Linux管理者-ユーザー管理
ユーザー管理について議論するとき、理解すべき3つの重要な用語があります-
- Users
- Groups
- Permissions
ファイルとフォルダーに適用される詳細なアクセス許可については、すでに説明しました。この章では、ユーザーとグループについて説明します。
CentOSユーザー
CentOSには、2つのタイプのアカウントがあります-
System accounts −デーモンまたはその他のソフトウェアに使用されます。
Interactive accounts −通常、システムリソースにアクセスするためにユーザーに割り当てられます。
2つのユーザータイプの主な違いは次のとおりです。
System accountsデーモンがファイルやディレクトリにアクセスするために使用します。これらは通常、シェルまたは物理コンソールログインを介したインタラクティブログインから許可されません。
Interactive accounts エンドユーザーは、シェルまたは物理コンソールログインからコンピューティングリソースにアクセスするために使用されます。
このユーザーの基本的な理解を踏まえて、経理部でBobJonesの新しいユーザーを作成しましょう。新しいユーザーが追加されますadduser コマンド。
以下はいくつかです adduser 共通スイッチ-
スイッチ | アクション |
---|---|
-c | ユーザーアカウントにコメントを追加します |
-m | 存在しない場合は、デフォルトの場所にユーザーのホームディレクトリを作成します |
-g | ユーザーを割り当てるデフォルトのグループ |
-n | ユーザーのプライベートグループ、通常はユーザー名を持つグループを作成しません |
-M | ホームディレクトリを作成しません |
-s | / bin / bash以外のデフォルトシェル |
-u | UIDを指定します(それ以外の場合はシステムによって割り当てられます) |
-G | ユーザーを割り当てる追加のグループ |
新しいユーザーを作成するときは、次のように-c、-m、-g、-nスイッチを使用します。
[root@localhost Downloads]# useradd -c "Bob Jones Accounting Dept Manager"
-m -g accounting -n bjones
次に、新しいユーザーが作成されたかどうかを確認しましょう-
[root@localhost Downloads]# id bjones
(bjones) gid = 1001(accounting) groups = 1001(accounting)
[root@localhost Downloads]# grep bjones /etc/passwd
bjones:x:1001:1001:Bob Jones Accounting Dept Manager:/home/bjones:/bin/bash
[root@localhost Downloads]#
次に、passwdコマンドを使用して新しいアカウントを有効にする必要があります-
[root@localhost Downloads]# passwd bjones
Changing password for user bjones.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[root@localhost Downloads]#
ユーザーアカウントが有効になっていないため、ユーザーはシステムにログインできません。
ユーザーアカウントの無効化
システムのアカウントを無効にする方法はいくつかあります。これらは、/ etc / passwdファイルを手動で編集することから始まります。または、passwdコマンドを-lスイッチ。これらの方法には両方とも1つの大きな欠点があります。ユーザーがsshアクセスを持ち、認証にRSAキーを使用している場合でも、この方法を使用してログインできます。
次に、chageコマンドを使用して、パスワードの有効期限を前の日付に変更しましょう。また、アカウントを無効にした理由をメモしておくとよいでしょう。
[root@localhost Downloads]# chage -E 2005-10-01 bjones
[root@localhost Downloads]# usermod -c "Disabled Account while Bob out of the country
for five months" bjones
[root@localhost Downloads]# grep bjones /etc/passwd
bjones:x:1001:1001:Disabled Account while Bob out of the country for four
months:/home/bjones:/bin/bash
[root@localhost Downloads]#
グループの管理
Linuxでグループを管理すると、管理者は、すべてのグループメンバーに適用可能な権限セットを適用して、コンテナー内のユーザーを組み合わせることができます。たとえば、経理部門のすべてのユーザーが同じファイルにアクセスする必要がある場合があります。したがって、アカウンティングユーザーを追加して、アカウンティンググループを作成します。
ほとんどの場合、特別なアクセス許可が必要なものはすべてグループで実行する必要があります。このアプローチは通常、1人のユーザーだけに特別なアクセス許可を適用するよりも時間を節約します。たとえば、Sallyはレポートを担当し、Sallyだけがレポートのために特定のファイルにアクセスする必要があります。しかし、ある日サリーが病気でボブが報告した場合はどうなるでしょうか。または、レポートの必要性が高まっていますか?グループが作成されると、管理者は1回だけ実行する必要があります。ユーザーの追加は、ニーズの変更または拡張に応じて適用されます。
以下は、グループの管理に使用されるいくつかの一般的なコマンドです-
- chgrp
- groupadd
- groups
- usermod
chgrp −ファイルまたはディレクトリのグループ所有権を変更します。
経理グループのメンバーがファイルを保存し、ファイルのディレクトリを作成するためのディレクトリを作成しましょう。
[root@localhost Downloads]# mkdir /home/accounting
[root@localhost Downloads]# ls -ld /home/accounting
drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/accounting
[root@localhost Downloads]#
次に、会計グループにグループの所有権を与えましょう。
[root@localhost Downloads]# chgrp -v accounting /home/accounting/
changed group of ‘/home/accounting/’ from root to accounting
[root@localhost Downloads]# ls -ld /home/accounting/
drwxr-xr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[root@localhost Downloads]#
これで、アカウンティンググループの全員が/ home / accountingへの読み取りおよび実行権限を取得しました。書き込み権限も必要になります。
[root@localhost Downloads]# chmod g+w /home/accounting/
[root@localhost Downloads]# ls -ld /home/accounting/
drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[root@localhost Downloads]#
以来会計グループは、機密文書を扱うことが、我々はのためにいくつかの制限された権限を適用する必要があり、他のまたは世界。
[root@localhost Downloads]# chmod o-rx /home/accounting/
[root@localhost Downloads]# ls -ld /home/accounting/
drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[root@localhost Downloads]#
groupadd −新しいグループを作成するために使用されます。
スイッチ | アクション |
---|---|
-g | グループのGIDを指定します |
-K | /etc/login.defsのGIDの仕様を上書きします |
-o | 一意でないグループIDの不許可をオーバーライドできます |
-p | グループパスワード、ユーザーが自分自身をアクティブ化できるようにする |
シークレットという新しいグループを作りましょう。グループにパスワードを追加して、ユーザーが既知のパスワードで自分自身を追加できるようにします。
[root@localhost]# groupadd secret
[root@localhost]# gpasswd secret
Changing the password for group secret
New Password:
Re-enter new password:
[root@localhost]# exit
exit
[centos@localhost ~]$ newgrp secret
Password:
[centos@localhost ~]$ groups
secret wheel rdc
[centos@localhost ~]$
実際には、グループのパスワードはあまり使用されません。セカンダリグループは適切であり、他のユーザー間でパスワードを共有することは、優れたセキュリティ慣行ではありません。
ザ・ groupsコマンドは、ユーザーがどのグループに属しているかを示すために使用されます。現在のユーザーにいくつかの変更を加えた後、これを使用します。
usermod アカウント属性を更新するために使用されます。
以下は、一般的なusermodスイッチです。
スイッチ | アクション |
---|---|
-a | -Gオプションを使用した場合のみ、ユーザーを補足グループに追加します |
-c | コメント、ユーザーのコメント値を更新します |
-d | ホームディレクトリ、ユーザーのホームディレクトリを更新します |
-G | セカンダリユーザーグループをグループ化、追加、または削除します |
-g | グループ、ユーザーのデフォルトのプライマリグループ |
[root@localhost]# groups centos
centos : accounting secret
[root@localhost]#
[root@localhost]# usermod -a -G wheel centos
[root@localhost]# groups centos
centos : accounting wheel secret
[root@localhost]#