Ubuntu хэрэглэгч нэмж байна. Хэрэглэгчийн удирдлага. Хаагдсан хэрэглэгчдийн SSH хандалт

Хэрэглэгчийн удирдлага нь аюулгүй системийг хадгалах чухал хэсэг юм. Үр ашиггүй хэрэглэгчийн болон давуу эрхийн менежмент нь олон системийг эвдэхэд хүргэдэг. Тиймээс та хэрэглэгчийн бүртгэлийг удирдах энгийн бөгөөд үр дүнтэй арга техникээр дамжуулан серверээ хэрхэн хамгаалахаа ойлгох нь чухал юм.

Ubuntu-ийн хөгжүүлэгчид бүх Ubuntu суулгацуудад анхдагчаар захиргааны root бүртгэлийг идэвхгүй болгох шийдвэр гаргасан. Энэ нь үндсэн бүртгэлийг устгасан эсвэл түүнд хандах боломжгүй гэсэн үг биш юм. Түүнд зүгээр л шифрлэгдсэн утгатай таарахгүй нууц үг өгсөн тул өөрөө шууд нэвтэрч чадахгүй.

Үүний оронд хэрэглэгчдийг системийн удирдлагын үүргийг гүйцэтгэхийн тулд sudo нэртэй хэрэгслийг ашиглахыг зөвлөж байна. Sudo нь эрх бүхий хэрэглэгчдэд үндсэн акаунтын нууц үгийг мэдэхийн оронд өөрийн нууц үгийг ашиглан эрхээ түр хугацаагаар нэмэгдүүлэх боломжийг олгодог. Энэхүү энгийн боловч үр дүнтэй арга нь хэрэглэгчийн бүх үйлдлийн хариуцлагыг хариуцах боломжийг олгодог бөгөөд администраторт тухайн хэрэглэгч ямар үйлдлүүдийг тухайн давуу эрхээр гүйцэтгэж болохыг нарийн хянах боломжийг олгодог.

    Хэрэв та ямар нэг шалтгаанаар root бүртгэлээ идэвхжүүлэхийг хүсвэл нууц үгээ оруулна уу:

    Үндсэн нууц үг бүхий тохиргоог дэмждэггүй.

    sudo passwd

    Sudo танаас нууц үгээ асууж, доор үзүүлсэн шиг root-д шинэ нууц үг оруулахыг хүсэх болно.

    Хэрэглэгчийн нэрний нууц үг: (өөрийн нууц үгээ оруулна уу) Шинэ UNIX нууц үг оруулна уу: (root-д шинэ нууц үг оруулна уу)Шинэ UNIX нууц үгийг дахин оруулна уу: (root-ийн шинэ нууц үгийг давтах) passwd: нууц үг амжилттай шинэчлэгдсэн

    Үндсэн бүртгэлийн нууц үгийг идэвхгүй болгохын тулд дараах passwd синтаксийг ашиглана уу.

    sudo passwd -l root

    Гэсэн хэдий ч root бүртгэлийг өөрөө идэвхгүй болгохын тулд дараах тушаалыг ашиглана уу.

    usermod - хугацаа дууссан 1

    Та Man хуудаснаас Sudo-ийн талаар илүү ихийг унших хэрэгтэй:

    хүн судо

Анхдагч байдлаар, Ubuntu суулгагчийн үүсгэсэн анхны хэрэглэгч нь "sudo" бүлгийн гишүүн бөгөөд /etc/sudoers файлд эрх бүхий sudo хэрэглэгчээр нэмэгддэг. Хэрэв та бусад бүртгэлд sudo-ээр дамжуулан бүрэн root хандалт өгөхийг хүсвэл тэдгээрийг sudo бүлэгт нэмнэ үү.

Хэрэглэгч нэмэх, устгах

Орон нутгийн хэрэглэгчид болон бүлгүүдийг удирдах үйл явц нь энгийн бөгөөд бусад ихэнх GNU/Linux үйлдлийн системүүдээс маш бага ялгаатай. Ubuntu болон бусад Debian-д суурилсан түгээлтүүд нь дансны менежментэд "adduser" багцыг ашиглахыг дэмждэг.

