti ID-ja uporabnika in ID-ja skupine vzete iz baze podatkov NIS. Za podrobnosti si oglejte stran s pomočjo. passwd. Upoštevajte, da mora pri dodajanju uporabnika NIS prijava že obstajati v bazi podatkov NIS. Na primer, če želite dodati prijavno ime Chris kot uporabniško ime NIS, Chris mora že obstajati v bazi podatkov NIS. Potem morate poklicati useradd z registrskim imenom +chris da označite, da je treba dodati uporabnika Chris kot uporabnik NIS, ne kot lokalni uporabnik.
DATOTEKE
/etc/default/useradd/etc/skupina
/etc/passwd
/etc/security/ia/ageduid
/etc/security/ia/audit(če so nameščeni Auditing Utilities)
/etc/security/ia/index
/etc/security/ia/master
/etc/shadow
/etc/skel
DIAGNOSTIKA
Ekipa useradd izhod s povratno kodo 0, če je uspešen. Če pride do napak, se lahko prikažejo naslednja sporočila:
Neveljavna sintaksa ukazna vrstica.
Sintaksa ukazne vrstice je bila neveljavna.
V možnosti je bil podan neveljaven argument.
Z možnostjo je bil naveden neveljaven argument.
Identifikator, naveden v možnosti -u, je že v uporabi, vendar možnost -o ni navedena.
UID, določen z možnostjo -u, je že v uporabi, možnost -o pa ni bila navedena.
Skupina, navedena z možnostjo -g, ne obstaja.
Skupina, podana z možnostjo -g, to počne ne obstaja.
Podano prijavno ime ni edinstveno.
Navedena prijava ni edinstvena.
Spreminjanje /etc/group ni uspelo. Prijava je dodana v datoteko /etc/passwd, ne pa v datoteko /etc/group.
/etc/group ni mogoče posodobiti. Prijava je bila dodana v datoteko /etc/passwd, ne pa v datoteko /etc/group.
Začetnega imenika ni bilo mogoče ustvariti (z možnostjo -m) ali kopiranje skel_dir v začetni imenik ni uspelo.
Ni mogoče ustvariti domačega imenika (z možnostjo -m) ali ni mogoče dokončati kopije skel_dir v domači imenik.
ID ni dovolj star. Izberite drugega.
uid ni dovolj star. Izberite drugega.
Podana je bila neveljavna možnost -a; sistemska storitev ni nameščena.
Podana je bila neveljavna možnost -a; sistemska storitev ni nameščena.
Podan tip ali razred revizijskega dogodka ni veljaven.
Podan je bil neveljaven tip revizijskega dogodka ali dogodek razreda.
Sistemi, ki omogočajo večuporabniški dostop, bodisi operacijski sistem OS, programsko opremo(programska oprema), sistem za upravljanje vsebin (CMS), je zelo pomembno imeti orodja za zanesljivo upravljanje uporabnikov (njihovih računov oz. računov, uporabniških konfiguracij, domačih imenikov itd.), kot tudi za organizacijo in upravljanje samega uporabniškega dostopa. V takih primerih je kompetentno in premišljeno upravljanje uporabnikov (natančneje njihovih računov) ključni vidik, od katerega je odvisna varnost, stabilnost in posledično zanesljivost celotnega sistema. Sodobne distribucije Linuxa imajo avtomatizirani sistemi upravljanje uporabnikov z jasno grafiko Uporabniški vmesnik(GUI), ki vam omogoča hitro in priročno izvajanje rutinskih (kot se v resnici izkaže) dejavnosti za upravljanje uporabnikov in konfiguracijo njihovih računov. Zelo pomembno pa je vedeti in razumeti, kako in kakšni dejanski procesi in spremembe se dogajajo v samem sistemu med upravljanjem uporabnikov.
Dodajanje uporabnikov v Linux
Če želite v sistem dodati novega uporabnika z imenom John, preprosto zaženite ukaz:
$sudo useradd john
To bo ustvarilo naslednji vnos v datoteki /etc/passwd:
John:x:535:20: :/home/john:/bin/sh
Vendar ekipa useradd ima veliko večje možnosti, npr.
