except_4
.pdfДля управления группами служат команды.
Команда Описание
groupadd создать новую группу gpasswd установить пароль группы groupmod измененить параметры группы groupdel удалить группу
2. Характеристики бюджета пользователя
Команда useradd заводит бюджет нового пользователя, создает для него домашний каталог, копирует в него файлы конфигурации из каталога /etc/skel. В качестве аргумента команде должно быть указано имя пользователя, которое потом будет использоваться им для входа в систему. Кроме того, с помощью дополнительных опций можно задать:
данные о пользователя (имя и т.д.), записываемые в поле комментария в файле /etc/passwd (опция -c);
имя или номер группы, к которой будет отнесен пользователь (опция – g);
список групп, в которые будет включен данный пользователь (опция –
G);
UID пользователя, назначаемый вместо UID, задаваемого системой (опция –u);
какая оболочка назначается пользователю (опция –s)
Команда usermod имеет те же опции, что и useradd, только используется для изменения параметров существующего пользователя, причем на момент применения этой команды суперпользователем данный пользователь не должен быть логирован в системе.
3. Формат файла /etc/passwd
login:X:UID:GID:name:home:shell
В некоторых системах имеются «теневые пароли» (shadow passwords), когда информация о пароле хранится в файле /etc/shadow.
Третье поле UID. Это число должно быть уникальным. UID ≤ 1000 – системные пользователи. Четвёртое поле GID, т. е. пользователь принадлежит к группе с данным номером. Информация о группах хранится в файле /etc/group.
Пятое поле — реальное имя пользователя, в данном случае. Последние два поля — домашний каталог пользователя и начальная оболочка.
13. Управление пользователями в linux. Идентифиакция, аутентификация и авторизация пользователя. Вход польз. в систему. Выполнение команд от имени другого пользователя
Идентификация – процедура распознавания пользователя по его идентификатору.
Каждый пользователь имеет 2 идентификатора: UID и GID, которые предназначены для определения его прав доступа к файлам в системе. Они представляют собой неотрицательные целые числа
UID – user id – идентификатор пользователя
GID – group id – идентификатор первичной группы пользователя
Каждый пользователь м. б. одновременно в нескольких группах, но только одна из них устанваливается на вновь создаваемые пользователем файлы и каталоги – первичная группа.
Получить GID,UID можно с помощью команды id: $ id
Авторизация – процедура предоставления пользователю определенных прав, а также подтверждения и проверки этих прав.
Методы авторизации:
-дискреционное управление доступом
-мандатное упр. дост.
- упр. дост. на основе ролей.
Аутентификация пользователя - процедура проверки подлинности пользователя. Наиболее распространена схема аутентификации, основанная на паролях: после загрузки системы предлагается ввести имя пользователя и пароль.
Например, раньше аутент. обеспечивалась утилитой login, задача которой – проверить, действительно ли есть такой пользователь и такой ли у него пароль, просматривая «базу данных» пользователей - /etc/passw. Если введенные данные верны, то утилита впускала пользователя в систему.
Сейчас используются такие системы аутентификации, как PAM, которая отделена от исполняющих программ, что позволяет легко настроить желаемый механизм аутентификации.
Выполнение команд от имени другого пользователя
- для этого существует команда sudo. Если имя или идентифиактор пользователя не указаны, то выполняться будет от root’а.
!Пользователь, от имени которого надо запустить программу, должен быть зарегистрирован в файле sudoers!
!Требуется ввести пароль по умолчанию(в конфигурации по умолчанию это пользовательский пароль), если вызываемый пользователь не root и не текущий!
Для этой команды существует множество параметров, некоторые из них:
-u, --user=user - выполнить команду от имени указанного пользователя
-E – сохранить пользовательское окружение при выполнении команды
-e, --edit – редактировать файлы вместо выполнения команды
-g, --group=group – выполнить команду от имени или ID группы
-i, --login – запустить оболочку входа в систему от имени указанного пользователя, также можно задать команду
Примеры:
Редактировать файл от имени user1:
$ sudo -u user1 vi ~www/htdocs/index.html
Получить список файлов в домашнем каталоге пользователя user2:
$ sudo -u user2 ls ~
Также выполнять команды от имени другого пользователя можно через команду su. Она позволяет начать сеанс от имени другого пользователя и выполнить несколько команд от имени нужного пользователя в отличие от sudo.
Пример: |
|
$ su user2 |
//начало сеанса от имени user2 |
//какието действия |
|
$ exit |
// завершение сеанса |
14.Управление пользователями в ОС Linux. Создание, модификация, удаление бюджета пользователя.
useradd [опции] {имя пользователя} – создание нового пользователя
После выполнения данной команды, новый пользователь будет создан в заблокированном состоянии. Чтобы разблокировать пользовательский аккаунт, необходимо задать его пароль с помощью команды "passwd". Сразу после установки стандартные значения для различных параметров указаны в файле /etc/default/useradd.
