Ubuntu lietotāja pievienošana. Lietotāju pārvaldība. Bloķēto lietotāju piekļuve SSH

Lietotāju pārvaldība ir svarīga drošas sistēmas uzturēšanas sastāvdaļa. Neefektīva lietotāju un privilēģiju pārvaldība bieži noved pie daudzu sistēmu kompromitēšanas. Tāpēc ir svarīgi saprast, kā varat aizsargāt savu serveri, izmantojot vienkāršas un efektīvas lietotāja konta pārvaldības metodes.

Ubuntu izstrādātāji pieņēma apzinīgu lēmumu pēc noklusējuma atspējot administratīvo saknes kontu visās Ubuntu instalācijās. Tas nenozīmē, ka saknes konts ir dzēsts vai ka tam nevar piekļūt. Tam vienkārši ir piešķirta parole, kas neatbilst nevienai iespējamai šifrētai vērtībai, tāpēc tā nevar pieteikties tieši pati.

Tā vietā lietotāji tiek mudināti sistēmas administratīvo pienākumu veikšanai izmantot rīku ar nosaukumu sudo. Sudo ļauj autorizētam lietotājam uz laiku paaugstināt savas privilēģijas, izmantojot savu paroli, nevis zināt saknes konta paroli. Šī vienkāršā, taču efektīvā metodika nodrošina atbildību par visām lietotāja darbībām un nodrošina administratoram detalizētu kontroli pār to, kuras darbības lietotājs var veikt ar minētajām privilēģijām.

    Ja kāda iemesla dēļ vēlaties iespējot root kontu, vienkārši ievadiet tam paroli:

    Konfigurācijas ar root parolēm netiek atbalstītas.

    sudo passwd

    Sudo pieprasīs ievadīt paroli un pēc tam lūgs ievadīt jaunu root paroli, kā parādīts tālāk:

    Lietotājvārda parole: (ievadiet savu paroli) Ievadiet jauno UNIX paroli: (ievadiet jaunu root paroli) Atkārtoti ierakstiet jauno UNIX paroli: (atkārtojiet jauno root paroli) passwd: parole ir veiksmīgi atjaunināta

    Lai atspējotu saknes konta paroli, izmantojiet šādu passwd sintaksi:

    sudo passwd -l sakne

    Tomēr, lai atspējotu pašu saknes kontu, izmantojiet šo komandu:

    usermod --expiredate 1

    Jums vajadzētu lasīt vairāk par Sudo, izlasot mana lapu:

    vīrietis sudo

Pēc noklusējuma sākotnējais lietotājs, ko izveidojis Ubuntu instalētājs, ir grupas "sudo" dalībnieks, kas tiek pievienota failam /etc/sudoers kā autorizēts sudo lietotājs. Ja vēlaties kādam citam kontam piešķirt pilnu root piekļuvi, izmantojot sudo , vienkārši pievienojiet to sudo grupai.

Lietotāju pievienošana un dzēšana

Vietējo lietotāju un grupu pārvaldības process ir vienkāršs un ļoti maz atšķiras no vairuma citu GNU/Linux operētājsistēmu. Ubuntu un citi uz Debian balstīti izplatījumi mudina konta pārvaldībai izmantot pakotni "adduser".

    Lai pievienotu lietotāja kontu, izmantojiet tālāk norādīto sintaksi un izpildiet norādījumus, lai piešķirtu kontam paroli un identificējamas īpašības, piemēram, pilnu vārdu, tālruņa numuru utt.

    sudo adduser lietotājvārds

    Lai izdzēstu lietotāja kontu un tā primāro grupu, izmantojiet šādu sintaksi:

    sudo deluser lietotājvārds

    Dzēšot kontu, netiek noņemta attiecīgā mājas mape. Tas ir atkarīgs no jums, vai vēlaties dzēst mapi manuāli vai paturēt to atbilstoši vēlamajām saglabāšanas politikām.

    Atcerieties, ka jebkurš lietotājs, kas vēlāk pievienots ar tādu pašu UID/GID kā iepriekšējam īpašniekam, tagad varēs piekļūt šai mapei, ja neesat veicis nepieciešamos piesardzības pasākumus.

    Varat mainīt šīs UID/GID vērtības uz kaut ko piemērotāku, piemēram, saknes kontu, un, iespējams, pat pārvietot mapi, lai izvairītos no turpmākiem konfliktiem:

    sudo chown -R root:root /mājas/lietotājvārds/ sudo mkdir /home/archived_users/ sudo mv /mājas/lietotājvārds /mājas/arhivētie_lietotāji/

    Lai īslaicīgi bloķētu vai atbloķētu lietotāja kontu, izmantojiet attiecīgi šādu sintaksi:

    sudo passwd -l lietotājvārds sudo passwd -u lietotājvārds

    Lai pievienotu vai dzēstu personalizētu grupu, izmantojiet attiecīgi šādu sintaksi:

    sudo addgroup grupas nosaukums sudo delgroup grupas nosaukums

    Lai grupai pievienotu lietotāju, izmantojiet šādu sintaksi:

    sudo adduser lietotājvārds grupas nosaukums

Lietotāja profila drošība

Kad tiek izveidots jauns lietotājs, utilīta adduser izveido pavisam jaunu mājas direktoriju ar nosaukumu /home/username . Noklusējuma profils ir veidots pēc satura, kas atrodams direktorijā /etc/skel , kurā ir iekļauti visi profila pamati.