    Хэрэглэгчийн бүртгэл нэмэхийн тулд дараах синтаксийг ашиглан бүртгэлд нууц үг, овог нэр, утасны дугаар гэх мэт танигдах шинж чанаруудыг өгөх зааварчилгааг дагана уу.

    sudo adduser хэрэглэгчийн нэр

    Хэрэглэгчийн бүртгэл болон түүний үндсэн бүлгийг устгахын тулд дараах синтаксийг ашиглана уу.

    sudo deluser хэрэглэгчийн нэр

    Бүртгэлийг устгаснаар тэдний үндсэн фолдер арилдаггүй. Фолдерыг гараар устгах эсвэл хадгалах бодлогын дагуу хадгалах эсэх нь танд хамаарна.

    Хэрэв та шаардлагатай урьдчилан сэргийлэх арга хэмжээ аваагүй бол өмнөх эзэмшигчтэй ижил UID/GID-ээр дараа нь нэмсэн аливаа хэрэглэгч одоо энэ хавтсанд хандах эрхтэй болохыг санаарай.

    Та эдгээр UID/GID утгыг үндсэн бүртгэл гэх мэт илүү тохиромжтой зүйл болгон өөрчилж, цаашдын зөрчилдөөнөөс зайлсхийхийн тулд хавтсыг нүүлгэн шилжүүлэхийг хүсэж магадгүй юм.

    sudo chown -R root: root /home/username/ sudo mkdir /home/archived_users/ sudo mv /home/хэрэглэгчийн нэр /home/archived_users/

    Хэрэглэгчийн бүртгэлийг түр түгжих эсвэл нээхийн тулд дараах синтаксийг тус тус ашиглана уу.

    sudo passwd -l хэрэглэгчийн нэр sudo passwd -u хэрэглэгчийн нэр

    Хувийн болгосон бүлгийг нэмэх эсвэл устгахын тулд дараах синтаксийг ашиглана уу:

    sudo addgroup бүлгийн нэр Sudo delgroup бүлгийн нэр

    Бүлэгт хэрэглэгч нэмэхийн тулд дараах синтаксийг ашиглана уу.

    sudo adduser хэрэглэгчийн нэр бүлгийн нэр

Хэрэглэгчийн профайлын аюулгүй байдал

Шинэ хэрэглэгч үүсгэх үед adduser хэрэгсэл нь /home/username нэртэй цоо шинэ гэрийн лавлах үүсгэнэ. Өгөгдмөл профайлыг /etc/skel лавлахаас олдсон контентын дагуу загварчилсан бөгөөд үүнд профайлын бүх үндсэн мэдээллийг багтаасан болно.

Хэрэв таны сервер олон хэрэглэгчтэй байх юм бол нууцлалыг хангахын тулд хэрэглэгчийн гэрийн лавлах зөвшөөрлийг анхаарч үзэх хэрэгтэй. Анхдагч байдлаар, Ubuntu дахь хэрэглэгчийн гэрийн лавлахууд нь дэлхийн унших/гүйцэтгэх зөвшөөрлөөр үүсгэгддэг. Энэ нь бүх хэрэглэгчид бусад хэрэглэгчдийн гэрийн лавлахын агуулгыг үзэж, хандах боломжтой гэсэн үг юм. Энэ нь таны орчинд тохирохгүй байж магадгүй юм.

    Өөрийн одоогийн хэрэглэгчийн гэрийн лавлах зөвшөөрлийг шалгахын тулд дараах синтаксийг ашиглана уу:

    ls -ld /home/хэрэглэгчийн нэр

    Дараах гаралт нь /home/username лавлах нь дэлхий даяар унших зөвшөөрөлтэйг харуулж байна:

    drwxr-xr-x 2 хэрэглэгчийн нэр хэрэглэгчийн нэр 4096 2007-10-02 20:03 хэрэглэгчийн нэр

    Та дараах синтаксийг ашиглан дэлхийн уншигдах зөвшөөрлийг устгаж болно:

    sudo chmod 0750 /home/хэрэглэгчийн нэр

    Зарим хүмүүс бүх хүүхдийн хавтас, файлыг өөрчилдөг рекурсив сонголтыг (-R) ялгахгүйгээр ашиглах хандлагатай байдаг ч энэ нь шаардлагагүй бөгөөд бусад хүсээгүй үр дүнд хүргэж болзошгүй юм. Эцэг эхийн лавлах нь эцэг эхийн доорх аливаа зүйлд зөвшөөрөлгүй хандахаас урьдчилан сэргийлэхэд хангалттай.