$ sudo useradd -c "John Silver" -d /home/pirates/john -g pirates -G john -m -s /bin/bash john
Ta ukaz bo v sistem dodal uporabnika s polnim imenom "John Silver" in uporabniškim imenom "john". Če ga vključite v glavno skupino "pirates", ga dodate tudi v drugo dodatno skupino "john" in mu dodelite domači imenik na /home/pirates/john. Posledično bo ustrezen vnos v datoteki /etc/passwd nekaj takega:
John:x:535:30:John Silver:/home/pirates/john:/bin/bash
Ekipa useradd samodejno ustvari domači imenik uporabnika, če še ni bil ustvarjen. A vanj kopira tudi datoteke iz /etc/skel/.
Celoten seznam parametrov useradd
Uporaba: useradd [možnosti] USER
useradd -D
useradd -D [možnosti]
Opcije:
-b, --base-dir BAZ_KAT osnovni imenik za domači imenik novega
račun
-c, --comment polje COMMENT GECOS novega računa
-d, --home-dir DOM_KAT domači imenik novega računa
-D, --defaults prikaže ali spremeni nastavitve
privzeto za useradd
-e, --expiredate DATE_STATE datum poteka veljavnosti novega računa
-f, —neaktivno NEAKTIVNOST obdobje neaktivnosti novega gesla računa
-g, --gid SKUPINA ime ali ID primarne skupine novega
račun
-G, --groups SKUPINE seznam dodatnih skupin novega
račun
-k, --skel CAB_SHAB uporabi alternativni imenik s predlogami
-K, --key KEY=VREDNOST nadomesti privzeto vrednost
iz /etc/login.defs
-l, --no-log-init ne dodaj uporabnika v baze podatkov lastlog in
faillog
-m, --create-home ustvari domači imenik uporabnika
-M, --no-create-home ne ustvari uporabnikovega domačega imenika
-N, --no-user-group ne ustvarite skupine z istim imenom kot
uporabnik
-o, --non-unique omogočajo ustvarjanje uporabnikov z
ponavljajoči se (ne edinstveni) UID-ji
-str, --password GESLO šifrirano geslo za nov račun
-r, --system ustvari sistemski račun
-R
-s, --shell SHELL registracijska lupina novega
račun
-u, —uid UID ID uporabnika novega računa
-U, --user-group ustvari skupino z istim imenom kot
uporabnik
-Z, --selinux-user SEUSER uporabi podanega SEUSER za
Preslikava po meri SELinux
Ustvarjanje in dodelitev domačega imenika uporabniku
Običajno se domači imenik ustvari samodejno, ko je uporabnik dodan v sistem. Toda včasih se domači imenik iz nekega razloga ne ustvari. In potem ga je treba ustvariti. Če želite ustvariti domači imenik uporabnika, uporabite standardni ukaz mkdir. Po tem morate kopirati potrebne konfiguracijske skripte v domači imenik (za organizacijo delovnega okolja uporabnika), nato pa z ukazoma chown in chmod nastaviti lastnika in načine dostopa do imenika in njegove vsebine. To je najbolje storiti, ko so vse konfiguracijske datoteke kopirane v ciljni imenik. Na primer:
$ mkdir /home/john/ $ cd /etc/skel/ $ cp -Rp. /home/john/ $ chown -R john:john /home/john/ $ chmod -R 644 /home/john/ $ find /home/john/ -type d -exec chmod 755 () \;
Kot lahko vidite, so bile konfiguracijske datoteke kopirane iz imenika /etc/skel/ - tu so shranjeni primeri konfiguracij zagona, ki jih je mogoče po potrebi urejati. Mimogrede, spremenjena kopija datotek iz imenika /etc/skel/ mora biti shranjena v imeniku usr/local/etc/skel. Pri nastavitvi lastnika domačega imenika je treba paziti, da (v primeru neprevidne uporabe ukaza chown) uporabnik ne postane lastnik psevdoimenika "..", to je zgornje ravni imenika, ki je pogosto /home imenik, kar je iz varnostnih razlogov nesprejemljivo.