Ja jūsu serveris būs mājvieta vairākiem lietotājiem, jums jāpievērš īpaša uzmanība lietotāja mājas direktorija atļaujām, lai nodrošinātu konfidencialitāti. Pēc noklusējuma lietotāju mājas direktoriji Ubuntu tiek izveidoti ar pasaules lasīšanas/izpildīšanas atļaujām. Tas nozīmē, ka visi lietotāji var pārlūkot un piekļūt citu lietotāju mājas direktoriju saturam. Tas var nebūt piemērots jūsu videi.

    Lai pārbaudītu pašreizējā lietotāja mājas direktorija atļaujas, izmantojiet šādu sintaksi:

    ls -ld /mājas/lietotājvārds

    Šī izvade parāda, ka direktorijam /home/lietotājvārds ir visā pasaulē lasāmas atļaujas:

    drwxr-xr-x 2 lietotājvārds lietotājvārds 4096 2007-10-02 20:03 lietotājvārds

    Varat noņemt pasaules lasāmās atļaujas, izmantojot šādu sintaksi:

    sudo chmod 0750 /mājas/lietotājvārds

    Daži cilvēki mēdz bez izšķirības izmantot rekursīvo opciju (-R), kas maina visas pakārtotās mapes un failus, taču tas nav nepieciešams un var radīt citus nevēlamus rezultātus. Ar vecākdirektoriju vien pietiek, lai novērstu nesankcionētu piekļuvi visam, kas ir zemāks par vecāku direktoriju.

    Daudz efektīvāka pieeja šim jautājumam būtu modificēt adduser globālās noklusējuma atļaujas, veidojot lietotāja mājas mapes. Vienkārši rediģējiet failu /etc/adduser.conf un modificējiet mainīgo DIR_MODE uz kaut ko piemērotu, lai visi jaunie mājas direktoriji saņemtu pareizās atļaujas.

    Pēc direktorija atļauju labošanas, izmantojot kādu no iepriekš minētajām metodēm, pārbaudiet rezultātus, izmantojot šādu sintaksi:

    ls -ld /mājas/lietotājvārds

    Tālāk sniegtie rezultāti liecina, ka pasaulē lasāmās atļaujas ir noņemtas:

    drwxr-x--- 2 lietotājvārds lietotājvārds 4096 2007-10-02 20:03 lietotājvārds

Paroles politika

Stingra paroles politika ir viens no svarīgākajiem jūsu drošības pozīcijas aspektiem. Daudzi veiksmīgi drošības pārkāpumi ietver vienkāršu brutālu spēku un vārdnīcu uzbrukumus vājām parolēm. Ja plānojat piedāvāt jebkāda veida attālo piekļuvi, izmantojot vietējo paroļu sistēmu, pārliecinieties, ka esat atbilstoši ievērojis minimālās paroles sarežģītības prasības, maksimālo paroles kalpošanas laiku un biežu autentifikācijas sistēmu auditu.

Minimālais paroles garums

Pēc noklusējuma Ubuntu paroles garums ir vismaz 6 rakstzīmes, kā arī dažas pamata entropijas pārbaudes. Šīs vērtības tiek kontrolētas failā /etc/pam.d/common-password, kas ir izklāstīts tālāk.

parole pam_unix.so neskaidra sha512

Ja vēlaties pielāgot minimālo garumu līdz 8 rakstzīmēm, mainiet atbilstošo mainīgo uz min=8. Modifikācija ir izklāstīta zemāk.

parole pam_unix.so neskaidra sha512 minlen=8

Pamata paroles entropijas pārbaudes un minimālā garuma noteikumi neattiecas uz administratoru, kas izmanto sudo līmeņa komandas, lai iestatītu jaunu lietotāju.

Paroles derīguma termiņš

Veidojot lietotāju kontus, jums paroles minimālā un maksimālā vecuma noteikšanai vajadzētu būt noteiktai, kas liek lietotājiem mainīt paroles, kad beidzas to derīguma termiņš.

    Lai ērti skatītu lietotāja konta pašreizējo statusu, izmantojiet šādu sintaksi:

    sudo chage -l lietotājvārds

    Zemāk esošajā izvadā ir parādīti interesanti fakti par lietotāja kontu, proti, ka netiek piemērotas politikas:

    Pēdējā paroles maiņa: 2015. gada 20. janvārī Parole beidzas: nekad Parole neaktīva: nekad Konts nebeidzas: nekad Minimālais dienu skaits starp paroles maiņu: 0 Maksimālais dienu skaits starp paroles maiņu: 99999 Brīdinājuma dienu skaits pirms paroles derīguma termiņa beigām: 7

    Lai iestatītu kādu no šīm vērtībām, vienkārši izmantojiet šo sintaksi un izpildiet interaktīvos norādījumus:

    sudo mainīt lietotājvārdu

    Tālāk ir sniegts arī piemērs tam, kā varat manuāli mainīt precīzo derīguma termiņu (-E) uz 01/31/2015, minimālo paroles vecumu (-m) 5 dienas, maksimālo paroles vecumu (-M) 90 dienas, neaktivitāti. 5 dienu periods (-I) pēc paroles derīguma termiņa beigām un brīdinājuma periods (-W) 14 dienas pirms paroles derīguma termiņa beigām:/home/username/.ssh/authorized_keys .