    Энэ асуудалд илүү үр дүнтэй арга бол хэрэглэгчийн гэрийн хавтас үүсгэх үед adduser-ийн ерөнхий зөвшөөрлийг өөрчлөх явдал юм. Зүгээр л /etc/adduser.conf файлыг засварлаж, DIR_MODE хувьсагчийг тохирох зүйлээр өөрчил, ингэснээр бүх шинэ гэрийн лавлахууд зөв зөвшөөрлийг авах болно.

    Өмнө дурдсан аргуудын аль нэгийг ашиглан лавлах зөвшөөрлийг зассаны дараа дараах синтаксийг ашиглан үр дүнг шалгана уу.

    ls -ld /home/хэрэглэгчийн нэр

    Доорх үр дүнгээс харахад дэлхий дахинд унших боломжтой зөвшөөрлүүд хасагдсан байна:

    drwxr-x--- 2 хэрэглэгчийн нэр хэрэглэгчийн нэр 4096 2007-10-02 20:03 хэрэглэгчийн нэр

Нууц үгийн бодлого

Нууц үгийн хатуу бодлого нь таны аюулгүй байдлын хамгийн чухал талуудын нэг юм. Аюулгүй байдлын олон амжилттай зөрчлүүд нь энгийн бүдүүлэг хүч, сул нууц үгийн эсрэг толь бичгийн халдлагад өртдөг. Хэрэв та өөрийн орон нутгийн нууц үгийн системтэй холбоотой ямар нэг алсын хандалтын хэлбэрийг санал болгохоор төлөвлөж байгаа бол нууц үгийн нарийн төвөгтэй байдлын хамгийн бага шаардлага, нууц үгийн ашиглалтын хугацаа, баталгаажуулалтын системдээ байнга аудит хийх зэрэгт зохих ёсоор хандаарай.

Хамгийн бага нууц үгийн урт

Анхдагч байдлаар, Ubuntu нь хамгийн багадаа 6 тэмдэгтийн урттай нууц үг, мөн зарим үндсэн энтропи шалгалтыг шаарддаг. Эдгээр утгыг доор тайлбарласан /etc/pam.d/common-password файлд хянадаг.

нууц үг pam_unix.Тиймээс бүрхэг sha512

Хэрэв та хамгийн бага уртыг 8 тэмдэгт болгон тохируулахыг хүсвэл тохирох хувьсагчийг min=8 болгож өөрчилнө үү. Өөрчлөлтийг доор тайлбарлав.

нууц үг pam_unix.so тодорхойгүй sha512 minlen=8

Нууц үгийн энтропийн үндсэн шалгалтууд болон хамгийн бага уртын дүрэм нь шинэ хэрэглэгч тохируулахын тулд sudo түвшний тушаалуудыг ашигладаг администраторт хамаарахгүй.

Нууц үгийн хугацаа дуусах

Хэрэглэгчийн акаунт үүсгэхдээ нууц үгийн хугацаа дууссаны дараа хэрэглэгчдэд нууц үгээ солихыг албаддаг нууц үгийн доод ба дээд насыг тогтоох бодлого баримтлах хэрэгтэй.

    Хэрэглэгчийн бүртгэлийн одоогийн статусыг хялбархан харахын тулд дараах синтаксийг ашиглана уу.

    sudo chage -l хэрэглэгчийн нэр

    Доорх гаралт нь хэрэглэгчийн бүртгэлийн талаарх сонирхолтой баримтуудыг харуулж байна, тухайлбал ямар ч бодлого хэрэгжээгүй байна:

    Сүүлд нууц үг солих: 2015 оны 1-р сарын 20 Нууц үгийн хугацаа дуусна: хэзээ ч Нууц үг идэвхгүй: хэзээ ч Дансны хугацаа дуусна: хэзээ ч Нууц үг солигдох өдрийн хамгийн бага тоо: 0 Нууц үг солих хоорондох хамгийн их тоо: 99999 Нууц үг дуусахаас өмнө анхааруулах өдрийн тоо: 7

