LFCA: Naučite upravljanje korisničkim računom – 5. dio

Kao administrator Linux sustava, imat ćete zadatak osigurati nesmetan tijek svih IT operacija u vašoj organizaciji. S obzirom na to da su neke IT operacije isprepletene, administrator sustava obično ima mnoge funkcije, uključujući i funkciju administratora baze podataka ili mreže.

Ovaj članak je 5. dio serije LFCA, ovdje u ovom dijelu, upoznat ćete se s općim naredbama administracije sustava za stvaranje i upravljanje korisnicima u Linux sustavu.

Upravljanje korisničkim računom u Linuxu

Jedna od primarnih odgovornosti administratora Linux sustava je stvaranje i upravljanje korisnicima u Linux sustavu. Svaki korisnički račun ima 2 jedinstvena identifikatora: korisničko ime i ID korisnika (UID).

U osnovi, postoje 3 glavne kategorije korisnika u Linuxu:

Korijenski korisnik

Root korisnik je najmoćniji korisnik u Linux sustavu i obično se stvara tijekom procesa instalacije. Root korisnik ima apsolutnu moć u Linux sustavu ili bilo kojem drugom OS-u sličnom UNIX-u. Korisnik može pristupiti svim naredbama, datotekama i direktorijima te modificirati sustav prema svojim željama.

Root korisnik može ažurirati sustav, instalirati i deinstalirati pakete, dodavati ili uklanjati druge korisnike, dodijeliti ili opozvati dozvole i obavljati bilo koji drugi zadatak administracije sustava bez ikakvih ograničenja.

Root korisnik može učiniti gotovo sve na sustavu. Pretpostavka Linuxa i sustava sličnih UNIX-u je da dobro znate što radite sa sustavom. Ipak, root korisnik može lako slomiti sustav. Sve što je potrebno je da izvršite kobnu naredbu i sustav će biti u dimu.

Iz tog razloga se vrlo obeshrabruje izvođenje naredbi kao root korisnik. Umjesto toga, dobra praksa zahtijeva da konfigurirate sudo korisnika. To znači dodijeliti sudo privilegije običnom korisniku za obavljanje određenih administrativnih zadataka i ograničiti neke zadatke samo na root korisnika.

Redovni korisnik

Obični korisnik je uobičajeni korisnik za prijavu kojeg može kreirati administrator sustava. Obično postoji odredba za stvaranje jednog tijekom postupka instalacije. Međutim, još uvijek možete stvoriti onoliko redovnih korisnika koliko je potrebno nakon instalacije.

Obični korisnik može obavljati samo zadatke i pristupati datotekama i imenicima za koje je ovlašten. Ako je potrebno, običnom korisniku mogu se dodijeliti povišene privilegije za obavljanje zadataka na administrativnoj razini. Obični korisnici također se mogu izbrisati ili onemogućiti kada se ukaže potreba.

Račun usluge

Ovo je račun bez prijave koji se stvara kada se instalira softverski paket. Servisi koriste takve račune za izvršavanje procesa u sustavu. Oni nisu dizajnirani niti namijenjeni obavljanju bilo kakvih rutinskih ili administrativnih zadataka u sustavu.

Datoteke za upravljanje korisnicima

Informacije o korisnicima u Linux sustavu pohranjuju se u sljedećim datotekama:

  • Datoteka /etc/passwd
  • Datoteka /etc/group
  • Datoteka /etc/gshadow
  • Datoteka /etc/shadow

Hajdemo razumjeti svaku datoteku i što ona radi:

Datoteka /etc/passwd

Datoteka /etc/passwd sadrži dosta informacija o korisnicima koje se nalaze u raznim poljima. Za pregled sadržaja datoteke jednostavno upotrijebite naredbu cat kao što je prikazano.

cat /etc/passwd

Evo isječka rezultata.

tecmint:x:1002:1002:tecmint,,,:/home/tecmint:/bin/bash

Usredotočimo se na prvi redak i razradimo različita polja. Počevši od krajnje lijeve strane, imamo sljedeće:

  • Korisničko ime: Ovo je ime korisnika, u ovom slučaju, tecmint.
  • Zaporka: drugi stupac predstavlja šifriranu lozinku korisnika. Lozinka se ne ispisuje u obliku običnog teksta, umjesto toga koristi se rezervirano mjesto sa znakom x.
  • UID: Ovo je korisnički ID. To je jedinstveni identifikator za svakog korisnika.
  • GID: Ovo je ID grupe.
  • Kratak opis ili sažetak korisnika.
  • Ovo je put do korisničkog matičnog imenika. Za tecmint korisnike, imamo /home/tecmint.
  • Ovo je ljuska za prijavu. Za redovne korisnike koji se prijavljuju, ovo je obično predstavljeno kao /bin/bash. Za račune usluga kao što su SSH ili MySQL, to se obično predstavlja kao /bin/false.

Datoteka grupe /etc/

Ova datoteka sadrži podatke o korisničkim grupama. Kada se kreira korisnik, ljuska automatski stvara grupu koja odgovara korisničkom imenu korisnika. Ovo je poznato kao primarna grupa. Korisnik se dodaje primarnoj grupi nakon kreiranja.