    Noņemiet vai pārdēvējiet direktoriju .ssh/ lietotāja mājas mapē, lai novērstu turpmākas SSH autentifikācijas iespējas.

    Noteikti pārbaudiet, vai atspējotais lietotājs nav izveidojis SSH savienojumus, jo, iespējams, viņam ir esoši ienākošie vai izejošie savienojumi. Nogalini visus atrastos.

    kurš | grep lietotājvārds (lai iegūtu termināli pts/#) sudo pkill -f pts/#

    Ierobežojiet SSH piekļuvi tikai tiem lietotāju kontiem, kuriem tai vajadzētu būt. Piemēram, varat izveidot grupu ar nosaukumu "sshlogin" un pievienot grupas nosaukumu kā vērtību, kas saistīta ar mainīgo AllowGroups, kas atrodas failā /etc/ssh/sshd_config.

    AllowGroups sshlogin

    Pēc tam pievienojiet atļautos SSH lietotājus grupai "sshlogin" un restartējiet SSH pakalpojumu.

    sudo adduser lietotājvārds sshlogin sudo systemctl restartējiet sshd.service

    Ārējās lietotāju datu bāzes autentifikācija

    Lielākajai daļai uzņēmumu tīklu ir nepieciešama centralizēta autentifikācija un piekļuves kontrole visiem sistēmas resursiem. Ja esat konfigurējis savu serveri, lai autentificētu lietotājus ar ārējām datu bāzēm, noteikti atspējojiet lietotāju kontus gan ārēji, gan lokāli. Tādējādi tiek nodrošināts, ka vietējā rezerves autentifikācija nav iespējama.

Šajā apmācībā mēs apskatīsim, kā izdzēst Linux lietotāju kopā ar viņa datiem un mājas direktoriju.

Ja jūs Sistēmas administrators Lielā uzņēmumā, visticamāk, Linux lietotāju dzēšana jums ir diezgan izplatīts uzdevums. Kad konts kļūst nevajadzīgs vai lietotājs pamet organizāciju, viņa konts ir jādzēš, lai neatstātu drošības robus.

Dzēšot Linux lietotājus, ir svarīgi arī izdzēst viņu mājas direktoriju, lai atbrīvotu vietu krātuvē jauniem lietotājiem un viņu failiem. Pirmkārt, mēs apskatīsim, kā izdzēst Linux lietotāju, izmantojot termināli, pēc tam mēs runāsim par to, kā tas tiek darīts viena no populārākajām distribūcijām - Ubuntu - grafiskajā saskarnē.

Lai praktizētu reālā vidē, izveidosim divus lietotājus, losst un losst1, kopā ar viņu mājas direktorijiem un pēc tam izdzēsīsim tos.

adduser zudums
$ passwd zaudēts

adduser losst1
$passwd losst1

Šeit komanda adduser tiek izmantota, lai izveidotu lietotāja kontu, un passwd, lai izveidotu paroli.

Apskatīsim, kā terminālī izdzēst Linux lietotāju. Lai to izdarītu, izmantojiet komandu - deluser debian un atvasinātajās sistēmās un RedHat - userdel. Apskatīsim šīs divas utilītas tuvāk.

Deluser apraksts

Deluser komandas sintakse ir ļoti vienkārša:

$deluser parametru lietotājs

Komandas deluser iestatījumi atrodas failā /etc/deluser.conf, un tas norāda, kas jādara ar lietotāja mājas mapi un failiem.

Šos iestatījumus var apskatīt un mainīt, izpildot komandu:

vi /etc/deluser.conf

Apskatīsim sīkāk šos iestatījumus:

  • REMOVE_HOME- dzēst lietotāja mājas direktoriju
  • REMOVE_ALL_FILES- dzēst visus lietotāja failus
  • DUBLĒJUMS- dublēt lietotāja failus
  • BACKUP_TO- rezerves mape
  • ONLY_IF_EMPTY- dzēst lietotāju grupu, ja tā ir tukša.

Šie iestatījumi nosaka utilīta noklusējuma uzvedību, dzēšot lietotāju, tos var ignorēt, izmantojot komandas parametrus.

Tiek atbalstīti šādi parametri, tie ir līdzīgi iestatījumiem, taču ir vairāk iespēju:

  • -- sistēma- dzēst tikai tad, ja tas ir sistēmas lietotājs
  • -- rezerves kopija- izveidot lietotāja failu rezerves kopijas
  • --dublējums-uz- mape dublēšanai
  • --noņemt-mājās- izdzēst mājas mapi
  • --noņemt visus failus- izdzēst visus lietotāja failus failu sistēmā

Userdel apraksts

Utilīta userdel darbojas nedaudz savādāk, šeit nav iestatījumu faila, taču ir iespējas, ar kurām jūs varat pateikt utilītai, ko darīt. Sintakse ir līdzīga:

$ userdel parametru lietotājs

  • -f, -spēks- piespiedu dzēšana, pat ja lietotājs joprojām ir pieteicies
  • -r, --noņemt- dzēst lietotāja mājas direktoriju un viņa failus sistēmā.
  • -Z- dzēst visus SELinux objektus šim lietotājam.

