Администратор Linux - Управление пользователями
При обсуждении управления пользователями нам нужно понять три важных термина:
- Users
- Groups
- Permissions
Мы уже подробно обсудили разрешения применительно к файлам и папкам. В этой главе давайте обсудим пользователей и группы.
Пользователи CentOS
В CentOS есть два типа учетных записей:
System accounts - Используется для демона или другого программного обеспечения.
Interactive accounts - Обычно назначается пользователю для доступа к системным ресурсам.
Основное различие между двумя типами пользователей -
System accountsиспользуются демонами для доступа к файлам и каталогам. Обычно им запрещается интерактивный вход через оболочку или через физическую консоль.
Interactive accounts используются конечными пользователями для доступа к вычислительным ресурсам из оболочки или физической консоли.
С этим базовым пониманием пользователей давайте теперь создадим нового пользователя для Боба Джонса в бухгалтерском отделе. Новый пользователь добавлен сadduser команда.
Ниже приведены некоторые adduser общие переключатели -
Переключатель | Действие |
---|---|
-c | Добавляет комментарий к учетной записи пользователя |
-м | Создает домашний каталог пользователя в местоположении по умолчанию, если он не существует |
-г | Группа по умолчанию для назначения пользователя |
-n | Не создает частную группу для пользователя, обычно группу с именем пользователя |
-M | Не создает домашний каталог |
-s | Оболочка по умолчанию, кроме / bin / bash |
-u | Задает UID (в противном случае назначается системой) |
-Г | Дополнительные группы для назначения пользователя |
При создании нового пользователя используйте переключатели -c, -m, -g, -n следующим образом:
[root@localhost Downloads]# useradd -c "Bob Jones Accounting Dept Manager"
-m -g accounting -n bjones
Теперь посмотрим, создан ли наш новый пользователь -
[root@localhost Downloads]# id bjones
(bjones) gid = 1001(accounting) groups = 1001(accounting)
[root@localhost Downloads]# grep bjones /etc/passwd
bjones:x:1001:1001:Bob Jones Accounting Dept Manager:/home/bjones:/bin/bash
[root@localhost Downloads]#
Теперь нам нужно включить новую учетную запись с помощью команды passwd -
[root@localhost Downloads]# passwd bjones
Changing password for user bjones.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[root@localhost Downloads]#
Учетная запись пользователя не включена, позволяя пользователю войти в систему.
Отключение учетных записей пользователей
Есть несколько способов отключить учетные записи в системе. Они варьируются от редактирования файла / etc / passwd вручную. Или даже используя команду passwd с-lпереключатель. У обоих этих методов есть один большой недостаток: если у пользователя есть доступ по ssh и для аутентификации используется ключ RSA, он все равно может войти в систему, используя этот метод.
Теперь воспользуемся командой chage , изменив срок действия пароля на более раннюю дату. Кроме того, может быть полезно сделать пометку в учетной записи о том, почему мы отключили ее.
[root@localhost Downloads]# chage -E 2005-10-01 bjones
[root@localhost Downloads]# usermod -c "Disabled Account while Bob out of the country
for five months" bjones
[root@localhost Downloads]# grep bjones /etc/passwd
bjones:x:1001:1001:Disabled Account while Bob out of the country for four
months:/home/bjones:/bin/bash
[root@localhost Downloads]#
Управление группами
Управление группами в Linux позволяет администратору объединять пользователей в контейнерах, применяя наборы разрешений, применимые ко всем членам группы. Например, всем пользователям Бухгалтерии может потребоваться доступ к одним и тем же файлам. Таким образом, мы делаем группу учета, добавляя пользователей учета.
По большей части все, что требует специальных разрешений, должно выполняться в группе. Такой подход обычно позволяет сэкономить время по сравнению с применением специальных разрешений только для одного пользователя. Например, Салли отвечает за отчеты, и только Салли нужен доступ к определенным файлам для составления отчетов. Однако что, если Салли однажды заболеет, а Боб отчитается? Или потребность в отчетности растет? Когда группа создана, администратору нужно сделать это только один раз. Добавление пользователей применяется по мере изменения или расширения потребностей.
Ниже приведены некоторые общие команды, используемые для управления группами.
- chgrp
- groupadd
- groups
- usermod
chgrp - Изменяет групповое владение файлом или каталогом.
Давайте создадим каталог для людей из бухгалтерской группы для хранения файлов и создания каталогов для файлов.
[root@localhost Downloads]# mkdir /home/accounting
[root@localhost Downloads]# ls -ld /home/accounting
drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/accounting
[root@localhost Downloads]#
Далее, давайте собственность группы к учетной группе.
[root@localhost Downloads]# chgrp -v accounting /home/accounting/
changed group of ‘/home/accounting/’ from root to accounting
[root@localhost Downloads]# ls -ld /home/accounting/
drwxr-xr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[root@localhost Downloads]#
Теперь у всех в группе учета есть разрешения на чтение и выполнение для / home / Accounting . Им также потребуются права на запись.
[root@localhost Downloads]# chmod g+w /home/accounting/
[root@localhost Downloads]# ls -ld /home/accounting/
drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[root@localhost Downloads]#
Поскольку бухгалтерская группа может иметь дело с конфиденциальными документами, нам необходимо применить некоторые ограничительные разрешения для других или других стран .
[root@localhost Downloads]# chmod o-rx /home/accounting/
[root@localhost Downloads]# ls -ld /home/accounting/
drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[root@localhost Downloads]#
groupadd - Используется для создания новой группы.
Переключатель | Действие |
---|---|
-г | Определяет GID для группы |
-K | Переопределяет спецификации для GID в /etc/login.defs |
-о | Позволяет переопределить запрет на использование неуникального идентификатора группы |
-п | Групповой пароль, позволяющий пользователям активировать себя |
Создадим новую группу под названием secret. Мы добавим в группу пароль, позволяющий пользователям добавлять себя с известным паролем.
[root@localhost]# groupadd secret
[root@localhost]# gpasswd secret
Changing the password for group secret
New Password:
Re-enter new password:
[root@localhost]# exit
exit
[centos@localhost ~]$ newgrp secret
Password:
[centos@localhost ~]$ groups
secret wheel rdc
[centos@localhost ~]$
На практике пароли для групп используются нечасто. Вторичные группы подходят, и обмен паролями между другими пользователями не является хорошей практикой безопасности.
В groupsКоманда используется, чтобы показать, к какой группе принадлежит пользователь. Мы будем использовать это после внесения некоторых изменений в нашего текущего пользователя.
usermod используется для обновления атрибутов учетной записи.
Ниже приведены общие переключатели usermod .
Переключатель | Действие |
---|---|
-а | Добавляет, добавляет пользователя в дополнительные группы, только с параметром -G |
-c | Комментарий, обновление значения комментария пользователя |
-d | Домашний каталог, обновляет домашний каталог пользователя. |
-Г | Группирует, добавляет или удаляет вторичные группы пользователей |
-г | Группа, основная группа пользователя по умолчанию |
[root@localhost]# groups centos
centos : accounting secret
[root@localhost]#
[root@localhost]# usermod -a -G wheel centos
[root@localhost]# groups centos
centos : accounting wheel secret
[root@localhost]#