Na primjer, ako kreirate korisnika pod imenom bob, sustav automatski stvara grupu pod nazivom bob i dodaje korisnika bob u grupu.

cat /etc/group

tecmint:x:1002:

Datoteka /etc/group ima 3 stupca. S krajnje lijeve strane imamo:

  • Grupno ime. Svaki naziv grupe mora biti jedinstven.
  • Lozinka grupe. Obično se predstavlja rezerviranim mjestom x.
  • ID grupe (GID)
  • Članovi grupe. To su članovi koji pripadaju grupi. Ovo polje ostaje prazno ako je korisnik jedini član u grupi.

NAPOMENA: Korisnik može biti član više grupa. Isto tako, grupa može imati više članova.

Za potvrdu grupa kojima korisnik pripada, pokrenite naredbu:

groups username

Na primjer, da provjerite grupama kojima korisnik tecmint pripada, pokrenite naredbu:

groups tecmint

Ispis potvrđuje da korisnik pripada dvjema grupama: tecmint i sudo.

tecmint : tecmint sudo

Datoteka /etc/gshadow

Ova datoteka sadrži šifrirane ili 'zasjenjene' lozinke za grupne račune i, iz sigurnosnih razloga, obični joj korisnici ne mogu pristupiti. Čitaju ga samo root korisnici i korisnici sa sudo privilegijama.

sudo cat /etc/gshadow

tecmint:!::

S krajnje lijeve strane datoteka sadrži sljedeća polja:

  • Grupno ime
  • Lozinka šifrirane grupe
  • Administrator grupe
  • Članovi grupe

Datoteka /etc/shadow

Datoteka /etc/shadow pohranjuje korisničke stvarne lozinke u raspršenom ili šifriranom formatu. Opet, polja su odvojena dvotočkom i imaju prikazani format.

sudo cat /etc/shadow

tecmint:$6$iavr8PAxxnWmfh6J$iJeiuHeo5drKWcXQ.BFGUrukn4JWW7j4cwjX7uhH1:18557:0:99999:7:::

Datoteka ima 9 polja. Počevši od krajnje lijeve imamo:

  • Korisničko ime: Ovo je vaše ime za prijavu.
  • Korisnička lozinka. Ovo je predstavljeno u raspršenom ili šifriranom formatu.
  • Posljednja promjena lozinke. Ovo je datum od kada je lozinka promijenjena i računa se od datuma epohe. Epoha je 1. siječnja 1970.
  • Minimalna starost zaporke. Ovo je minimalni broj dana koji mora proći prije postavljanja lozinke.
  • Maksimalna dob zaporke. Ovo je maksimalni broj dana nakon kojih se lozinka mora promijeniti.
  • Razdoblje upozorenja. Kao što naziv sugerira, ovo je broj dana neposredno prije isteka lozinke tijekom kojih je korisnik obaviješten o skorom isteku lozinke.
  • Razdoblje neaktivnosti. Broj dana nakon isteka lozinke u kojima je korisnički račun onemogućen, a da korisnik nije promijenio lozinku.
  • Datum isteka. Datum isteka korisničkog računa.
  • Rezervirano polje. – Ovo je ostavljeno prazno.

Kako dodati korisnike u sustavu Linux

Za Debian i Ubuntu distribucije, uslužni program adduser koristi se za dodavanje korisnika.

Sintaksa je prilično jednostavna i jasna.

adduser username

Na primjer, da biste dodali korisnika pod imenom bob, pokrenite naredbu

adduser bob

Iz rezultata se stvara korisnik pod nazivom 'bob' i dodaje se u novostvorenu grupu pod nazivom 'bob'. Dodatno, sustav također stvara početni direktorij i kopira konfiguracijske datoteke u njega.

Nakon toga, od vas će se tražiti nova korisnička lozinka i zatim je potvrditi. Školjka će vas također pitati za puno ime korisnika i druge dodatne informacije kao što su broj sobe i poslovni telefon. Ove informacije zapravo nisu potrebne, stoga ih je sigurno preskočiti. Na kraju pritisnite 'Y' kako biste potvrdili da su navedeni podaci točni.

Za RHEL & CentOS sustave koristite naredbu useradd.

useradd bob

Zatim postavite lozinku za korisnika pomoću naredbe passwd kako slijedi.

passwd bob

Kako izbrisati korisnike u sustavu Linux

Za brisanje korisnika iz sustava, preporučljivo je prvo zaključati korisnika od prijave u sustav kao što je prikazano.

passwd -l bob

Ako želite, možete sigurnosno kopirati korisničke datoteke pomoću naredbe tar.

tar -cvf /backups/bob-home-directory.tar.bz2  /home/bob

Konačno, za brisanje korisnika zajedno s matičnim imenikom upotrijebite naredbu deluser na sljedeći način:

deluser --remove-home bob

Osim toga, možete koristiti naredbu userdel kao što je prikazano.

userdel -r bob

Dvije naredbe potpuno uklanjaju korisnika uz njegove matične direktorije.

Zaključak

Bio je to pregled naredbi za upravljanje korisnicima koji će se pokazati korisnim posebno pri upravljanju korisničkim računima u vašem uredskom okruženju. Isprobajte ih s vremena na vrijeme kako biste izoštrili svoje vještine administracije sustava.