Ustvarjanje gesla za uporabnika
Iz varnostnih razlogov mora imeti vaš račun močno geslo. Ki naj bo nastavljen takoj po ustvarjanju uporabniškega računa:
$ sudo passwd ime_novega_uporabnika
Na primer za uporabnika jonh:
$ sudo passwd john Novo geslo: Znova vnesite novo geslo: passwd: Vsi podatki za preverjanje pristnosti so bili uspešno posodobljeni.
Preverjanje računa
Preden podatke in začetno geslo za prijavo v svoj račun prenesete na novega uporabnika, ga je treba preveriti. Če želite to narediti, morate končati trenutno sejo. In se prijavite pod imenom novega uporabnika (katerega račun je treba preveriti). In zaporedoma zaženite naslednje ukaze:
$ pwd $ ls -al
Prvi bo prikazal domači imenik za trenutnega uporabnika, drugi bo prikazal seznam vseh (vključno s skritimi) datotekami in podimeniki v domačem imeniku z navedbo njihovega lastnika in načinov dostopa.
Vodenje računa
Kot smo že omenili, za upravljanje uporabnikov v sistemih Linux obstajajo nabori specializiranih pripomočkov za dodajanje, urejanje in brisanje računov (uporabnikov) - useradd, usermod in userdel. Sledijo predpisanemu vrstnemu redu dejanj za dosego končnega cilja – na primer v primeru dodajanja novega uporabnika ukaz useradd v skladu s tem proizvede celoten zgoraj opisani "niz dejavnosti". Vsak od teh pripomočkov je mogoče prilagodljivo konfigurirati z uporabo konfiguracijskih datotek, ki jih mimogrede zelo aktivno uporabljajo razvijalci distribucij Linuxa. Navsezadnje se v različnih sistemih Linux delovanje teh pripomočkov nekoliko razlikuje, čeprav so pripomočki v bistvu enaki. Spodaj je tabela, ki prikazuje ukaze in konfiguracijske datoteke za upravljanje uporabnikov za nekatere sisteme z uporabo pripomočka kot primer useradd:
| Sistem | Ekipe | Konfiguracijske datoteke | Komentar |
| Ubuntu | useradd | /etc/login.defs | |
| adduser | /etc/default/useradd | Perl različica | |
| /etc/adduser.conf | |||
| SUSE | useradd | /etc/login.defs | |
| /etc/default/useradd | |||
| /etc/default/passwd | |||
| /usr/sbin/useradd.local | Lokalne nastavitve | ||
| /usr/sbin/userdel.local | Lokalne nastavitve | ||
| /usr/sbin/userdel-pre.local | Lokalne nastavitve | ||
| /usr/sbin/userdel-post.local | Lokalne nastavitve | ||
| rdeč klobuk | useradd | /etc/login.defs | |
| /etc/default/useradd | |||
| Solaris | useradd | /etc/default/(prijava,geslo) | |
| /etc/security/policy.conf |
Odstranjevanje uporabnikov
Če želite uporabnike odstraniti iz sistema, uporabite ukaz userdel, na primer ukaz
userdel john
Izbrisal bo uporabnika john, vendar pogosto (kot ukaz useradd, mimogrede) ne v "čisti" obliki, ampak v obliki lupin Perl z uporabo skripta za brisanje računa. Na primer, distribucije Ubuntu uporabljajo ukaz deluser, ki je pogost skript Perl. Kar pa sam pokliče ukaz userdel, da izbriše in počisti vse, kar je ukaz prej naredil useradd. V tem primeru se uporabi skriptna datoteka (običajno datoteka /etc/deluser.conf v Ubuntuju in /etc/login.defs v RedHatu). Kar vam omogoča, da nastavite naslednje možnosti za ukaz userdel:
Uporaba: userdel [možnosti] USER
Opcije:
-f, --force vsili brisanje uporabnika in datotek, tudi če so trenutno v uporabi
-r, --remove odstranite domači imenik in nabiralnik
-R, --root CAT_CHROOT imenik za chroot
-Z, --selinux-user odstrani vse uporabniške preslikave
SELinux za uporabnika
Datoteka /etc/passwd – opis lokalnih računov
Če sistem ne uporablja nobene avtomatizirane storitve upravljanja imenikov (na primer LDAP, NIS), potem je datoteka /etc/passwd datoteka, ki shranjuje informacije o uporabniških računih, ki jih sistem pozna. Sistem dostopa do te datoteke vsakič, ko se uporabnik poskuša avtentikirati, išče zahtevani ID uporabnika in določa njegov domači imenik. Oblika te datoteke je, da vsaka vrstica v njej ustreza enemu določenemu uporabniku (računu), ki (v vrstici) navaja atribute (polja) računa, ločene z dvopičjem:
- Uporabniško ime.