Lai noņemtu lietotāju no servera, labāk ir izmantot uzlabotu metodi, kuru mēs apsvērsim tālāk. Kad lietotāji izmanto serveri, ko viņi vada dažādas programmas pakalpojumus. Lietotāju var pareizi dzēst tikai tad, ja viņš nav pieteicies serverī un visas viņa vārdā darbojošās programmas ir apturētas, jo programmas var izmantot dažādus lietotājam piederošus failus un tas neļaus tos dzēst. Attiecīgi lietotāja faili netiks pilnībā izdzēsti un paliks, lai aizsprostotu sistēmu.

Lietotāja konta bloķēšana

Lai bloķētu lietotāja kontu, varat izmantot utilītu passwd. Tas liegs lietotājam piekļuvi sistēmai un neļaus sākt jaunus procesus:

Palaidiet komandu passwd ar opciju --lock:

passwd — bloķēšanas zudums

passwd: informācija par paroles derīguma termiņu ir mainīta.

Iznīciniet visus darbojošos lietotāja procesus

Tagad atradīsim visus procesus, kas darbojas kā lietotājs, un nogalināsim tos.

Atradīsim procesus, izmantojot pgrep:

Detalizētāk varat redzēt, kādi ir šie procesi, nododot katra no tiem pid komandai ps, piemēram:

ps -f --pid $(pgrep -u losst)

UID PID PPID C STIME TTY STAT LAIKS CMD
zaudējums 14684 14676 0 22:15 pts/2 S 0:00 -bash
losst 14735 14684 0 22:15 pts/2 S+ 0:00 vi text

Tagad, kad esat pārliecinājies, ka tur nav nekā svarīga, varat iznīcināt visus procesus, izmantojot komandu killall:

Killall -9 -u zaudējums

Opcija -9 liek programmai nosūtīt SIGKILL beigu signālu šiem procesiem, un -u norāda lietotājvārdu.

Red Hat balstītajās sistēmās, lai izmantotu killall, jums būs jāinstalē psmisc pakotne:

sudo yum instalējiet psmisc

Lietotāja datu dublēšana

Tas nebūt nav nepieciešams, taču nopietnam projektam nebūtu slikta doma izveidot lietotāja failu rezerves kopiju, it īpaši, ja tur varētu būt svarīgi faili. Lai to izdarītu, varat izmantot, piemēram, darvas utilītu:

tar jcvf /user-backups/losst-backup.tar.bz2 /home/losst

Lietotāja konta dzēšana

Tagad, kad viss ir sagatavots, sāksim noņemšanu Linux lietotājs. Katram gadījumam mēs skaidri norādīsim, ka mums ir jāizdzēš lietotāja faili un mājas direktorijs. Debianam:

deluser --remove-home losst

userdel -- noņem zaudējumus

Ja sistēmā ir jānoņem visi lietotājam piederošie faili, izmantojiet opciju --remove-all-files, tikai uzmanieties ar to, jo svarīgi faili var tikt pārrakstīti:

deluser -- noņemiet visus failus, zaudēti

Tagad lietotājs kopā ar failiem un mājas direktoriju ir pilnībā noņemts no jūsu sistēmas.

Lietotāja noņemšana Ubuntu

Atvērt Sistēmas parametri:

Atvērt vienumu Konti:

Kā redzat, visas darbības pašlaik nav pieejamas un ir pelēkā krāsā. Lai tos aktivizētu, noklikšķiniet uz pogas atbloķēt un ievadiet lietotāja paroli.

Tagad, lai dzēstu lietotāju operētājsistēmā Linux, vienkārši noklikšķiniet uz tā ar peli un pēc tam noklikšķiniet uz mīnusa ikonas.

Atvērtajā logā varat izvēlēties, ko darīt ar lietotāja failiem:

Protams, tiks dzēsta tikai mājas mape, mēs nerunājam par visiem failiem. Un, lai pareizi noņemtu, lietotājs nedrīkst strādāt sistēmā.

secinājumus

Lietotāja dzēšana operētājsistēmā Linux nav tik grūta, neatkarīgi no tā, kur tas ir jādara, serverī vai mājas dators. noteikti, GUIērtāk, bet terminālis, kā vienmēr, piedāvā plašākas iespējas. Ja jums ir kādas citas idejas par šo, lūdzu, atstājiet komentāru!

Linux operētājsistēmai ir daudz lielisku drošības funkciju, taču viena no vissvarīgākajām ir failu atļauju sistēma. Linux kā Linux kodola ideoloģijas sekotājs, atšķirībā no Windows, sākotnēji tika veidots kā daudzlietotāju sistēma, tāpēc Linux ir ļoti labi pārdomātas failu piekļuves tiesības.

Un tas ir ļoti svarīgi, jo lokāla piekļuve failiem visām programmām un visiem lietotājiem ļautu vīrusiem viegli iznīcināt sistēmu. Taču jaunajiem lietotājiem jaunās failu atļaujas operētājsistēmā Linux var šķist ļoti mulsinošas, jo tās ļoti atšķiras no tām, kuras mēs esam pieraduši redzēt operētājsistēmā Windows. Šajā rakstā mēs centīsimies saprast, kā failu atļaujas darbojas operētājsistēmā Linux, kā arī to, kā tās mainīt un iestatīt.

Sākotnēji katram failam bija trīs piekļuves parametri. Šeit tie ir:

  • Lasīšana- ļauj saņemt faila saturu, bet neļauj rakstīt. Direktorijai ļauj iegūt tajā esošo failu un direktoriju sarakstu;
  • Ieraksts- ļauj ierakstīt failā jaunus datus vai mainīt esošos, kā arī ļauj izveidot un mainīt failus un direktorijus;
  • Performance- jūs nevarat izpildīt programmu, ja tai nav izpildes karoga. Šis atribūts ir iestatīts visām programmām un skriptiem, ar tā palīdzību sistēma var saprast, ka šis fails ir jāpalaiž kā programma.

