1. Серія контенту:
2. Цей контент є частиною серії: План переходу з Windows на Linux
3. суперкористувач
4. Створення нових користувачів
5. зміна паролів
6. видалення користувачів
7. Як організовані користувачі
8. Каталог / etc
9. Структура файлу паролів
10. Тіньові паролі і права користувача
11. Групи
12. Обережність при редагуванні файлу passwd
13. Призначені для користувача і групові додатки
14. висновок
15. Ресурси для скачування

План переходу з Windows на Linux

Паролі, групи і їх тіні

Серія контенту:

Цей контент є частиною # з серії # статей: План переходу з Windows на Linux

https://www.ibm.com/developerworks/ru/views/global/libraryview.jsp?series_title_by=План+перехода+с+windows+на+linux

Слідкуйте за виходом нових статей цієї серії.

Цей контент є частиною серії: План переходу з Windows на Linux

Слідкуйте за виходом нових статей цієї серії.

Адміністрування користувачів в Linux одночасно дуже схоже і не схоже на адміністрування в Windows. Обидві системи розраховані на багато користувачів і контроль доступу до ресурсів заснований на ідентифікації користувача. Обидві системи дозволяють групувати користувачів так, що контроль доступу спрощується і не доводиться для внесення кожної зміни зачіпати багато користувачів. А далі починаються відмінності.

суперкористувач

У Linux Суперкористувач (Super User) називається root. Користувач root може контролювати кожен процес, має доступ до кожного файлу і може виконати будь-яку функцію в системі. Нічого не може бути заховане від root'а. Говорячи адміністративною мовою, root - це вища істота. Тому дуже важливо, щоб обліковий запис root була захищена секретним паролем. Не варто використовувати root'а для виконання звичайних завдань.

Іншим користувачам можна дати повноваження супер, але робити це треба з обережністю. Зазвичай ви будете налаштовувати окремі програми, щоб певні користувачі могли виконувати їх як root, замість того, щоб надавати всім суперпользовательскій доступ.

Створення нових користувачів

Нових користувачів можна створювати або з консолі, або за допомогою інструментарію типу програми Webmin.

Користувач додається командою useradd. З консолі це робиться, наприклад, так:

useradd -c "normal user" -d / home / userid -g users \
-G webadm, helpdesk -s \ / bin / bash userid

Ця команда створює нового користувача по імені "userid" (останній параметр в команді). Дається коментар, який говорить, що "userid" - "normal user" (звичайний користувач). Для нього буде створено домашній каталог "/ home / userid". Його основною групою буде users, але він також буде входити в групи "webadm" і "helpdesk". В якості звичайного консольного оточення новий користувач з прикладу буде використовувати оболонку "/ bin / bash".

Webmin дозволяє створити нового користувача легко і наочно. Увійдіть в Webmin своїм улюбленим браузером і зайдіть в розділ System. Виберіть інструмент "Users and Groups", а потім клацніть на Create a new user.

Впишіть подробиці про користувача і натисніть Create. Буде створено користувач.

Додавання користувачів за допомогою інструментарію GUI також описано в " Basic tasks for new Linux developers ".

зміна паролів

З консолі пароль користувача змінюється командою passwd:

passwd userid

Змінити пароль іншого користувача таким способом може тільки root. Після введення команди вам буде запропоновано ввести і підтвердити встановлюється пароль. Якщо вони співпадуть, то дані користувача будуть оновлені, а пароль змінений. Користувач також може змінити свій власний пароль, написавши в командному рядку консолі passwd; в цьому випадку перш ніж вводити новий пароль, необхідно буде ввести старий.

Більшість дистрибутивів Linux встановлюються з модулем password cracker, який викликається для змін пароля. Цей модуль перевіряє, наскільки пароль хороший. Якщо не дуже, то з'являється попередження, що у користувача поганий пароль. Залежно від конфігурації, у нього можуть вимагати придумати безпечний пароль, а тільки потім прийняти його. Root'а ж можуть просто сповістити, коли пароль вже встановлено.

У Webmin'е пароль змінюється за допомогою модуля "Change Passwords" з розділу System. Виберіть користувача зі списку і введіть новий пароль у порожні поля форми.

видалення користувачів

З консолі користувачі видаляються командою userdel.

userdel -r userid

Необов'язковий ключ -r видалить, крім користувача, його домашній каталог з усім вмістом. Якщо каталог хочеться залишити, не пишіть -r. Цей ключ не буде автоматично видаляти всі файли в системі, які належать користувачеві, тільки його домашній каталог.

Як організовані користувачі

Конфігурація Linux має в своїй основі текст. Тому всі користувачі в Linux розташовані у файлі під назвою / etc / passwd. Командою more ви можете посторінково переглянути цей файл:

more / etc / passwd

Каталог / etc

Запам'ятайте, що більшість конфігураційних файлів у Linux живе в каталозі / etc.