- Uporabniško geslo (šifrirano) ali geslo »placeholder«.
- Uporabniško ime.
- ID skupine uporabnikov (privzeto).
- Podatki GECOS - polno ime, pisarna, telefonske številke ipd.
- Domači imenik.
- Registracijska lupina.
Vsebina datoteke /etc/passwd je lahko videti takole: Kot lahko vidite, drugo polje za vse vnose vsebuje "x", ogrado za geslo. V sistemih Linux so šifrirana gesla shranjena ločeno v datoteki /etc/shadow. Če se storitev avtomatiziranega upravljanja imenikov uporablja v povezavi z datoteko /etc/passwd, potem ista datoteka vsebuje vnose, ki se začnejo z znakom »+«. Ti vnosi nudijo navodila za integracijo storitev upravljanja imenika v sistem. Vredno je hitro pogledati polja računa:
- Uporabniško ime ali prijavno ime- edinstveno ime, ki mora biti sestavljeno v skladu s pravili za izdelavo registracijskih imen za določen sistem. Za Linux je lahko prijavno ime dolgo do 32 znakov. Uporabljajo se lahko samo male črke in številke. Registracijsko ime se mora začeti s črko.
- Šifrirano geslo- kot že omenjeno, so gesla za lokalne račune shranjena v /etc/shadow v šifrirani obliki. V Linuxu se algoritmi crypt, MD5 in Blowfish uporabljajo kot kriptografska orodja za šifriranje gesel. Najmanjša dolžina gesla je 5 znakov, največja pa 8
- Uporabniško ime je nepredznačeno celo število, po katerem sistem »prepozna« posamezne uporabnike, zato identifikatorje uporabnikov uporablja sistem in programsko okolje, uporabniška imena pa se uporabljajo za jasnost in lažjo predstavitev uporabnikov v sistemu. Za root uporabnik identifikatorska številka 0 je rezervirana; prav tako je priporočljivo, da identifikatorje po 500 dodelite pravim uporabnikom, saj je lahko v sistemu veliko "nepersonaliziranih" uporabnikov, kot sta bin ali daemon - tako bo seznam uporabnikov urejen in izogibajte se zmedi. Sistemi Linux ponujajo tudi psevdouporabnika nobody z identifikatorjem -1 ali -2. Običajno se ta psevdouporabnik uporablja, ko sistemski superuporabnik poskuša dostopati do datotek, nameščenih iz drugega računalnika, ki ne zaupa izvirnemu računalniku.
- ID skupine- nepredznačeno celo število, podobno identifikatorju uporabnika, namenjeno označevanju edinstvenih skupin uporabnikov v sistemu. Številka skupine 0 je rezervirana za korensko skupino. Skupine se uporabljajo predvsem za priročno upravljanje in skupno rabo datotek. Kot pri ID-jih uporabnikov sistem rezervira skupine (kot je bin) za uporabo s strani samega sistema.
- PoljeGECOS– informacije, ki nimajo jasno opredeljene specifikacije, odražajo dodatne podatke o uporabniku: njegovo polno ime, telefonske številke, informacije o položaju in oddelku itd. Podatke v tem polju lahko spremenite z ukazom chfn.
- Domači imenik- »mesto« v drevesu datotečnega sistema, ki je rezervirano za shranjevanje podatkov določenega uporabnika. Iz varnostnih razlogov mora biti ta imenik dostopen samo uporabniku, ki je lastnik tega imenika. Če ob registraciji ni domačega imenika, se uporabniški podatki shranijo v imenik /. Poleg tega, če je možnost DEFAULT_HOME v datoteki /etc/login.defs, ki določa privzeti domači imenik, nastavljena na ne, avtorizacija/registracija uporabnika ne bo mogoča.