    Эдгээр утгуудын аль нэгийг нь тохируулахын тулд дараах синтаксийг ашиглаж, интерактив зааварчилгааг дагана уу:

    sudo хэрэглэгчийн нэрийг өөрчлөх

    Дараах нь мөн та тодорхой хүчинтэй байх хугацааг (-E) 2015 оны 01/31, нууц үгийн доод нас (-m) 5 хоног, нууц үгийн дээд нас (-M) 90 хоног, идэвхгүй байхаар хэрхэн гараар өөрчлөх жишээ юм. Нууц үгийн хүчинтэй хугацаа дууссанаас хойш 5 хоногийн хугацаа (-I), нууц үг дуусахаас 14 хоногийн өмнө анхааруулах хугацаа (-W):/home/username/.ssh/authorized_keys .

    Цаашид SSH баталгаажуулах боломжоос сэргийлэхийн тулд хэрэглэгчийн нүүр хавтсанд байгаа .ssh/ лавлахыг устгаж эсвэл нэрийг нь өөрчил.

    Тахир дутуу хэрэглэгчийн SSH холболт байгаа эсэхийг шалгахаа мартуузай, учир нь тэдгээр нь дотогшоо болон гадагшаа холболттой байж болзошгүй. Олдсон бүхнээ устга.

    хэн | grep хэрэглэгчийн нэр (pts/# терминал авахын тулд) sudo pkill -f pts/#

    SSH хандалтыг зөвхөн байх ёстой хэрэглэгчийн бүртгэлд хязгаарлана. Жишээлбэл, та "sshlogin" нэртэй бүлгийг үүсгэж, бүлгийн нэрийг /etc/ssh/sshd_config файлд байрлах AllowGroups хувьсагчтай холбоотой утга болгон нэмж болно.

    AllowGroups sshlogin

    Дараа нь "sshlogin" бүлэгт зөвшөөрөгдсөн SSH хэрэглэгчээ нэмээд SSH үйлчилгээг дахин эхлүүлнэ үү.

    sudo adduser хэрэглэгчийн нэр sshlogin sudo systemctl sshd.service-г дахин эхлүүлнэ үү

    Гадаад хэрэглэгчийн мэдээллийн сангийн баталгаажуулалт

    Ихэнх аж ахуйн нэгжийн сүлжээнүүд нь системийн бүх нөөцийн хувьд төвлөрсөн баталгаажуулалт, хандалтын хяналтыг шаарддаг. Хэрэв та серверээ хэрэглэгчдийг гадны мэдээллийн баазаас баталгаажуулахаар тохируулсан бол гадаад болон дотоод хэрэглэгчийн бүртгэлийг идэвхгүй болгохоо мартуузай. Ингэснээр та орон нутгийн нөөц баталгаажуулалт боломжгүй гэдгийг баталгаажуулна.

Энэ зааварт бид Линукс хэрэглэгчийг өгөгдөл болон гэрийн лавлахын хамт хэрхэн устгах талаар авч үзэх болно.

Хэрэв та томоохон компанийн системийн администратор бол Линукс хэрэглэгчдийг устгах нь таны хувьд нэлээд түгээмэл ажил юм. Бүртгэл шаардлагагүй болсон эсвэл хэрэглэгч байгууллагаас гарсны дараа хамгаалалтын цоорхой үлдээхгүйн тулд түүний бүртгэлийг устгах хэрэгтэй.

Линукс хэрэглэгчдийг устгахдаа шинэ хэрэглэгчид болон тэдний файлуудад хадгалах зай гаргахын тулд тэдний гэрийн лавлахыг устгах нь бас чухал юм. Эхлээд бид терминал ашиглан Линукс хэрэглэгчийг хэрхэн устгах талаар авч үзэх бөгөөд дараа нь хамгийн алдартай түгээлтийн нэг болох Ubuntu-ийн график интерфэйс дээр үүнийг хэрхэн хийх талаар ярилцах болно.

