LFCA: Lærðu stjórnun notendareikninga – 5. hluti

Sem Linux kerfisstjóri verður þér falið að tryggja hnökralaust flæði allrar upplýsingatæknistarfsemi í fyrirtækinu þínu. Í ljósi þess að sum upplýsingatæknistarfsemi er samtvinnuð, ber kerfisstjóri venjulega marga hatta, þar á meðal að vera gagnagrunnur eða netstjóri.

Þessi grein er hluti 5 af LFCA seríunni, hér í þessum hluta kynnist þú almennum kerfisstjórnunarskipunum til að búa til og stjórna notendum í Linux kerfi.

Notendareikningsstjórnun í Linux

Ein af meginskyldum Linux kerfisstjóra er að búa til og stjórna notendum í Linux kerfi. Hver notendareikningur hefur 2 einstök auðkenni: notandanafnið og notandakennið (UID).

Í meginatriðum eru 3 aðalflokkar notenda í Linux:

Rótarnotandinn er öflugasti notandinn í Linux kerfi og er venjulega búinn til í uppsetningarferlinu. Rótarnotandinn hefur algjört vald í Linux kerfinu eða einhverju öðru UNIX-líku stýrikerfi. Notandinn getur fengið aðgang að öllum skipunum, skrám og möppum og breytt kerfinu að eigin vali.

Rótarnotandinn getur uppfært kerfið, sett upp og fjarlægt pakka, bætt við eða fjarlægt aðra notendur, veitt eða afturkallað heimildir og framkvæmt önnur kerfisstjórnunarverkefni án nokkurra takmarkana.

Rótarnotandinn getur nánast gert hvað sem er í kerfinu. Forsenda Linux og UNIX-lík kerfa er sú að þú veist vel hvað þú ert að gera með kerfið. Sem sagt, rótnotandinn getur auðveldlega brotið kerfið. Allt sem þarf er fyrir þig að framkvæma banvæna skipun og kerfið verður í reyk.

Af þessum sökum er mjög óhugsandi að keyra skipanir sem rótnotanda. Þess í stað krefjast góðar venjur að þú ættir að stilla sudo notanda. Það er að veita venjulegum notanda sudo réttindi til að framkvæma ákveðin stjórnunarverkefni og takmarka sum verkefni aðeins við rótarnotandann.

Venjulegur notandi er venjulegur innskráningarnotandi sem kerfisstjóri getur búið til. Venjulega er ákvæði um að búa til einn meðan á uppsetningarferlinu stendur. Hins vegar geturðu samt búið til eins marga venjulega notendur og þarf eftir uppsetningu.

Venjulegur notandi getur aðeins framkvæmt verkefni og fengið aðgang að skrám og möppum sem þeir hafa heimild fyrir. Ef þörf krefur er hægt að veita venjulegum notanda aukin réttindi til að framkvæma verkefni á stjórnunarstigi. Einnig er hægt að eyða reglulegum notendum eða gera óvirka þegar þörf krefur.

Þetta er reikningur án innskráningar sem er búinn til þegar hugbúnaðarpakki er settur upp. Slíkir reikningar eru notaðir af þjónustum til að framkvæma ferla í kerfinu. Þau eru ekki hönnuð eða ætluð til að sinna neinum venjubundnum eða stjórnunarverkefnum í kerfinu.

Notendastjórnunarskrár

Upplýsingar um notendur í Linux kerfi eru geymdar í eftirfarandi skrám:

  • /etc/passwd skráin
  • /etc/group skráin
  • /etc/gshadow skráin
  • /etc/shadow skráin

Við skulum skilja hverja skrá og hvað hún gerir:

/etc/passwd skráin inniheldur töluvert af upplýsingum um notendur sem eru á ýmsum sviðum. Til að skoða innihald skrárinnar, notaðu einfaldlega cat skipunina eins og sýnt er.

$ cat /etc/passwd

Hér er brot af úttakinu.

tecmint:x:1002:1002:tecmint,,,:/home/tecmint:/bin/bash

Við skulum einbeita okkur að fyrstu línunni og fylla út hin ýmsu svið. Frá lengst til vinstri höfum við eftirfarandi:

  • Notandanafnið: Þetta er nafn notandans, í þessu tilviki, tecmint.
  • Lykilorðið: Annar dálkurinn táknar dulkóðað lykilorð notandans. Lykilorðið er ekki prentað með einföldum texta, í staðinn er staðgengill með x tákni notaður.
  • UID: Þetta er notandaauðkenni. Það er einstakt auðkenni fyrir hvern notanda.
  • GID: Þetta er hópauðkenni.
  • Stutt lýsing eða samantekt á notandanum.
  • Þetta er slóðin að heimaskrá notandans. Fyrir tecmint notendur höfum við /home/tecmint.
  • Þetta er innskráningarskel. Fyrir venjulega innskráningarnotendur er þetta venjulega táknað sem /bin/bash. Fyrir þjónustureikninga eins og SSH eða MySQL er þetta venjulega táknað sem /bin/false.

Þessi skrá inniheldur upplýsingar um notendahópana. Þegar notandi er búinn til býr skelin sjálfkrafa til hóp sem samsvarar notandanafni notandans. Þetta er þekkt sem aðalhópurinn. Notandanum er bætt við aðalhópinn við stofnun.

Til dæmis, ef þú býrð til notanda sem heitir bob, býr kerfið sjálfkrafa til hóp sem heitir bob og bætir notandanum bob við hópinn.