Основные опции команды useradd:
-b - базовый каталог для размещения домашнего каталога пользователя, по умолчанию /home;
-c - комментарий к учетной записи;
-d - домашний каталог, в котором будут размещаться файлы пользователя;
-e - дата, когда учетная запись пользователя будет заблокирована, в формате ГГГГ-ММ-ДД;
-f - заблокировать учетную запись сразу после создания;
-g - основная группа пользователя;
-G - список дополнительных групп;
-k - каталог с шаблонами конфигурационных файлов;
-l - не сохранять информацию о входах пользователя в lastlog и faillog;
-m - создавать домашний каталог пользователя, если он не существует;
-M - не создавать домашнюю папку;
-N - не создавать группу с именем пользователя;
-o - разрешить создание пользователя linux с неуникальным идентификатором UID;
-p - задать пароль пользователя;
-s - командная оболочка для пользователя;
u - идентификатор для пользователя;
usermod [опции] {имя пользователя} – изменение учетной записи. Изменять можно любые атрибуты, но имя пользователя и код UID изменять нужно лишь в случае крайней необходимости, поскольку такое изменение может иметь общесистемные последствия.
userdel [опции] {имя пользователя} – удаление пользователя.
Команда userdel не может быть выполнена при нахождении в системе удаляемого пользователя и запущенных им процессов.
Команда userdel удаляет пользовательские данные из всех системных файлов
(/etc/passwd, /etc/shadow, /etc/group) не трогая личные файлы.
Опции команды userdel:
-f – удаление учетной записи, даже если пользователь в этот момент работает в системе. Она также заставляет userdel удалить домашний каталог пользователя и почтовый ящик, даже если другой пользователь использует тот же домашний каталог или если почтовый ящик не принадлежит данному пользователю;
-h - показать краткую справку и закончить работу;
-r - файлы в домашнем каталоге пользователя будут удалены вместе с самим домашним каталогом и почтовым ящиком. Пользовательские файлы, расположенные в других файловых системах, нужно искать и удалять вручную.
15. |
а |
|
|
|
а я |
С Linux. Г |
|
а |
. |
||
|
ая |
|
а, |
|
я PUG. |
а |
а а /etc/group. |
|
|||
К |
|
|
|
|
|
|
|
я |
(GID). И |
|
|
|
|
|
|
|
|
/etc/group. |
|
|
|
|
|
Д |
а |
я |
а |
|
: |
|
|
|
|||
groupadd |
|
|
|
|
|
|
|
|
|
|
|
gpasswd |
|
|
|
|
|
|
|
|
|
|
|
groupmod |
|
|
|
|
|
|
|
|
|
|
|
groupdel |
|
|
|
|
|
|
|
|
|
|
|
|
|
: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
ая |
а (primary |
|
group). |
|
|
|
|
GID, |
|
|
|
/etc/passwd. |
|
|
|
, |
|
|
|
|
|
|
|
, |
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
К |
PUG: |
|
|
|
|
|
|
|
|||
Red Hat |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
, |
|
, |
|
. Д |
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
Private User Group (PUG). |
|
|
||||
Д |
|
|
|
|
: |
|
|
|
|
|
|
|
|
|
|
|
|
0 |
|
|
|
а |
|
(supplementary group). Д
/etc/group.
/etc/group:
groupname:password:GID:user1,user2,user3
groupname – |
|
|
|
password- |
( |
|
) |
GID – |
|
|
|
user1,user2,user3 – |
, |
щ |
|
16.Управление пользователями в ОС Linux. Создание, модификация, удаление группы пользователей.
Управление пользователями в ОС Linux.
Каждый процесс (запуск программы) в системе работает под определенным пользователем. Каждый файл принадлежит конкретному пользователю.
Команда id используется для отображения информации о текущем вошедшем в систему пользователе. Основную информацию о другом пользователе можно получить передавая имя пользователя в качестве первого аргумента идентификатору команды.
Чтобы просмотреть пользователя, связанного с файлом или каталогом, используйте команду ls -1.
Чтобы просмотреть информацию о процессе, используйте команду ps.
Вывод предыдущих команд отображает пользователей по имени, но операционная система отслеживает пользователей по номеру UID. Отображение имен в числа определяется в базах данных учетной записи. По умолчанию системы используют файл /etc/passwd, чтобы хранить информацию о локальных пользователях.
Username - это сопоставление UID с именем пользователя.
Password - это где, исторически, пароли хранились в зашифрованном виде. Сегодня они хранятся в отдельном файле под названием /etc/shadow.