Бодит орчинд зарим нэг дадлага хийхийн тулд losst болон losst1 гэсэн хоёр хэрэглэгчийг гэрийн лавлахын хамт үүсгээд устгацгаая:

нэмэгчийн алдагдал
$ passwd алдсан

adduser losst1
$passwd алдагдал1

Энд adduser командыг хэрэглэгчийн бүртгэл үүсгэх, нууц үг үүсгэхийн тулд passwd командыг ашиглана.

Линукс хэрэглэгчийг терминал дээр хэрхэн устгахыг харцгаая. Үүнийг хийхийн тулд debian болон дериватив системд deluser, RedHat-д userdel командыг ашиглана уу. Эдгээр хоёр хэрэгслийг илүү нарийвчлан авч үзье.

Хуурамчлагчийн тодорхойлолт

Deluser тушаалын синтакс нь маш энгийн:

$deluser параметрийн хэрэглэгч

Deluser командын тохиргоонууд нь /etc/deluser.conf файлд байрладаг бөгөөд бусад тохиргооноос гадна хэрэглэгчийн нүүр хавтас болон файлуудтай юу хийх шаардлагатайг зааж өгдөг.

Та дараах тушаалыг ажиллуулснаар эдгээр тохиргоог харж, өөрчилж болно.

vi /etc/deluser.conf

Эдгээр тохиргоог нарийвчлан авч үзье:

  • REMOVE_HOME- хэрэглэгчийн гэрийн лавлахыг устгах
  • БҮХ_ФАЙЛЫГ УСТГАХ- хэрэглэгчийн бүх файлыг устгах
  • НӨӨЦЛӨЛТ- хэрэглэгчийн файлуудыг нөөцлөх
  • НӨӨЦЛӨХ_TO- нөөц хавтас
  • ЗӨВХӨН_ХООСОН БАЙВАЛ- хэрэглэгчийн бүлэг хоосон байвал устгах.

Эдгээр тохиргоо нь хэрэглэгчийг устгах үед хэрэглүүрийн анхдагч үйлдлийг тодорхойлдог бөгөөд мэдээжийн хэрэг командын параметрүүдийг ашиглан тэдгээрийг хүчингүй болгож болно.

Дараах параметрүүдийг дэмждэг бөгөөд тэдгээр нь тохиргоотой төстэй боловч илүү олон сонголтууд байдаг:

  • --систем- зөвхөн системийн хэрэглэгч бол устгах
  • - нөөц- хэрэглэгчийн файлуудын нөөц хуулбарыг хийх
  • --нөөцлөх- нөөцлөх хавтас
  • --зайлуулах-гэр- гэрийн хавтас устгах
  • --бүх файлуудыг устгах- файлын систем дэх бүх хэрэглэгчийн файлыг устгах

Userdel-ийн тодорхойлолт

Userdel хэрэгсэл нь арай өөрөөр ажилладаг, энд тохиргооны файл байхгүй, гэхдээ хэрэглүүрт юу хийхийг зааж өгөх сонголтууд байдаг. Синтакс нь ижил төстэй:

$ userdel параметрийн хэрэглэгч

  • -f, --хүч- хэрэглэгч нэвтэрсэн хэвээр байсан ч албадан устгах
  • -r, -- устгах- хэрэглэгчийн гэрийн лавлах болон түүний систем дэх файлуудыг устгах.
  • - энэ хэрэглэгчийн бүх SELinux объектыг устгах.

Хэрэглэгчийг серверээс устгахын тулд бид доор авч үзэх дэвшилтэт аргыг ашиглах нь дээр. Хэрэглэгчид серверийг ашиглахдаа янз бүрийн програм, үйлчилгээг эхлүүлдэг. Хэрэглэгч серверт нэвтрээгүй, түүний өмнөөс ажиллаж байгаа бүх программууд зогссон тохиолдолд л зөв устгаж болно, учир нь програмууд нь тухайн хэрэглэгчийн янз бүрийн файлуудыг ашиглаж болох бөгөөд энэ нь тэдгээрийг устгахаас сэргийлнэ. Үүний дагуу хэрэглэгчийн файлууд бүрэн устгагдахгүй бөгөөд системийг бөглөрөх болно.

