LFCA: õppige kasutajakonto haldamist - 5. osa

Linuxi süsteemiadministraatorina on teil ülesandeks tagada kõigi teie organisatsiooni IT-toimingute sujuv kulg. Arvestades, et mõned IT-toimingud on omavahel põimunud, kannab süsteemiadministraator tavaliselt palju mütse, sealhulgas andmebaasi või võrguadministraator.

See artikkel on LFCA-seeria 5. osa, siin selles osas tutvute üldiste süsteemihalduse käskudega kasutajate loomiseks ja haldamiseks Linuxi süsteemis.

Kasutajakonto haldamine Linuxis

Linuxi süsteemiadministraatori üks peamisi ülesandeid on kasutajate loomine ja haldamine Linuxi süsteemis. Igal kasutajakontol on 2 kordumatut identifikaatorit: kasutajanimi ja kasutajatunnus (UID).

Põhimõtteliselt on Linuxis kolm peamist kasutajakategooriat:

Juurkasutaja on Linuxi süsteemi kõige võimsam kasutaja ja see luuakse tavaliselt installiprotsessi käigus. Juurkasutajal on Linuxi süsteemis või mõnes muus UNIX-laadses operatsioonisüsteemis absoluutne jõud. Kasutajal on juurdepääs kõigile käskudele, failidele ja kataloogidele ning süsteemi saab muuta vastavalt oma eelistustele.

Juurkasutaja saab ilma piiranguteta süsteemi värskendada, pakette installida ja desinstallida, teisi kasutajaid lisada või eemaldada, õigusi anda või tühistada ja muid süsteemihalduse ülesandeid täita.

Juurkasutaja saab süsteemis peaaegu kõike teha. Linuxi ja UNIX-i sarnaste süsteemide eeldus on, et teate hästi, mida süsteemiga teete. See tähendab, et juurkasutaja saab süsteemi lihtsalt rikkuda. Piisab, kui täidate saatusliku käsu ja süsteem on suitsus.

Sel põhjusel on käskude käivitamine juurkasutajana väga soovitatav. Selle asemel nõuab hea tava sudo kasutaja seadistamist. See tähendab tavalistele kasutajatele sudoõiguste andmist teatud haldusülesannete täitmiseks ja mõnede ülesannete piiramiseks ainult juurkasutajale.

Tavakasutaja on tavaline sisselogimise kasutaja, kelle saab luua süsteemiadministraator. Tavaliselt on selle loomiseks säte installiprotsessi ajal. Kuid pärast installimist saate ikkagi luua nii palju tavakasutajaid kui vaja.

Tavakasutaja saab täita ainult ülesandeid ja pääseda juurde failidele ja kataloogidele, mille jaoks neil on volitused. Vajadusel saab tavakasutajale anda kõrgendatud õigused haldustasandi ülesannete täitmiseks. Tavakasutajaid saab vajaduse korral ka kustutada või keelata.

See on sisselogimisväline konto, mis luuakse tarkvarapaketi installimisel. Selliseid kontosid kasutavad teenused süsteemis protsesside käivitamiseks. Need ei ole kavandatud ega mõeldud süsteemi rutiinsete või haldusülesannete täitmiseks.

Kasutajahalduse failid

Teave Linuxi süsteemi kasutajate kohta on salvestatud järgmistesse failidesse:

  • fail/etc/passwd
  • fail/etc/group
  • fail/etc/gshadow
  • /etc/shadow fail

Mõistame igat faili ja selle toiminguid:

Fail/etc/passwd sisaldab kasutajate kohta üsna palju teavet, mis sisaldub erinevates väljades. Faili sisu vaatamiseks kasutage lihtsalt kassi käsku, nagu näidatud.

$ cat /etc/passwd

Siin on väljavõtte jupp.

tecmint:x:1002:1002:tecmint,,,:/home/tecmint:/bin/bash

Keskendume esimesele reale ja täpsustame erinevad väljad. Alustades vasakpoolsest servast, on meil järgmine:

  • Kasutajanimi: see on kasutaja nimi, antud juhul tecmint.
  • Parool: teine veerg tähistab kasutaja krüptitud parooli. Parooli ei trükita lihttekstina, selle asemel kasutatakse x-märgiga kohatäidet.
  • UID: see on kasutajatunnus. See on iga kasutaja kordumatu tunnus.
  • GID: see on grupi ID.
  • Kasutaja lühikirjeldus või kokkuvõte.
  • See on tee kasutaja kodukataloogi. Tecminti kasutaja jaoks on meil olemas/home/tecmint.
  • See on sisselogimise kest. Tavapärase sisselogimise kasutaja jaoks on see tavaliselt tähis/bin/bash. Teenusekontode, näiteks SSH või MySQL, puhul on see tavaliselt tähistatud/bin/false.

See fail sisaldab teavet kasutajagruppide kohta. Kasutaja loomisel loob kest automaatselt rühma, mis vastab kasutaja kasutajanimele. Seda tuntakse kui esmast rühma. Kasutaja lisatakse loomisel põhirühma.

Näiteks kui loote kasutaja nimega bob, loob süsteem automaatselt rühma nimega bob ja lisab kasutaja bob rühma.