UID - это идентификатор пользователя, номер, который идентифицирует пользователя на самом фундаментальном уровне.
GID - это идентификационный номер первичной группы пользователя. /Home/dir - это местоположение персональных данных и файлов
конфигурации пользователя.
Создание, модификация, удаление группы пользователей.
Группа должна существовать, прежде чем пользователь может быть добавлен в эту группу. Ряд инструментов командной строки используется для управления локальной группой учетных записей.
Создание группы пользователей:
Программой groupadd создаются группы:
•groupadd имя_группы использует следующий доступный GID из диапазона, указанного в /etc/ login.defs файл.
• Опция -g GID используется для указания конкретного GID.
[student@serverx -]$ sudo groupadd -g 5000 ateam
• Опция -r позволяет создать системную группу с помощью гид из диапазона допустимых системе гид, указанным в /etc/login.defs файл.
[student@serverx -]$ sudo groupadd -r appusers
Удаление группы пользователей:
• Команда groupdel удаляет группу
[student@serverx -]$ sudo groupdel javaapp
•Группа не может быть удалена, если она является основной группой любого существующего пользователя. Проверьте все файловые системы, чтобы гарантировать, что никакие файлы не принадлежат группе.
Модификация группы пользователей:
Groupmod изменяет существующие группы:
•Команда groupmod используется для изменения имени группы на
сопоставление GID. Опция -n используется для указания нового имени.
[student@serverx -]$ sudo groupmod -n javaapp appusers
• Опция -g используется для указания нового GID.
[student@serverx -]$ sudo groupmod -g 6000 ateam
•Состав группы контролируется с руководством пользователя. Изменение основной группы пользователя: usermod -g имя_группы.
•Добавить пользователя в дополнительную группу: usermod -aG
имя_группы имя_пользователя.
[student@serverx -]$ sudo usermod -aG wheel elvis
Использование опции -a переводит функцию usermod в режим «добавления». Без него пользователь будет удален из всех других дополнительных групп.
17. Управление пользователями в ОС Linux. Характеристики пароля пользователя. Формат файла /etc/shadow.
Обычно пользователи выбирают простые и неуместные в использовании пароли. Выбор же хорошего пароля поможет пользователю усилить безопасность.
Одни системы настаивают на фиксированной минимальной длине пароля, другие – на содержании в пароле хотя бы одного небуквенного символа. Помимо того, что пароль должен быть хорошим, он должен быть легко запоминаемым, поэтому осторожно выбирайте его и никогда не записывайте!
Особенно важно, чтобы пароль root был надёжным и легко запоминаемым.
Формат файла /etc/shadow
Пароли (или скорее, их зашифрованное представление) хранятся в файле /etc/shadow, доступ к которому имеет только суперпользователь. Формат файла:
name:password:lastchange:minage:maxage:warning:inactive
:expire:blank
name – имя пользователя для входа в систему
password – зашифрованный пароль (хэш)
если это поле пустое, то пароль отсутствует
! или * означают, что учётная запись заблокирована (вход никогда не осуществится)
lastchange – дата последнего изменения пароля, представленная как количество дней с 01.01.1970
minage – минимальное количество дней между изменениями пароля
maxage – максимальное количество дней, когда пароль действителен
warning – период предупреждения о том, что срок действия пароля истекает (в днях)
0 означает, что не надо предупреждать
inactive – количество дней, когда учётная запись будет активна после истечения действия пароля
expire – истекает абсолютная дата, после которой учётная запись будет отключена (количество дней с 01.01.1970)
blank – пустое поле (резерв для будущего использования)
Хэш пароля
Современный хэш паролей файла /etc/shadow состоит из трёх частей ($ - знак разделения):
$1$gCjLa2/Z$6Pu0EK0AzfCjxjv2hoLOB/
1.1 – алгоритм хэширования. Число 1 значит, что использовался MD5. Или, например, число 6 означает, что использовался SHA-512.
2.gCjLa2/Z – соль, используемая для создания хэша (соль и незашифрованный пароль объединяются и хэшируются).
3.6Pu0EK0AzfCjxjv2hoLOB/ – итоговый хэш пароля.
Когда пользователь пытается войти в систему, система просматривает запись для пользователя в /etc/shadow, объединяет соль для пользователя с незашифрованным паролем, который был введен, и шифрует их с использованием указанного алгоритма хэширования. Если результат соответствует зашифрованному хэшу, пользователь вводит правильный пароль. Если результат не соответствует зашифрованному хэшу, пользователь вводит неверный пароль и попытка входа в систему не выполняется. Этот метод позволяет системе определить, набрал ли пользователь правильный пароль, не сохраняя этот пароль в форме, пригодной для входа в систему.