Хэрэглэгчийн бүртгэлийг хаах

Та хэрэглэгчийн бүртгэлийг түгжихийн тулд passwd хэрэгслийг ашиглаж болно. Энэ нь хэрэглэгчийг системд нэвтрэх эрхийг хориглож, шинэ процессуудыг эхлүүлэхээс сэргийлнэ:

passwd командыг --lock сонголтоор ажиллуулна:

passwd --lock алдагдал

passwd: Нууц үгийн хугацаа дуусах мэдээлэл өөрчлөгдсөн.

Бүх ажиллаж байгаа хэрэглэгчийн процессыг устгана уу

Одоо хэрэглэгчээр ажиллаж байгаа бүх процессуудыг олоод устгацгаая.

pgrep ашиглан процессуудыг олцгооё:

Та эдгээр процессууд нь юу болохыг ps команд руу тус бүрийн pid-г дараах байдлаар дамжуулснаар илүү дэлгэрэнгүй харж болно.

ps -f --pid $(pgrep -u алдсан)

UID PID PPID C STIME TTY STAT TIME CMD
алдагдал 14684 14676 0 22:15 оноо/2 S 0:00 -bash
алдагдал 14735 14684 0 22:15 pts/2 S+ 0:00 vi текст

Одоо та тэнд чухал зүйл байхгүй гэдэгт итгэлтэй байгаа тул killall командыг ашиглан бүх процессыг устгаж болно:

Killall -9 -у хожигдсон

-9 сонголт нь эдгээр процессуудад SIGKILL дуусгах дохиог илгээхийг программд хэлэх ба -u нь хэрэглэгчийн нэрийг зааж өгдөг.

Red Hat дээр суурилсан системүүд дээр killall ашиглахын тулд та psmisc багцыг суулгах хэрэгтэй:

sudo yum psmisc суулгана

Хэрэглэгчийн өгөгдлийг нөөцлөх

Энэ нь огт шаардлагагүй, гэхдээ ноцтой төслийн хувьд хэрэглэгчийн файлуудын нөөц хуулбарыг үүсгэх нь тийм ч муу санаа биш байх болно, ялангуяа тэнд чухал файлууд байгаа бол. Үүнийг хийхийн тулд та жишээ нь tar хэрэгслийг ашиглаж болно:

tar jcvf /user-backups/losst-backup.tar.bz2 /home/losst

Хэрэглэгчийн бүртгэлийг устгаж байна

Бүх зүйл бэлэн болсон тул Линукс хэрэглэгчийг устгаж эхэлцгээе. Ямар ч тохиолдолд бид хэрэглэгчийн файлууд болон гэрийн лавлахыг устгах шаардлагатайг тодорхой зааж өгөх болно. Debian-ийн хувьд:

deluser --remove-home losst

userdel - алдагдлыг арилгах

Хэрэв та систем дээрх хэрэглэгчийн бүх файлыг устгах шаардлагатай бол --remove-all-files сонголтыг ашиглана уу, чухал файлуудыг дарж бичих боломжтой тул болгоомжтой байгаарай.

deluser - бүх файлуудыг устгах

Хэрэглэгч өөрийн файлууд болон гэрийн лавлахын хамт таны системээс бүрэн устгагдсан.

Ubuntu дахь хэрэглэгчийг устгаж байна

Нээлттэй Системийн параметрүүд:

Нээлттэй зүйл Дансууд:

Таны харж байгаагаар бүх үйлдэл одоогоор боломжгүй бөгөөд саарал өнгөтэй байна. Тэдгээрийг идэвхжүүлэхийн тулд товчлуур дээр дарна уу түгжээг тайлахмөн хэрэглэгчийн нууц үгээ оруулна уу.

Одоо Линукс дээрх хэрэглэгчийг устгахын тулд хулганаар товшиж, хасах дүрс дээр дарна уу.

Нээгдсэн цонхонд та хэрэглэгчийн файлуудтай юу хийхээ сонгож болно.

Мэдээжийн хэрэг, зөвхөн гэрийн хавтас устах болно, бид бүх файлын талаар яриагүй байна. Мөн зөв арилгахын тулд хэрэглэгч системд ажиллахгүй байх ёстой.