$ cat /etc/group

tecmint:x:1002:

/etc/group skráin hefur 3 dálka. Lengst til vinstri höfum við:

  • Nafn hóps. Hvert hópheiti verður að vera einstakt.
  • Lykilorð hóps. Venjulega táknað með x staðgengill.
  • Hópauðkenni (GID)
  • Hópmeðlimir. Þetta eru meðlimir sem tilheyra hópnum. Þessi reitur er skilinn eftir auður ef notandinn er eini meðlimurinn í hópnum.

ATH: Notandi getur verið meðlimur í mörgum hópum. Sömuleiðis getur hópur haft marga meðlimi.

Til að staðfesta hópana sem notandi tilheyrir skaltu keyra skipunina:

$ groups username

Til dæmis, til að athuga hópana sem notandinn tecmint tilheyrir skaltu keyra skipunina:

$ groups tecmint

Úttakið staðfestir að notandinn tilheyrir tveimur hópum: tecmint og sudo.

tecmint : tecmint sudo

Þessi skrá inniheldur dulkóðuð eða „skyggð“ lykilorð fyrir hópreikninga og af öryggisástæðum geta venjulegir notendur ekki nálgast hana. Það er aðeins læsilegt af rótarnotandanum og notendum með sudo réttindi.

$ sudo cat /etc/gshadow

tecmint:!::

Lengst til vinstri inniheldur skráin eftirfarandi reiti:

  • Nafn hóps
  • Dulkóðað hóplykilorð
  • Hópstjórnandi
  • Hópmeðlimir

/etc/shadow skráin geymir raunveruleg lykilorð notenda á hashed eða dulkóðuðu sniði. Aftur eru reitirnir aðskildir með ristli og taka það snið sem sýnt er.

$ sudo cat /etc/shadow

tecmint:$6$iavr8PAxxnWmfh6J$iJeiuHeo5drKWcXQ.BFGUrukn4JWW7j4cwjX7uhH1:18557:0:99999:7:::

Skráin hefur 9 reiti. Frá lengst til vinstri höfum við:

  • Notandanafnið: Þetta er innskráningarnafnið þitt.
  • Lykilorð notandans. Þetta er sett fram á hashed eða dulkóðuðu sniði.
  • Síðasta lykilorðsbreytingin. Þetta er dagsetningin frá því að lykilorðinu var breytt og er reiknað frá tímabilsdegi. Tímabilið er 1. janúar 1970.
  • Lágmarksaldur lykilorðs. Þetta er lágmarksfjöldi daga sem þarf að líða áður en hægt er að stilla lykilorð.
  • Hámarksaldur lykilorðs. Þetta er hámarksfjöldi daga sem breyta þarf lykilorði eftir.
  • Viðvörunartímabilið. Eins og nafnið gefur til kynna er þetta fjöldi daga stuttu áður en lykilorð rennur út sem notandi er látinn vita um yfirvofandi lykilorð sem rennur út.
  • Óvirknitímabilið. Fjöldi daga eftir að lykilorð rennur út sem notandareikningur er óvirkur án þess að notandinn breyti lykilorðinu.
  • Fyrningardagsetning. Dagsetningin þegar notendareikningurinn rann út.
  • Frátekinn reitur. – Þetta er skilið eftir autt.

Hvernig á að bæta við notendum í Linux kerfi

Fyrir Debian og Ubuntu dreifingar er adduser tólið notað til að bæta við notendum.

Setningafræðin er frekar einföld og einföld.

# adduser username

Til dæmis, til að bæta við notanda sem heitir bob, keyrðu skipunina

# adduser bob

Frá úttakinu er notandi sem heitir 'bob' búinn til og er bætt við nýstofnaðan hóp sem heitir 'bob'. Að auki býr kerfið einnig til heimamöppu og afritar stillingarskrár inn í hana.

Eftir það verður þú beðinn um lykilorð nýja notandans og staðfestir það síðan. Skelin mun einnig biðja þig um fullt nafn notandans og aðrar valfrjálsar upplýsingar eins og herbergi nr og vinnusími. Þessar upplýsingar eru í raun ekki nauðsynlegar, svo það er óhætt að sleppa þeim. Að lokum skaltu ýta á ‘Y’ til að staðfesta að upplýsingarnar sem gefnar eru upp séu réttar.

Notaðu useradd skipunina fyrir RHEL og CentOS byggt kerfi.

# useradd bob

Næst skaltu stilla lykilorðið fyrir notandann með því að nota passwd skipunina sem hér segir.

# passwd bob

Hvernig á að eyða notendum í Linux kerfi

Til að eyða notanda úr kerfinu er ráðlegt að læsa notandanum fyrst frá innskráningu í kerfið eins og sýnt er.

# passwd -l bob

Ef þú vilt geturðu tekið öryggisafrit af skrám notandans með tar skipuninni.

# tar -cvf /backups/bob-home-directory.tar.bz2  /home/bob

Að lokum, til að eyða notandanum ásamt heimaskránni skaltu nota deuser skipunina sem hér segir:

# deluser --remove-home bob

Að auki geturðu notað userdel skipunina eins og sýnt er.

# userdel -r bob

Skipanirnar tvær fjarlægja notandann alveg samhliða heimamöppunum sínum.

Þetta var yfirlit yfir notendastjórnunarskipanir sem munu reynast gagnlegar sérstaklega þegar þú stjórnar notendareikningum í skrifstofuumhverfi þínu. Prófaðu þá af og til til að skerpa kerfisstjórnunarhæfileika þína.