Bet visas šīs tiesības būtu bezjēdzīgas, ja tās attiektos uz visiem lietotājiem vienlaikus. Tāpēc katram failam ir trīs lietotāju kategorijas, kurām var iestatīt dažādas piekļuves tiesību kombinācijas:

  • Īpašnieks- tiesību kopums faila īpašniekam, lietotājam, kurš to izveidojis vai tagad ir noteicis tā īpašnieks. Parasti īpašniekam ir visas tiesības lasīt, rakstīt un izpildīt.
  • Grupa- jebkura lietotāju grupa, kas pastāv sistēmā un ir saistīta ar failu. Taču tā var būt tikai viena grupa un parasti ir īpašnieka grupa, lai gan failam var piešķirt citu grupu.
  • Atpūta- visi lietotāji, izņemot īpašnieku un lietotājus, kas iekļauti failu grupā.

Ar šo atļauju kopu palīdzību tiek iestatītas failu atļaujas operētājsistēmā Linux. Katrs lietotājs var iegūt pilnu piekļuvi tikai tiem failiem, kas viņam pieder vai kuriem viņam ir tiesības piekļūt. Tikai saknes lietotājs var strādāt ar visiem failiem neatkarīgi no viņu atļauju kopas.

Bet laika gaitā šāda sistēma kļuva nepietiekama un tika pievienoti vēl vairāki karodziņi, kas ļauj padarīt failus nemaināmus vai izpildīt tos kā superlietotāju, mēs tos apskatīsim tālāk:

Īpašas failu atļaujas operētājsistēmā Linux

Atļaut parastiem lietotājiem lai izpildītu programmas superlietotāja vārdā, nezinot viņa paroli, tika izdomāti tādi kā SUID un SGID biti. Apskatīsim šīs pilnvaras tuvāk.

  • SUID- ja šis bits ir iestatīts, tad, kad programma tiek izpildīta, tā lietotāja ID, no kura tā tika palaista, tiek aizstāts ar faila īpašnieka ID. Faktiski tas ļauj parastajiem lietotājiem palaist programmas kā superlietotājiem;
  • SGID- šis karodziņš darbojas līdzīgi, vienīgā atšķirība ir tā, ka lietotājs tiek uzskatīts par tās grupas dalībnieku, ar kuru fails ir saistīts, nevis par grupām, kurām viņš faktiski pieder. Ja SGID karodziņš ir iestatīts direktorijā, visi tajā izveidotie faili tiks saistīti ar direktorija grupu, nevis lietotāja grupu. Šī uzvedība tiek izmantota, lai organizētu koplietotās mapes;
  • Sticky-bit- šis bits tiek izmantots arī koplietotu mapju izveidošanai. Ja tas ir instalēts, lietotāji var tikai izveidot, lasīt un izpildīt failus, bet nevar izdzēst failus, kas pieder citiem lietotājiem.

Tagad apskatīsim, kā skatīt un mainīt failu atļaujas operētājsistēmā Linux.

Kā skatīt failu atļaujas operētājsistēmā Linux

Protams, jūs varat skatīt failu atļaujas operētājsistēmā Linux, izmantojot failu pārvaldnieku. Viņi visi atbalsta šo funkciju, taču tas sniegs nepilnīgu informāciju. Maksimālam Detalizēta informācija Visiem karodziņiem, tostarp īpašajiem, ir jāizmanto komanda ls ar parametru -l. Tiks uzskaitīti visi direktorijā esošie faili, un tur tiks parādīti visi atribūti un biti.

Lai noskaidrotu tiesības uz linux fails palaidiet šo komandu mapē, kurā atrodas šis fails:

Svītras ir atbildīgas par failu atļaujām operētājsistēmā Linux. Pirmais ir faila tips, kas ir apspriests atsevišķā rakstā. Tad ir tiesību grupas, vispirms īpašniekam, grupai un visiem pārējiem. Ir tikai deviņas domuzīmes licencei un viena tipam.

Sīkāk apskatīsim, ko nozīmē tiesību karogu nosacītās vērtības:

  • --- - nekādu tiesību vispār;
  • --x- atļauta tikai faila izpilde kā programma, bet ne mainīšana vai lasīšana;
  • -w-- atļauts tikai rakstīt un mainīt failu;
  • -wx- modifikācija un izpilde ir atļauta, bet direktorija gadījumā nevar apskatīt tā saturu;
  • r--- tikai lasīšanas tiesības;
  • r-x- tikai lasīt un izpildīt, bez rakstīšanas atļaujas;
  • rw-- lasīšanas un rakstīšanas tiesības, bet bez izpildes;
  • rwx- Visas tiesības;
  • --s- ir iestatīts SUID vai SGID bits, pirmais tiek parādīts laukā īpašniekam, otrais grupai;
  • --t- ir instalēts sticky-bit, kas nozīmē, ka lietotāji nevar izdzēst šo failu.