дүгнэлт

Линукс дээр хэрэглэгчийг устгах нь сервер эсвэл гэрийн компьютер дээр хийх ёстой газраас үл хамааран тийм ч хэцүү биш юм. Мэдээжийн хэрэг, график интерфэйс нь илүү тохиромжтой, гэхдээ терминал нь өмнөх шигээ илүү олон сонголтыг санал болгодог. Хэрэв танд энэ талаар өөр санаа байвал сэтгэгдэл үлдээнэ үү!

Линукс үйлдлийн систем нь хамгаалалтын олон боломжуудтай боловч хамгийн чухал нь файлын зөвшөөрлийн систем юм. Линукс нь Линуксийн цөмийн үзэл суртлыг дагагчийн хувьд Windows-ээс ялгаатай нь анх олон хэрэглэгчийн систем хэлбэрээр бүтээгдсэн тул Линукс дээрх файлд хандах эрхийг маш сайн бодож үзсэн.

Мөн энэ нь маш чухал, учир нь бүх програмууд болон бүх хэрэглэгчдийн файлуудад дотоод хандалт нь вирусууд системийг амархан устгах боломжийг олгодог. Гэхдээ шинэ хэрэглэгчид Линукс дээрх шинэ файлын зөвшөөрлийг маш их ойлгомжгүй гэж үзэж магадгүй бөгөөд энэ нь Windows дээр бидний харж байсан зүйлээс тэс өөр юм. Энэ нийтлэлд бид Линукс дээр файлын зөвшөөрөл хэрхэн ажилладаг, мөн тэдгээрийг хэрхэн өөрчлөх, тохируулах талаар ойлгохыг хичээх болно.

Эхэндээ файл бүр гурван хандалтын параметртэй байсан. Тэд энд байна:

  • Уншиж байна- файлын агуулгыг хүлээн авах боломжийг олгодог боловч бичихийг зөвшөөрдөггүй. Лавлахын хувьд дотор нь байгаа файл, лавлахуудын жагсаалтыг авах боломжийг танд олгоно;
  • Бичлэг- файлд шинэ өгөгдөл бичих эсвэл байгаа өгөгдлийг өөрчлөх, мөн файл, лавлах үүсгэх, өөрчлөх боломжийг танд олгоно;
  • Гүйцэтгэл- Хэрэв програмыг гүйцэтгэх туг байхгүй бол та програмыг ажиллуулж чадахгүй. Энэ шинж чанарыг бүх программ болон скриптэд тохируулсан бөгөөд үүний тусламжтайгаар систем энэ файлыг програм хэлбэрээр ажиллуулах шаардлагатайг ойлгож чадна.

Гэхдээ эдгээр бүх эрх нь бүх хэрэглэгчдэд нэгэн зэрэг хэрэгжвэл утгагүй болно. Тиймээс файл бүр гурван хэрэглэгчийн ангилалтай бөгөөд та өөр өөр хандалтын эрхийг тохируулж болно:

  • Эзэмшигч- файлын эзэмшигч, түүнийг үүсгэсэн эсвэл одоо эзэмшигч нь тогтоосон хэрэглэгчийн эрхийн багц. Ерөнхийдөө эзэмшигч нь унших, бичих, гүйцэтгэх бүх эрхтэй.
  • Бүлэг- системд байгаа болон файлтай холбоотой аливаа хэрэглэгчийн бүлэг. Гэхдээ энэ нь зөвхөн нэг бүлэг байж болох бөгөөд ихэвчлэн эзэмшигчийн бүлэг байдаг ч файлд өөр бүлгийг оноож болно.
  • Амрах- эзэмшигч болон файлын бүлэгт багтсан хэрэглэгчээс бусад бүх хэрэглэгчид.

Эдгээр зөвшөөрлийн багцын тусламжтайгаар Линукс дээр файлын зөвшөөрлийг тохируулдаг. Хэрэглэгч бүр зөвхөн өөрийн эзэмшдэг эсвэл хандах эрхтэй файлууддаа бүрэн хандах боломжтой. Зөвхөн Root хэрэглэгч л зөвшөөрлийн багцаас үл хамааран бүх файлтай ажиллах боломжтой.

Гэвч цаг хугацаа өнгөрөхөд ийм систем хангалтгүй болж, файлуудыг өөрчлөх боломжгүй болгох эсвэл супер хэрэглэгчийн хэлбэрээр ажиллуулах боломжийг олгодог хэд хэдэн тугуудыг нэмсэн тул бид тэдгээрийг доор авч үзэх болно.