$ cat /etc/group

tecmint:x:1002:

Failil/etc/group on 3 veergu. Vasakult vasakult on meil:

  • Grupi nimi. Iga rühma nimi peab olema kordumatu.
  • Grupi parool. Tavaliselt tähistab x kohahoidja.
  • Grupi ID (GID)
  • Grupi liikmed. Need on gruppi kuuluvad liikmed. See väli jääb tühjaks, kui kasutaja on grupi ainus liige.

MÄRKUS. Kasutaja võib olla mitme rühma liige. Samamoodi võib grupil olla mitu liiget.

Kasutajate gruppide kinnitamiseks käivitage käsk:

$ groups username

Näiteks rühmade kontrollimiseks, kuhu kasutaja tecmint kuulub, käivitage käsk:

$ groups tecmint

Väljund kinnitab, et kasutaja kuulub kahte rühma: tecmint ja sudo.

tecmint : tecmint sudo

See fail sisaldab rühmakontode jaoks krüpteeritud või varjutatud paroole ja tavakasutajad ei saa turvalisuse huvides sellele juurde pääseda. Seda saavad lugeda ainult juurkasutajad ja sudoõigustega kasutajad.

$ sudo cat /etc/gshadow

tecmint:!::

Vasakpoolsest küljest sisaldab fail järgmisi välju:

  • Grupi nimi
  • Krüpteeritud rühma parool
  • Grupi administraator
  • Grupi liikmed

/ Etc/shadow fail salvestab kasutajate tegelikud paroolid räsitud või krüpteeritud vormingus. Jällegi on väljad kooloniga eraldatud ja võtavad näidatud vormingu.

$ sudo cat /etc/shadow

tecmint:$6$iavr8PAxxnWmfh6J$iJeiuHeo5drKWcXQ.BFGUrukn4JWW7j4cwjX7uhH1:18557:0:99999:7:::

Failil on 9 välja. Alustades vasakpoolsest servast on meil:

  • Kasutajanimi: see on teie sisselogimisnimi.
  • kasutaja parool. See esitatakse räsitud või krüpteeritud vormingus.
  • Viimane parooli muutmine. See on kuupäev alates parooli muutmisest ja seda arvutatakse ajastust alates. Epohh on 1. jaanuar 1970.
  • Parooli minimaalne vanus. See on minimaalne päevade arv, mis peab mööduma, enne kui parooli saab määrata.
  • Parooli maksimaalne vanus. See on maksimaalne päevade arv, mille möödudes tuleb parooli muuta.
  • Hoiatusperiood. Nagu nimigi ütleb, on see mitu päeva vahetult enne parooli aegumist, kui kasutajat teavitatakse eelseisvast parooli aegumisest.
  • Mitteaktiivsuse periood. Päevade arv pärast parooli aegumist, kui kasutajakonto keelatakse ilma kasutaja parooli muutmata.
  • aegumiskuupäev. Kasutajakonto aegumise kuupäev.
  • Reserveeritud väli. - See on tühi.

Kasutajate lisamine Linuxi süsteemi

Debiani ja Ubuntu jaotuste jaoks kasutatakse kasutajate lisamiseks utiliiti.

Süntaks on üsna lihtne ja arusaadav.

# adduser username

Näiteks kasutaja nimega bob lisamiseks käivitage käsk

# adduser bob

Väljundist luuakse kasutaja nimega ‘bob’ ja lisatakse vastloodud gruppi nimega ‘bob’. Lisaks loob süsteem ka kodukataloogi ja kopeerib sinna konfiguratsioonifailid.

Seejärel palutakse teil uue kasutaja parool sisestada ja seejärel kinnitada. Koor küsib ka kasutajalt täisnime ja muud valikulist teavet, nagu Toa nr ja Töötelefon. See teave pole tegelikult vajalik, seega on selle ohutu vahele jätta. Lõpuks vajutage ‘Y’ , et kinnitada, et esitatud teave on õige.

RHEL- ja CentOS-põhiste süsteemide jaoks kasutage käsku useradd.

# useradd bob

Järgmisena määrake kasutaja parool, kasutades käsku passwd järgmiselt.

# passwd bob

Kuidas kasutajaid Linuxi süsteemis kustutada

Kasutaja süsteemist kustutamiseks on soovitatav kõigepealt lukustada kasutaja süsteemile sisselogimast, nagu näidatud.

# passwd -l bob

Soovi korral saate kasutaja failidest tari abil varundada.

# tar -cvf /backups/bob-home-directory.tar.bz2  /home/bob

Kasutaja kustutamiseks koos kodukataloogiga kasutage käsku deluser järgmiselt:

# deluser --remove-home bob

Lisaks võite kasutada käsku userdel, nagu näidatud.

# userdel -r bob

Need kaks käsku eemaldavad kasutaja täielikult koos kodukataloogidega.

See oli ülevaade kasutajahalduskäskudest, mis osutuvad kasulikuks eriti kontorikeskkonnas kasutajakontode haldamisel. Proovige neid aeg-ajalt oma süsteemi administreerimise oskuste teravustamiseks.