Mūsu piemērā failam test1 ir tipiskas programmas atļaujas, īpašnieks var darīt visu, grupa var tikai lasīt un izpildīt, un visi pārējie var tikai izpildīt. Test2 ir papildus iestatīti karodziņi SUID un SGID. Un test3 mapei ir instalēts Sticky-bit. Test4 fails ir pieejams ikvienam. Tagad jūs zināt, kā skatīt Linux faila tiesības.

Kā mainīt failu atļaujas operētājsistēmā Linux

Lai mainītu failu atļaujas operētājsistēmā Linux, varat izmantot utilītu chmod. Tas ļauj mainīt visus karogus, tostarp īpašos. Apskatīsim tā sintaksi:

$ chmod opciju kategorijas darbības karoga fails

Varianti mūs tagad neinteresēs, izņemot varbūt tikai vienu. Izmantojot opciju -R, varat piespiest programmu rekursīvi piemērot izmaiņas visiem failiem un direktorijiem.

  • u- faila īpašnieks;
  • g- failu grupa;
  • o- citi lietotāji.

Darbība var būt viena no divām lietām — pievienojiet karodziņu “+” vai noņemiet karogu “-”. Kas attiecas uz pašām piekļuves tiesībām, tās ir līdzīgas utilīta ls izvadei: r - lasīt, w - rakstīt, x - izpildīt, s - suid/sgid, atkarībā no kategorijas, kurai to iestatījāt, t - nosaka sticky. - mazliet. Piemēram, visiem lietotājiem ir pilna piekļuve failam test5:

chmod ugo+rwx tests5

Vai arī mēs atņemsim visas tiesības grupai un citiem lietotājiem:

chmod go-rwx tests5

Dosim grupai lasīšanas un izpildes tiesības:

chmod g+rx tests5

Citiem lietotājiem lasīt tikai:

Test6 failam iestatiet SUID:

Un testam 7 — SGID:

Apskatīsim, kas notika:

Kā redzat, failu atļauju maiņa operētājsistēmā Linux ir ļoti vienkārša. Turklāt jūs varat mainīt pamattiesības, izmantojot failu pārvaldnieku.

secinājumus

Tas arī viss, tagad jūs zināt ne tikai to, kādas ir Linux failu atļaujas, bet arī to, kā tās skatīt un pat mainīt. Šī ir ļoti svarīga tēma, kas iesācējiem patiešām ir jāsaprot, lai pilnīgāk izmantotu savu sistēmu. Ja jums ir kādi jautājumi, jautājiet komentāros!

Nobeigumā es vēlos piedāvāt labu video par piekļuves tiesībām operētājsistēmā Linux:

Opcija -c - pievienojiet lietotājam komentāru
Opcija -g sudo - pievienojiet lietotāju sudo grupai.
Opcija -s iestatīs lietotāja apvalku uz /bin/bash
Variants -d izmanto, lai norādītu lietotāja mājas mapi
Variants -m norāda, ka mape ir jāizveido nekavējoties:

Sudo useradd -c "Komentārs lietotājam" -g sudo -d /home/NameUser -m -s /bin/bash NameUser

Iestatiet NameUser lietotāja paroli:

Sudo passwd NameUser

Pievienojiet lietotāju, izmantojot komandu adduser

sudo useradd -c "Komentārs lietotājam" -g sudo -d /home/NameUser -m -s /bin/bash NameUser

Ievadiet paroli, atbildiet uz visiem uzdotajiem jautājumiem, iegūstiet lietotāju ar paroli un mājas direktoriju

Lietotāja paroles maiņa

sudo passwd NameUser

Pievienojiet lietotāju sudo grupai

usermod -a -G sudo NameUser

Pievienojiet lietotāju/lietotāju grupu tieši Sudores:

Rediģēsim failu /etc/sudores.tmp redaktors visudo

Sudo visudo

Piešķirsim root tiesības lietotājam ar nosaukumu lietotājvārds

Lietotāja_vārds VISI=(VISI:VISI) VISI

Piešķirsim root tiesības lietotāju grupai grupas nosaukums pievienojot rindiņu sudoers failam -

Grupas_nosaukums VISI=(VISI:VISI) VISI

Lietotājs un viņa grupas

Apskatām pieejamās grupas uzņēmējā

Kaķis /etc/group

Pārbauda grupas esamību piemēru grupa resursdatorā, kur examplegroup ir grupa, kas jūs interesē

Grep examplegroup /etc/group

Mēs pārbaudām/noskaidrojam, kurām grupām lietotājs pieder (kā arī viņa uid, gid)

Id NameUser

Pievienojiet esošu lietotāju NameUser esošai grupas piemēru grupai

Usermod -g examplegroup NameUser

Ubuntu lietotāja noņemšana

Mēs izmantojam komandu, lietotāja mape netiks izdzēsta

Sudo userdel NameUser

Ja nepieciešams, izdzēsiet mapi

Sudo rm -r /home/NameUser/

Mēs pārbaudām, vai lietotājs ir izdzēsis, ja nav izvades, tad lietotājs ir izdzēsts

Sudo grep -R NameUser /etc/passwd --color

Norādiet visus vietējos lietotājus

sudo cat /etc/passwd sudo cat /etc/shadow

Lai parādītu detalizētāku informāciju par lietotāju, instalējiet pakotni pirksts

Sudo apt-get install finger

Lai skatītu informāciju par lietotāju NameUser, palaidiet komandu

Pirkstu nosaukumsLietotājs

Lai failā izvadītu informāciju par visiem lietotājiem infoaboutalluser.txt veidosim skriptu pirksts.sh

