Администратор Linux - Управление пользователями

При обсуждении управления пользователями нам нужно понять три важных термина:

  • Users
  • Groups
  • Permissions

Мы уже подробно обсудили разрешения применительно к файлам и папкам. В этой главе давайте обсудим пользователей и группы.

Пользователи CentOS

В CentOS есть два типа учетных записей:

  • System accounts - Используется для демона или другого программного обеспечения.

  • Interactive accounts - Обычно назначается пользователю для доступа к системным ресурсам.

Основное различие между двумя типами пользователей -

  • System accountsиспользуются демонами для доступа к файлам и каталогам. Обычно им запрещается интерактивный вход через оболочку или через физическую консоль.

  • Interactive accounts используются конечными пользователями для доступа к вычислительным ресурсам из оболочки или физической консоли.

С этим базовым пониманием пользователей давайте теперь создадим нового пользователя для Боба Джонса в бухгалтерском отделе. Новый пользователь добавлен сadduser команда.

Ниже приведены некоторые adduser общие переключатели -

Переключатель Действие
-c Добавляет комментарий к учетной записи пользователя
Создает домашний каталог пользователя в местоположении по умолчанию, если он не существует
Группа по умолчанию для назначения пользователя
-n Не создает частную группу для пользователя, обычно группу с именем пользователя
-M Не создает домашний каталог
-s Оболочка по умолчанию, кроме / bin / bash
-u Задает UID (в противном случае назначается системой)
Дополнительные группы для назначения пользователя

При создании нового пользователя используйте переключатели -c, -m, -g, -n следующим образом:

[root@localhost Downloads]# useradd -c "Bob Jones  Accounting Dept Manager" 
-m -g accounting -n bjones

Теперь посмотрим, создан ли наш новый пользователь -

[root@localhost Downloads]# id bjones 
(bjones) gid = 1001(accounting) groups = 1001(accounting)

[root@localhost Downloads]# grep bjones /etc/passwd 
bjones:x:1001:1001:Bob Jones  Accounting Dept Manager:/home/bjones:/bin/bash

[root@localhost Downloads]#

Теперь нам нужно включить новую учетную запись с помощью команды passwd -

[root@localhost Downloads]# passwd bjones 
Changing password for user bjones. 
New password:  
Retype new password:  
passwd: all authentication tokens updated successfully.

[root@localhost Downloads]#

Учетная запись пользователя не включена, позволяя пользователю войти в систему.

Отключение учетных записей пользователей

Есть несколько способов отключить учетные записи в системе. Они варьируются от редактирования файла / etc / passwd вручную. Или даже используя команду passwd с-lпереключатель. У обоих этих методов есть один большой недостаток: если у пользователя есть доступ по ssh и для аутентификации используется ключ RSA, он все равно может войти в систему, используя этот метод.

Теперь воспользуемся командой chage , изменив срок действия пароля на более раннюю дату. Кроме того, может быть полезно сделать пометку в учетной записи о том, почему мы отключили ее.

[root@localhost Downloads]# chage -E 2005-10-01 bjones
 
[root@localhost Downloads]# usermod  -c "Disabled Account while Bob out of the country 
for five months" bjones

[root@localhost Downloads]# grep bjones /etc/passwd 
bjones:x:1001:1001:Disabled Account while Bob out of the country for four 
months:/home/bjones:/bin/bash

[root@localhost Downloads]#

Управление группами

Управление группами в Linux позволяет администратору объединять пользователей в контейнерах, применяя наборы разрешений, применимые ко всем членам группы. Например, всем пользователям Бухгалтерии может потребоваться доступ к одним и тем же файлам. Таким образом, мы делаем группу учета, добавляя пользователей учета.

По большей части все, что требует специальных разрешений, должно выполняться в группе. Такой подход обычно позволяет сэкономить время по сравнению с применением специальных разрешений только для одного пользователя. Например, Салли отвечает за отчеты, и только Салли нужен доступ к определенным файлам для составления отчетов. Однако что, если Салли однажды заболеет, а Боб отчитается? Или потребность в отчетности растет? Когда группа создана, администратору нужно сделать это только один раз. Добавление пользователей применяется по мере изменения или расширения потребностей.

Ниже приведены некоторые общие команды, используемые для управления группами.

  • chgrp
  • groupadd
  • groups
  • usermod

chgrp - Изменяет групповое владение файлом или каталогом.

Давайте создадим каталог для людей из бухгалтерской группы для хранения файлов и создания каталогов для файлов.

[root@localhost Downloads]# mkdir /home/accounting

[root@localhost Downloads]# ls -ld /home/accounting
drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/accounting

[root@localhost Downloads]#

Далее, давайте собственность группы к учетной группе.

[root@localhost Downloads]# chgrp -v  accounting /home/accounting/ 
changed group of ‘/home/accounting/’ from root to accounting

[root@localhost Downloads]# ls -ld /home/accounting/ 
drwxr-xr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/

[root@localhost Downloads]#

Теперь у всех в группе учета есть разрешения на чтение и выполнение для / home / Accounting . Им также потребуются права на запись.

[root@localhost Downloads]# chmod g+w /home/accounting/

[root@localhost Downloads]# ls -ld /home/accounting/ 
drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/

[root@localhost Downloads]#

Поскольку бухгалтерская группа может иметь дело с конфиденциальными документами, нам необходимо применить некоторые ограничительные разрешения для других или других стран .

[root@localhost Downloads]# chmod o-rx /home/accounting/

[root@localhost Downloads]# ls -ld /home/accounting/ 
drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/accounting/

[root@localhost Downloads]#

groupadd - Используется для создания новой группы.

Переключатель Действие
Определяет GID для группы
-K Переопределяет спецификации для GID в /etc/login.defs
Позволяет переопределить запрет на использование неуникального идентификатора группы
-п Групповой пароль, позволяющий пользователям активировать себя

Создадим новую группу под названием secret. Мы добавим в группу пароль, позволяющий пользователям добавлять себя с известным паролем.

[root@localhost]# groupadd secret

[root@localhost]# gpasswd secret 
Changing the password for group secret 
New Password:  
Re-enter new password:

[root@localhost]# exit 
exit

[centos@localhost ~]$ newgrp secret 
Password:

[centos@localhost ~]$ groups 
secret wheel rdc

[centos@localhost ~]$

На практике пароли для групп используются нечасто. Вторичные группы подходят, и обмен паролями между другими пользователями не является хорошей практикой безопасности.

В groupsКоманда используется, чтобы показать, к какой группе принадлежит пользователь. Мы будем использовать это после внесения некоторых изменений в нашего текущего пользователя.

usermod используется для обновления атрибутов учетной записи.

Ниже приведены общие переключатели usermod .

Переключатель Действие
Добавляет, добавляет пользователя в дополнительные группы, только с параметром -G
-c Комментарий, обновление значения комментария пользователя
-d Домашний каталог, обновляет домашний каталог пользователя.
Группирует, добавляет или удаляет вторичные группы пользователей
Группа, основная группа пользователя по умолчанию
[root@localhost]# groups centos 
centos : accounting secret

[root@localhost]#

[root@localhost]# usermod -a -G wheel centos

[root@localhost]# groups centos
centos : accounting wheel secret

[root@localhost]#