Quản trị viên Linux - Quản lý người dùng
Khi thảo luận về quản lý người dùng , chúng ta có ba thuật ngữ quan trọng cần hiểu:
- Users
- Groups
- Permissions
Chúng tôi đã thảo luận sâu về các quyền được áp dụng cho các tệp và thư mục. Trong chương này, hãy thảo luận về người dùng và nhóm.
Người dùng CentOS
Trong CentOS, có hai loại tài khoản -
System accounts - Được sử dụng cho daemon hoặc phần mềm khác.
Interactive accounts - Thường được gán cho một người dùng để truy cập tài nguyên hệ thống.
Sự khác biệt chính giữa hai loại người dùng là -
System accountsđược sử dụng bởi daemon để truy cập các tệp và thư mục. Chúng thường sẽ không được phép đăng nhập tương tác thông qua đăng nhập shell hoặc bảng điều khiển vật lý.
Interactive accounts được người dùng cuối sử dụng để truy cập tài nguyên máy tính từ đăng nhập shell hoặc bảng điều khiển vật lý.
Với hiểu biết cơ bản về người dùng này, bây giờ chúng ta hãy tạo một người dùng mới cho Bob Jones trong Bộ phận Kế toán. Một người dùng mới được thêm vào vớiadduser chỉ huy.
Sau đây là một số adduser công tắc thông thường -
Công tắc điện | Hoạt động |
---|---|
-c | Thêm nhận xét vào tài khoản người dùng |
-m | Tạo thư mục chính của người dùng ở vị trí mặc định, nếu không tồn tại |
-g | Nhóm mặc định để chỉ định người dùng |
-n | Không tạo nhóm riêng tư cho người dùng, thường là nhóm có tên người dùng |
-M | Không tạo thư mục chính |
-S | Vỏ mặc định khác với / bin / bash |
-u | Chỉ định UID (nếu không được hệ thống chỉ định) |
-G | Các nhóm bổ sung để chỉ định người dùng |
Khi tạo người dùng mới, hãy sử dụng các công tắc -c, -m, -g, -n như sau:
[root@localhost Downloads]# useradd -c "Bob Jones Accounting Dept Manager"
-m -g accounting -n bjones
Bây giờ, hãy xem liệu người dùng mới của chúng ta đã được tạo chưa -
[root@localhost Downloads]# id bjones
(bjones) gid = 1001(accounting) groups = 1001(accounting)
[root@localhost Downloads]# grep bjones /etc/passwd
bjones:x:1001:1001:Bob Jones Accounting Dept Manager:/home/bjones:/bin/bash
[root@localhost Downloads]#
Bây giờ chúng ta cần kích hoạt tài khoản mới bằng lệnh passwd -
[root@localhost Downloads]# passwd bjones
Changing password for user bjones.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[root@localhost Downloads]#
Tài khoản người dùng không được kích hoạt cho phép người dùng đăng nhập vào hệ thống.
Vô hiệu hoá tài khoản người dùng
Có một số phương pháp để vô hiệu hóa tài khoản trên hệ thống. Phạm vi từ việc chỉnh sửa tệp / etc / passwd bằng tay. Hoặc thậm chí sử dụng lệnh passwd với-lcông tắc điện. Cả hai phương pháp này đều có một nhược điểm lớn: nếu người dùng có quyền truy cập ssh và sử dụng khóa RSA để xác thực, họ vẫn có thể đăng nhập bằng phương pháp này.
Bây giờ chúng ta hãy sử dụng lệnh chage , thay đổi ngày hết hạn của mật khẩu thành một ngày trước đó. Ngoài ra, có thể tốt nếu bạn ghi chú vào tài khoản về lý do tại sao chúng tôi vô hiệu hóa nó.
[root@localhost Downloads]# chage -E 2005-10-01 bjones
[root@localhost Downloads]# usermod -c "Disabled Account while Bob out of the country
for five months" bjones
[root@localhost Downloads]# grep bjones /etc/passwd
bjones:x:1001:1001:Disabled Account while Bob out of the country for four
months:/home/bjones:/bin/bash
[root@localhost Downloads]#
Quản lý nhóm
Quản lý nhóm trong Linux giúp quản trị viên thuận tiện trong việc kết hợp người dùng trong các vùng chứa áp dụng các bộ quyền áp dụng cho tất cả các thành viên nhóm. Ví dụ: tất cả người dùng trong Kế toán có thể cần quyền truy cập vào các tệp giống nhau. Do đó, chúng tôi tạo một nhóm kế toán, thêm người dùng Kế toán.