#!/bin/bash n=`cat /etc/passwd | cut -d: -f1` for i in $n; vai piebalso "================================================ ============================================= "Es pabeidzu pirkstu

Palaidīsim skriptu pirksts.sh un saglabājiet tā saturu failā infoaboutalluser.txt

./finger.sh infoaboutalluser.txt

Uzskaitiet visus priviliģētos lietotājus:

egrep ":0:0:" /etc/passwd

vai nav priviliģēts

Egrep -v ":0:0:" /etc/passwd

Uzskaitiet visus lietotājus, kuru vārdi sākas ar burtiem abcd:

Kaķis /etc/passwd | grep "^.*"

Kā liecina lasītāja atbilde, problēma par administratīvo tiesību nošķiršanu Ubuntu joprojām ir neskaidra vairumam iesācēju administratoru, tāpēc mēs nolēmām ieviest skaidrību šajā jautājumā ar šo materiālu. Tāpēc, ja nezināt, kā su atšķiras no sudo, kur paslēpāt sakni utt. utt., Ir pienācis laiks sākt pētīt mūsu rakstu.

Sāksim ar nelielu atkāpi. Linux administratīvo tiesību sistēma atgriežas Unix OS, un tāpēc tai ir daudz kopīga ar citām Unix līdzīgām sistēmām: BSD, Solaris, MacOS. Tajā pašā laikā dažādiem izplatījumiem ir savas atsevišķu aspektu ieviešanas iezīmes, tāpēc mēs sniegsim konkrētus piemērus attiecībā uz Ubuntu saimi, bet vispārīgo noteikumu zināšanas ļaus viegli izprast jebkuras citas Unix līdzīgas OS vidi.

Lietotājam ir visas Linux administratīvās tiesības. sakne, kuras tiesības nevar ierobežot, tāpēc ikdienas darbs šī lietotāja vārdā ir ārkārtīgi nevēlams: lietotāja neuzmanīgas darbības var izraisīt sistēmas bojājumus, un šī konta kompromitēšana radīs uzbrucēju. neierobežota piekļuve sistēmai.

Tāpēc Linux ir pieņemta cita shēma: visi lietotāji, tostarp administratori, strādā ar ierobežotu kontu un administratīvo darbību veikšanai izmanto kādu no tiesību eskalācijas mehānismiem. Lai to izdarītu, varat palielināt tiesības, izmantojot utilītu sudo vai piesakieties kā superlietotājs (root), nepārtraucot pašreizējo sesiju, izmantojot komandu su. Daudzi cilvēki kļūdaini sajauc šos divus mehānismus, tāpēc apskatīsim tos sīkāk.

Komanda suļauj pieteikties kā cits lietotājs (ne vienmēr root), nepārtraucot pašreizējo sesiju. Tātad komanda:

Su petrovs

ļaus jums pieteikties kā lietotājs petrov, lietotāja vide (mājas mape) arī tiks mainīta, lai piederētu šim lietotājam.

Komanda suļauj pieteikties savā kontā, nenorādot lietotājvārdu sakne"a. Tomēr šai metodei ir viens būtisks trūkums – lai pieteiktos cita lietotāja vārdā, ir jāzina viņa parole. Ja jums ir vairāki administratori, tad katrs no viņiem zinās superlietotāja paroli un jūs nevarēsit ierobežot viņu tiesības.

Turklāt tas ir nedroši, zinot superlietotāja paroli un iespēju pieteikties ar viņa vārdu kompromisa gadījumā, var pilnībā zaudēt kontroli pār sistēmu.

Kas notiks, ja mēs mēģināsim palielināt tiesības Ubuntu šādā veidā? Mēs neko nevarēsim darīt, jo nezinām lietotāja paroli sakne, tajā pašā laikā neviens neliedz mums pieteikties kā citam lietotājam.

— Pagaidi! - cits lietotājs teiks: "Vai nav piešķirtas root tiesības pirmajam izveidotajam lietotājam, kuru mēs norādām instalēšanas laikā?" cita lietotāja vārdā mēs cietīsim neveiksmi.

Šeit mēs nonākam tuvu otrajam tiesību palielināšanas mehānismam - lietderībai sudo. Tomēr, pirms pāriet uz tā izpēti, ir vērts precizēt: superlietotāja (saknes) tiesības Ubuntu pieder saknes kontam, kas pēc noklusējuma ir atspējots. Tāpēc palieliniet atļaujas, izmantojot komandu su nešķiet iespējams.

Galvenais tiesību paaugstināšanas mehānisms Ubuntu ir utilīta sudo. Šī utilīta ļauj paaugstināt izpildāmās komandas tiesības uz superlietotāja līmeni, taču jums nav jāzina superlietotāja parole, lietotājam ir jāievada sava parole. Pēc tam utilīta pārbaudīs, vai šim lietotājam ir tiesības izpildīt šo komandu šajā resursdatorā ar superlietotāja tiesībām un, ja pārbaudes būs veiksmīgas, izpildīs to.