Структура цього файлу цілком дохідлива. Кожен рядок містить нового користувача з параметрами, розділеними двокрапкою.

userid: x: 75000: 75000 :: / home / userid: / bin / bash

У першій колонці знаходиться ім'я користувача. У другій - його пароль. У третій - призначений для користувача числовий id. У четвертій - id основної групи користувача. У п'ятій - повне ім'я користувача. У шостий - розташування користувальницького каталогу. Зазвичай цей каталог живе в / home і називається по імені користувача. Сьома колонка містить shell за замовчуванням.

Структура файлу паролів

Login ID Пароль ID користувача ID групи Коментар Домашній каталог Оболонка за замовчуванням userid x 75000 75000 / home / userid / bin / bash

Зауважте, що в наведеному вище прикладі, в колонці з паролем варто "x". Це зовсім не означає, що у користувача такий пароль. У свій час паролі зберігалися всередині файлу в вигляді звичайного тексту. Така конфігурація можлива і зараз, але зустрічається рідко через наслідки. Вирішено було створити щось під назвою тіньової пароль. На місці пароля у файлі / etc / passwd записується "х", а закодована версія пароля йде в файл / etc / shadow. Така технологія покращує безпеку за допомогою поділу інформації про користувача і пароля. Алгоритм кодування паролів MD5 ще поліпшив безпеку, дозволяючи лише надійні паролі. Нижче наведено приклад запису тіньового пароля:

Тіньові паролі і права користувача

Одна з відмінних рис управління користувачами в Linux - спадщина стилю UNIX в файлі паролів. Користувач, який реєструється, повинен бути в змозі прочитати файл / etc / password, щоб подивитися, що його ім'я існує в системі. Зберігання паролів в тому ж файлі дасть можливість потенційним хакерам пізнати, а вони могли б запустити файл / etc / passwd і отримати імена і зашифровані паролі, щоб далі працювати з окремою програмою прямого підбору. Файл з тіньовим паролем не обов'язково повинен бути читабельним, тому зломщики не отримають паролі в якій би то не було формі для роботи з ними.

Цей підхід, проте, теж не оптимальний, оскільки надає деяку інформацію про користувача потенційним хакерам. Кращий вибір - зберігати користувачів в окремому сховищі, такому як LDAP.

userid: $ 1 $ z2NXZR19 $ PZpyL84DmPKBXMeURaXXM.: 12138: 0: 186: 7 :::

Вся функція тіньового пароля залишається за кадром, а вам рідко потрібно робити що-небудь більше, ніж включати її.

Групи

Групи в Linux майже те ж саме, що і в Windows. Ви створюєте групу і додаєте в її список учасників. Ресурси можуть мати права, приписані групі. Члени групи мають доступ до ресурсу, асоційованого з цією групою.

Створення групи виконується просто, консольної командою groupadd:

groupadd mygroup

Ця команда створить групу без учасників з назвою "mygroup". Групи живуть в файлі з назвою / etc / group. Кожній групі відводиться окремий рядок, як написана нижче:

mygroup: x: 527:

Перша колонка показує ім'я групи. Друга - пароль. Знову-таки "x" означає, що справжній пароль зберігається в тіньовому файлі / etc / gshadow. Третя колонка буде містити розділені комами ідентифікатори учасників групи.

Щоб додати члена групи, використовуйте команду gpasswd з ключем -a і id користувача, якого ви хочете додати:

gpasswd -a userid mygroup

Видалити користувачів з групи можна тією ж командою, але з ключем -d замість -a:

gpasswd -d userid mygroup

Вносити зміни в групи можна також прямим редагуванням файлу / etc / group.

Обережність при редагуванні файлу passwd

Реальну небезпеку при прямому редагуванні файлів / etc / passwd і / etc / group представляє випадкове дублювання ідентифікаційного номера. Всі ресурси воліють використовувати не ім'я користувача або групи, а саме id номер. Якщо ви випадково продубліруете його, то дасте доступ туди, куди не збиралися. Наприклад, якщо змінити id номер користувача на 0, який відповідає користувачеві root, то увійшовши в систему він виявиться суперкористувачем! Також якщо видалити у файлі рядок з користувачем або групою, цей користувач або група втечуть.

Це все помилки, які може зробити людина. Програма ж все робить правильно. Однак, іноді швидке редагування файлу / etc / group - це найшвидший спосіб вирішити просту проблему. Тільки уявіть, що ви володієте деякою реальною владою, коли редагуєте ці файли. Будьте уважні.

Групи можуть бути створені, відредаговані і знищені в програмі Webmin тим же самим інструментом, який використовувався вище для роботи з користувачами.

Призначені для користувача і групові додатки

Поки тут ми не говоримо детально про контроль доступу, вам буде потрібно якесь розуміння того, як користувачі і групи співвідносяться з файлами. Якщо подивитися на розширений висновок списку файлів в каталозі, можна побачити щось на кшталт такого.