- Registracijska lupina- ukazna lupina za ukazni tolmač (ali kateri koli drug program), ki se zažene, ko se uporabnik prijavi v svoj račun. Za Linux se uporablja tolmač
Datoteka /etc/group – ustvarjanje in brisanje skupin uporabnikov
Dodajanje nove skupine v Linuxu se izvede z ukazom
$groupadd ime_skupine
kjer je ime_skupine ime nove skupine. Ta ukaz bo ustvaril nov vnos v datoteki /etc/group
Format te datoteke je enak formatu /etc/passwd. Primer vsebine datoteke /etc/group: 
Kot lahko vidite, vsaka vrstica vključuje štiri polja:
- Ime skupine.
- Šifrirano geslo ali nadomestno mesto za geslo.
- Enolični identifikator skupine.
- Seznam uporabnikov, vključenih v to skupino, ki vsebuje uporabniška imena, ločena z vejicami brez presledkov.
Zanimiva stvar tukaj je polje za geslo. Namen gesla skupine je omogočiti uporabnikom, da se pridružijo skupini z ukazom newgrp. Geslo za samo skupino se nastavi z ukazom gpasswd, nato pa se v šifrirani obliki shrani v datoteko /etc/gshadow. Vendar je treba opozoriti, da se gesla za skupine uporabljajo izjemno redko. Sistemski skrbniki Vsebino datotek /etc/passwd in /etc/group morate spremljati in ju usklajevati med seboj, saj včasih pride do situacij, ko je uporabnik naveden kot član skupine v datoteki /etc/passwd in hkrati čas, ko v datoteki /etc/group ni take deklaracije. Opozoriti je treba, da bo v tem primeru uporabnik obravnavan kot član skupine, vendar je še vedno močno priporočljivo, da sta vsebini obeh datotek skladni.
Privzeto v distribucijah Linuxa (razen SUSE), ko ustvarite uporabnika (pripomoček useradd) se ustvari njegova istoimenska skupina, v katero je takoj vključen. To je zagotovljeno, da se čim bolj odpravi možnost, da bi različni uporabniki dostopali do datotek drug drugega.
Uporabniško skupino lahko izbrišete z ukazom
$groupdel ime_skupine
Ta ukaz bo odstranil vnos iz /etc/group.
Datoteka /etc/shadow – shranjevanje gesel
Ločena datoteka /etc/shadow se uporablja za shranjevanje skritih ali senčnih gesel. Dostop do katerega ima le superuporabnik. Upoštevati je treba tudi, da sta datoteki /etc/shadow in /etc/passwd konceptualno povezani, vendar na sistemski ravni med njima praktično ni interakcije. Le da je polje, ki vsebuje prijavno ime v senci, vzeto iz passwd. Tisti. Pri spreminjanju sence se spremembe ne odražajo samodejno v passwd - te datoteke so shranjene ločeno in jih sistem obdeluje neodvisno eno od druge. Format /etc/shadow je podoben /etc/passwd in vsaka vrstica vključuje naslednja polja:
- Registracijsko ime.
- Geslo je šifrirano.
- datum zadnja sprememba geslo.
- Najmanjše število dni med spremembami gesla.
- Največje število dni med spremembami gesla.
- Število dni pred izdajo sporočila o poteku gesla.
- Število dni (po poteku gesla), dokler račun ni samodejno preklican.
- Obdobje veljavnosti računa.
- Rezervirano polje.
Vnos iz datoteke /etc/shadow je videti takole:
Janez:$md5$em5JhGE$a$iQhgS70sakdRaRFyy7Ppj. :14469:0:180:14: : :
Upoštevati je treba, da sta prvi dve polji obvezni. Oblika datumskih polj ustreza številu dni, ki so pretekli od 1. januarja 1970. Polje registracijskega imena je, kot že omenjeno, izpolnjeno z ustrezno vrednostjo iz datoteke /etc/passwd. V sistemu Linux sedmo polje vsebuje vrednost, ki določa, kako dolgo (v dneh) po poteku gesla bo račun samodejno onemogočen. Ta razlaga se razlikuje od tiste, ki se uporablja v sistemih Solaris in HP-UX. V osmem polju lahko z ukazom usermod v obliki llll-mm-hh nastavite datum poteka računa.
Če najdete napako, označite del besedila in kliknite Ctrl+Enter.
