При обсуждении управления пользователями у нас есть три важных условия для понимания —
- пользователей
- группы
- права доступа
Мы уже обсудили подробные разрешения применительно к файлам и папкам. В этой главе давайте поговорим о пользователях и группах.
Пользователи CentOS
В CentOS есть два типа учетных записей —
-
Системные учетные записи — используется для демона или другого программного обеспечения.
-
Интерактивные учетные записи — обычно назначаются пользователю для доступа к системным ресурсам.
Системные учетные записи — используется для демона или другого программного обеспечения.
Интерактивные учетные записи — обычно назначаются пользователю для доступа к системным ресурсам.
Основное различие между двумя типами пользователей —
-
Системные учетные записи используются демонами для доступа к файлам и каталогам. Обычно они запрещены при интерактивном входе в систему через оболочку или физическую консольную учетную запись.
-
Интерактивные учетные записи используются конечными пользователями для доступа к вычислительным ресурсам с помощью входа в оболочку или с физической консоли.
Системные учетные записи используются демонами для доступа к файлам и каталогам. Обычно они запрещены при интерактивном входе в систему через оболочку или физическую консольную учетную запись.
Интерактивные учетные записи используются конечными пользователями для доступа к вычислительным ресурсам с помощью входа в оболочку или с физической консоли.
С этим базовым пониманием пользователей, давайте теперь создадим нового пользователя для Боба Джонса в бухгалтерии. Новый пользователь добавляется с помощью команды adduser .
Ниже приведены некоторые общие переключатели adduser.
| переключатель | действие |
|---|---|
| -с | Добавляет комментарий к учетной записи пользователя |
| -m | Создает домашний каталог пользователя в расположении по умолчанию, если его не существует |
| -г | Группа по умолчанию для назначения пользователя |
| -n | Не создает личную группу для пользователя, обычно группу с именем пользователя |
| -М | Не создает домашний каталог |
| -s | Оболочка по умолчанию, отличная от / bin / bash |
| -u | Определяет UID (иначе назначается системой) |
| -Г | Дополнительные группы для назначения пользователя |
При создании нового пользователя используйте ключи -c, -m, -g, -n следующим образом:
[root@localhost Downloads]# useradd -c "Bob Jones Accounting Dept Manager" -m -g accounting -n bjones
Теперь давайте посмотрим, был ли создан наш новый пользователь —
[root@localhost Downloads]# id bjones (bjones) gid = 1001(accounting) groups = 1001(accounting) [root@localhost Downloads]# grep bjones /etc/passwd bjones:x:1001:1001:Bob Jones Accounting Dept Manager:/home/bjones:/bin/bash [root@localhost Downloads]#
Теперь нам нужно включить новую учетную запись с помощью команды passwd —
[root@localhost Downloads]# passwd bjones Changing password for user bjones. New password: Retype new password: passwd: all authentication tokens updated successfully. [root@localhost Downloads]#
Учетная запись пользователя не включена, что позволяет пользователю войти в систему.
Отключение учетных записей пользователей
Есть несколько способов отключить учетные записи в системе. Они варьируются от редактирования файла / etc / passwd вручную. Или даже с помощью команды passwd с ключом -l . Оба эти метода имеют один большой недостаток: если у пользователя есть доступ ssh и он использует ключ RSA для аутентификации, он все равно может войти в систему, используя этот метод.
Теперь давайте воспользуемся командой chage , изменив срок действия пароля на предыдущую. Кроме того, может быть полезно сделать отметку в учетной записи о том, почему мы ее отключили.
[root@localhost Downloads]# chage -E 2005-10-01 bjones [root@localhost Downloads]# usermod -c "Disabled Account while Bob out of the country for five months" bjones [root@localhost Downloads]# grep bjones /etc/passwd bjones:x:1001:1001:Disabled Account while Bob out of the country for four months:/home/bjones:/bin/bash [root@localhost Downloads]#
Управление группами
Управление группами в Linux позволяет администратору объединять пользователей в контейнеры, применяя наборы разрешений, применимые ко всем членам группы. Например, всем пользователям в бухгалтерии может потребоваться доступ к одним и тем же файлам. Таким образом, мы составляем учетную группу, добавляя учет пользователей.
По большей части все, что требует специальных разрешений, должно быть сделано в группе. Такой подход обычно экономит время по сравнению с применением специальных разрешений только для одного пользователя. Например, Салли отвечает за отчеты и только Салли нуждается в доступе к определенным файлам для отчетов. Однако, что, если Салли однажды заболеет, а Боб сделает отчеты? Или потребность в отчетности растет? Когда группа создана, администратор должен сделать это только один раз. Добавление пользователей применяется при необходимости изменения или расширения.
Ниже приведены некоторые общие команды, используемые для управления группами.
- команда chgrp
- GroupAdd
- группы
- usermod
chgrp — изменяет владение группой для файла или каталога.
Давайте создадим каталог для людей в группе учета для хранения файлов и создания каталогов для файлов.
[root@localhost Downloads]# mkdir /home/accounting [root@localhost Downloads]# ls -ld /home/accounting drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/accounting [root@localhost Downloads]#
Далее давайте передадим групповое владение учетной группе.
[root@localhost Downloads]# chgrp -v accounting /home/accounting/ changed group of ‘/home/accounting/’ from root to accounting [root@localhost Downloads]# ls -ld /home/accounting/ drwxr-xr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/ [root@localhost Downloads]#
Теперь все в группе учета имеют права на чтение и выполнение для / home / accounting . Им также понадобятся разрешения на запись.
[root@localhost Downloads]# chmod g+w /home/accounting/ [root@localhost Downloads]# ls -ld /home/accounting/ drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/ [root@localhost Downloads]#
Поскольку учетная группа может иметь дело с конфиденциальными документами, нам необходимо применить некоторые ограничительные разрешения для других или других стран .
[root@localhost Downloads]# chmod o-rx /home/accounting/ [root@localhost Downloads]# ls -ld /home/accounting/ drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/accounting/ [root@localhost Downloads]#
groupadd — используется для создания новой группы.
| переключатель | действие |
|---|---|
| -г | Определяет GID для группы |
| -К | Переопределяет спецификации для GID в /etc/login.defs |
| -о | Позволяет переопределить неуникальное запрещение идентификатора группы |
| -п | Групповой пароль, позволяющий пользователям активировать себя |
Давайте создадим новую группу под названием секрет. Мы добавим пароль в группу, что позволит пользователям добавлять себя с известным паролем.
[root@localhost]# groupadd secret [root@localhost]# gpasswd secret Changing the password for group secret New Password: Re-enter new password: [root@localhost]# exit exit [centos@localhost ~]$ newgrp secret Password: [centos@localhost ~]$ groups secret wheel rdc [centos@localhost ~]$
На практике пароли для групп используются не часто. Вторичные группы адекватны, и обмен паролями между другими пользователями не является хорошей практикой безопасности.
Команда groups используется, чтобы показать, к какой группе принадлежит пользователь. Мы будем использовать это после внесения некоторых изменений в нашего текущего пользователя.
usermod используется для обновления атрибутов аккаунта.
Ниже приведены общие переключатели usermod .