-rw-r - r-- 1 userid mygroup 703 Jun 23 22:12 myfile

Не звертаючи поки що уваги на інші колонки, подивіться на третю, четверту і останню. У третій колонці знаходиться ім'я власника файлу, userid. Четверта колонка містить групу, асоційовану з файлом, mygroup. Остання колонка - це ім'я файлу. Кожен файл має тільки одного власника і одну групу. Можна дати права Other (Іншим), користувачам, які не потрапляють ні в яку категорію. Вважайте Other еквівалентом групи Everyone в Windows.

Єдиний власник файлу - це зазвичай для операційних систем, але єдина група-власник здається обмеженням адміністраторам, які знайомі з технологією. Це не так. Оскільки користувачі можуть бути членами будь-якої кількості груп, можна легко створювати нові і нові групи для збереження безпеки ресурсу. В системі Linux визначення групи швидше грунтуються на необхідному доступі до ресурсів, ніж на підрозділах компанії. Якщо ресурси організовані в системі логічно, то створіть побільше груп, щоб потім налаштовувати доступ до ресурсів.

Більш повну інформацію про зв'язок користувачів і груп можна знайти в розділі ресурси в кінці цієї статті. За подробицями про те, як змінювати повноваження доступу до файлу, звертайтеся до man chmod.

висновок

В принципі, користувачі і групи в Linux працюють так само як і в Windows, з тією лише різницею, що тільки одна група може відповідати ресурсу. Маючи справу з групами в Linux, вважайте їх "дешевими" і не бійтеся створювати їх багато для складного оточення. Створивши групу, ґрунтується на необхідності доступу до ресурсів, ніж на підрозділах компанії.

Інформація про користувача і групи зберігається в файлах / etc / passwd і / etc / group, відповідно. Ваша система можливо також містить файли / etc / shadow і / etc / gshadow, в яких знаходяться зашифровані паролі для більшої безпеки. Можна працювати з користувачами і групами, безпосередньо редагуючи файли, однак робити це треба з великою обережністю.

Всі операції з користувачам і групам можна виконувати з консолі, що дає можливість включати ці операції в скрипти. Існують також програми, наприклад, Webmin, що надають графічний інтерфейс для роботи з користувачами і групами.

Ресурси для скачування

Схожі теми

• Оригінал цього навчального посібника на developerWorks
• Ознайомтеся з іншими частинами цієї серії англійською Windows-to-Linux roadmap (DeveloperWorks, листопад 2003) або російською План переходу з Windows на Linux мовах.
• IBM Directory Server реалізує Lightweight Directory Access Protocol (LDAP) для доступу до сервісів каталогів, особливо заснованим на X.500. Подробиці читайте в " Authenticating Linux users with IBM Directory Server "(DeveloperWorks, лютий 2005).
• Повноваження доступу до файлу і безпеку описані в частини 3 керівництва Introduction to Linux в проекті Linux Documentation Project.
• Університет Меріленд діляться словами мудрості в виборі безпечних паролів .
• Документація Red Hat Linux Manual пропонує подробиці про використання Файлу тіньового пароля .
• Linux Shadow Password HOWTO дає передумови і розумне обґрунтування тіньової системи і покрокове керівництво для виконання.
• Безпека системи - це велика і складна тема, але у взаємопов'язаному світі вона стосується кожного. На щастя, ніколи не рано і не пізно почати займатися нею. документація Adding Security to Common Linux Distributions і Strategies for Keeping a Secure Server допоможе вам зробити саме це.
• " Addressing security issues in Linux "(DeveloperWorks, іюлб 2001) допоможе почати вивчати основи безпеки.
• Інші ресурси для розробників Linux шукайте на developerWorks Linux zone , Включаючи наші новітні підручники how-to .
• Побудуйте свій наступний проект розробки для Linux з використанням IBM trial software , Завантаживши його безпосередньо з developerWorks.
• Відточите свої знання основ Linux і системного адміністрування з нашими посібниками для сертифікаційних іспитів. Захочете ви здавати іспит чи ні, наші серії Linux skill-building tutorial занурять вас і в основи Linux, і в більш просунуті теми.
• Дізнайтеся, як отримати исходник ядра, налаштувати і завантажити його, додати функуцію, виправити недолік або просто порозважатися з вихідним кодом операційної системи в нашій серії підручників Hacking the Linux kernel . Будьте вільні у своїх діях.
• сайт Linux at IBM пропонує програмне забезпечення, посилання, кінцеві Linux рішення і ін.
• The Linux Documentation Project є репозиторієм документації Linux, що включає документацію з програмного забезпечення, HOWTO, FAQ і багато іншого.
• Linux Online! пропонує об'єктивні Linux-новини та довідкову інформацію.
• The O'Reilly Network - прекрасне джерело технічної літератури по Linux.

Підпишіть мене на повідомлення до коментарів