Tas ir svarīgi! Galvenā atšķirība su no sudo kalpo kam suļauj mainīt pašreizējo lietotāju uz root, kam nepieciešams aktīvs superlietotāja konts sistēmā un zināšanas par tā paroli, sudoļauj paaugstināt izpildāmās komandas tiesības, nenorādot superlietotāja paroli, lietotājam ir jāievada sava parole, izmantojot šos akreditācijas datus;

Vēl viens svarīgs apstāklis ​​ir tas, ka, izmantojot konveijeru vai pāradresāciju ar superlietotāja tiesībām, tiks izpildīta tikai pirmā komandas daļa, piemēram, dizainā:

Sudo komanda1 | komanda2

ar root tiesībām tiks izpildīts tikai komanda 1. Un komanda

Sudo cat sources.list > /etc/apt/sources.list

parādīs piekļuves tiesību kļūdu, jo ieraksts ir iekšā /etc/apt/sources.list notiks ar parastajām lietotāja tiesībām.

Lai veiktu sarežģītas komandu kombinācijas, ar komandu var pārslēgties uz superlietotāja režīmu

kas ir līdzīgs tiesību paaugstināšanai ar komandu su, tomēr tas nemainīs lietotāja vidi un pašreizējā lietotāja direktorijs tiks izmantots kā mājas direktorijs, kas ir ērti un droši. Katram administratoram būs piekļuve tikai savam mājas direktorijam.

Tagad ir pienācis laiks noskaidrot, kam ir tiesības izmantot iespējas sudo un cik lielā mērā. Fails ir atbildīgs par šīs utilītas iestatījumiem /etc/sudoers, neskatoties uz to, ka šis ir parasts konfigurācijas fails, lai to rediģētu, ļoti ieteicams izmantot komandu:

Sudo visudo

Šī komanda bloķē failu un pārbauda sintaksi, pretējā gadījumā jūs riskējat zaudēt administratīvo piekļuvi datoram drukas kļūdas dēļ.

Šī faila sintakse ir ļoti vienkārša. Piemēram, faila pašā beigās ir ieraksts:

%admin VISI=(VISI) VISI

Tas nozīmē, ka grupas lietotāji admin var izpildīt jebkuru komandu jebkurā resursdatorā jebkura lietotāja vārdā. Kā mēs varam viegli pārbaudīt, izmantojot komandu grupas mūsu gadījumā lietotājs Andrejs pieder grupai admin un lietotājs petrov Nē.

Bet visas šīs utilītas priekšrocības slēpjas spējā elastīgi konfigurēt parametrus tiesību iegūšanai katrā konkrētajā gadījumā. Piemēram:

Petrovs ubuntu-lts=(andrejs) VISI

Šī līnija ļauj lietotājam petrov izpildīt jebkuru komandu resursdatorā ubuntu-lts lietotāja vārdā Andrejs. Norādot komandas, jānorāda pilns ceļš uz tām, to var atrast, izmantojot komandu kuras

Piemēram, mēs vēlamies atļaut lietotājiem petrov Un Sidorovs izslēgt un restartēt datoru, kā arī noņemt uzdevumus. Tomēr šīm komandām nevajadzētu prasīt ievadīt paroli.

Vēl viena jauka sudo utilīta iezīme ir aizstājvārdu izveide, tāpēc mūsu gadījumā mēs to pievienosim /etc/sudoersšādas rindas:

User_Alias USERGROUP1 = petrovs, sidorovs
Cmnd_Alias ​​​​CMDGROUP1 = /bin/kill, /sbin/reboot, /sbin/shutdown

Ar to mēs izveidojām divus aizstājvārdus LIETOTĀJU GRUPA1, kur mēs iekļāvām mums nepieciešamos lietotājus un CMDGROUP1 ar nepieciešamo komandu kopu, mēs varam pēc tam rediģēt tikai aizstājvārdus, neietekmējot visus noteikumus, kur tos var izmantot. Tad pievienosim noteikumu:

USERGROUP1 ALL = (ALL) NOPASSWD:СMDGROUP1

kas ļaus lietotājiem, kas norādīti norādītajā aizstājvārdā, izpildīt komandas no norādītā aizstājvārda jebkurā resursdatorā jebkura lietotāja vārdā, neievadot paroli.

Papildus diviem iepriekšminētajiem aizstājvārdi ir pieejami arī resursdatora nosaukumam un lietotājiem, kuru vārdā ir atļauts izpildīt komandas, piemēram:

Host_Alias ​​​​WWW = tīmekļa serveris1, tīmekļa serveris2
Runas_Alias ​​​​WWW = www-data, www-attīstītājs

USERGROUP1 WWW = (WWW) VISI

Dotā ierakstu kopa ļaus lietotājiem iekļūt LIETOTĀJU GRUPA1 izpildīt visas komandas lietotāju vārdā www-dati Un www-izstrādātājs uzņēmuma tīmekļa serveros.

Visbeidzot, apskatīsim, kā rīkoties, ja joprojām ir nepieciešams saknes konts. Tas ir vienkārši, lai to iespējotu, vienkārši iestatiet paroli:

Sudo passwd sakne

Bloķēt vēlreiz konts superlietotāju var izveidot ar komandu:

Sudo passwd -l sakne

Atcerieties, ka visus administratīvos uzdevumus Ubuntu var veikt, izmantojot sudo utilītu, tāpēc neiespējojiet saknes kontu, ja vien tas nav absolūti nepieciešams!

Kā redzat, Ubuntu ir bagātīgas administratīvo tiesību pārvaldības iespējas, kas ļauj elastīgi sadalīt tiesības starp vairākiem administratoriem, kā arī dod iespēju dažiem lietotājiem palielināt tiesības, turklāt darīt to efektīvi un droši.