Đối với hầu hết các phần, bất kỳ điều gì yêu cầu quyền đặc biệt nên được thực hiện trong một nhóm. Cách tiếp cận này thường sẽ tiết kiệm thời gian so với việc áp dụng các quyền đặc biệt cho chỉ một người dùng. Ví dụ, Sally phụ trách báo cáo và chỉ Sally mới cần quyền truy cập vào các tệp nhất định để báo cáo. Tuy nhiên, điều gì sẽ xảy ra nếu một ngày Sally bị ốm và Bob báo cáo? Hay nhu cầu báo cáo ngày càng tăng? Khi một nhóm được tạo, Quản trị viên chỉ cần thực hiện một lần. Thêm người dùng được áp dụng khi nhu cầu thay đổi hoặc mở rộng.
Sau đây là một số lệnh phổ biến được sử dụng để quản lý nhóm:
- chgrp
- groupadd
- groups
- usermod
chgrp - Thay đổi quyền sở hữu nhóm cho một tệp hoặc thư mục.
Hãy tạo một thư mục cho những người trong nhóm kế toán để lưu trữ tệp và tạo thư mục cho tệp.
[root@localhost Downloads]# mkdir /home/accounting
[root@localhost Downloads]# ls -ld /home/accounting
drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/accounting
[root@localhost Downloads]#
Tiếp theo, hãy Cung cấp cho nhân sở hữu nhóm đến kế toán nhóm.
[root@localhost Downloads]# chgrp -v accounting /home/accounting/
changed group of ‘/home/accounting/’ from root to accounting
[root@localhost Downloads]# ls -ld /home/accounting/
drwxr-xr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[root@localhost Downloads]#
Bây giờ, mọi người trong nhóm kế toán đã đọc và thực thi quyền đối với / home / Accounting . Họ cũng sẽ cần quyền ghi.
[root@localhost Downloads]# chmod g+w /home/accounting/
[root@localhost Downloads]# ls -ld /home/accounting/
drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[root@localhost Downloads]#
Vì nhóm kế toán có thể xử lý các tài liệu nhạy cảm, chúng tôi cần áp dụng một số quyền hạn chế đối với tổ chức khác hoặc thế giới .
[root@localhost Downloads]# chmod o-rx /home/accounting/
[root@localhost Downloads]# ls -ld /home/accounting/
drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[root@localhost Downloads]#
groupadd - Được sử dụng để tạo một nhóm mới.
Công tắc điện | Hoạt động |
---|---|
-g | Chỉ định GID cho nhóm |
-K | Ghi đè thông số kỹ thuật cho GID trong /etc/login.defs |
-o | Cho phép ghi đè không cho phép id nhóm không phải duy nhất |
-p | Mật khẩu nhóm, cho phép người dùng tự kích hoạt |
Hãy lập một nhóm mới gọi là bí mật. Chúng tôi sẽ thêm mật khẩu vào nhóm, cho phép người dùng tự thêm mật khẩu đã biết.
[root@localhost]# groupadd secret
[root@localhost]# gpasswd secret
Changing the password for group secret
New Password:
Re-enter new password:
[root@localhost]# exit
exit
[centos@localhost ~]$ newgrp secret
Password:
[centos@localhost ~]$ groups
secret wheel rdc
[centos@localhost ~]$
Trong thực tế, mật khẩu cho các nhóm không được sử dụng thường xuyên. Các nhóm thứ cấp là đủ và việc chia sẻ mật khẩu giữa những người dùng khác không phải là một phương pháp bảo mật tuyệt vời.
Các groupslệnh được sử dụng để hiển thị người dùng thuộc nhóm nào. Chúng tôi sẽ sử dụng điều này, sau khi thực hiện một số thay đổi đối với người dùng hiện tại của chúng tôi.
usermod được sử dụng để cập nhật các thuộc tính tài khoản.
Sau đây là các công tắc usermod phổ biến .
Công tắc điện | Hoạt động |
---|---|
-a | Thêm, thêm người dùng vào các nhóm bổ sung, chỉ với tùy chọn -G |
-c | Nhận xét, cập nhật giá trị nhận xét của người dùng |
-d | Thư mục chính, cập nhật thư mục chính của người dùng |
-G | Nhóm, thêm hoặc xóa nhóm người dùng phụ |
-g | Nhóm, nhóm chính mặc định của người dùng |
[root@localhost]# groups centos
centos : accounting secret
[root@localhost]#
[root@localhost]# usermod -a -G wheel centos
[root@localhost]# groups centos
centos : accounting wheel secret
[root@localhost]#