Линукс дээрх тусгай файлын зөвшөөрөл

Энгийн хэрэглэгчдэд нууц үгээ мэдэлгүйгээр супер хэрэглэгчийн нэрийн өмнөөс программ ажиллуулах боломжийг олгохын тулд SUID, SGID бит гэх мэт зүйлийг зохион бүтээжээ. Эдгээр эрх мэдлийг илүү нарийвчлан авч үзье.

  • SUID- хэрэв энэ битийг тохируулсан бол програмыг ажиллуулах үед түүнийг эхлүүлсэн хэрэглэгчийн ID нь файл эзэмшигчийн id-ээр солигдоно. Үнэн хэрэгтээ энэ нь ердийн хэрэглэгчдэд программуудыг супер хэрэглэгчийн хэлбэрээр ажиллуулах боломжийг олгодог;
  • SGID- энэ туг ижил төстэй байдлаар ажилладаг бөгөөд цорын ганц ялгаа нь хэрэглэгчийг тухайн файлын харьяалагддаг бүлгүүд биш харин тухайн файлтай холбоотой бүлгийн гишүүн гэж үздэг. Хэрэв SGID тугийг директор дээр суулгасан бол түүн дотор үүсгэсэн бүх файлууд нь хэрэглэгчийн биш харин директорийн бүлэгтэй холбоотой байх болно. Энэ зан үйл нь хуваалцсан хавтаснуудыг зохион байгуулахад ашиглагддаг;
  • Наалдамхай бит- энэ битийг мөн хуваалцсан хавтас үүсгэхэд ашигладаг. Хэрэв үүнийг суулгасан бол хэрэглэгчид зөвхөн файл үүсгэх, унших, ажиллуулах боломжтой боловч бусад хэрэглэгчдийн эзэмшдэг файлуудыг устгах боломжгүй.

Одоо Линукс дээр файлын зөвшөөрлийг хэрхэн харж, өөрчлөхийг харцгаая.

Линукс дээр файлын зөвшөөрлийг хэрхэн үзэх вэ

Мэдээжийн хэрэг, та файлын менежер ашиглан Линукс дээрх файлын зөвшөөрлийг харах боломжтой. Тэд бүгд энэ функцийг дэмждэг боловч энэ нь танд бүрэн бус мэдээлэл өгөх болно. Бүх тугуудын тухай, тэр дундаа тусгай, дэлгэрэнгүй мэдээллийг авахын тулд та -l параметртэй ls командыг ашиглах хэрэгтэй. Лавлах дахь бүх файлууд жагсаагдах бөгөөд бүх шинж чанарууд болон битүүд тэнд харагдах болно.

Линукс файлын эрхийг олж мэдэхийн тулд энэ файл байгаа хавтсанд дараах тушаалыг ажиллуулна уу.

Зураас нь Линукс дээрх файлын зөвшөөрлийг хариуцдаг. Эхнийх нь файлын төрөл бөгөөд үүнийг тусдаа өгүүллээр авч үзэх болно. Дараа нь эхлээд өмчлөгчийн хувьд, бүлэгт болон бусад бүх хүмүүст зориулсан бүлэг эрхүүд байдаг. Лицензийн хувьд ердөө есөн зураас, төрөлд нэг зураас байна.

Эрхийн тугуудын нөхцөлт утга нь юу гэсэн үг болохыг нарийвчлан авч үзье.

  • --- - огт эрхгүй;
  • --x- файлыг зөвхөн програм хэлбэрээр ажиллуулахыг зөвшөөрдөг боловч өөрчлөх, уншихыг хориглоно;
  • -w-- зөвхөн файл бичих, өөрчлөхийг зөвшөөрдөг;
  • -wx- өөрчлөх, гүйцэтгэхийг зөвшөөрдөг боловч лавлах тохиолдолд та түүний агуулгыг үзэх боломжгүй;
  • r--- зөвхөн унших эрх;
  • r-x- зөвхөн унших, гүйцэтгэх, бичих зөвшөөрөлгүй;
  • rw-- унших, бичих эрх, гэхдээ гүйцэтгэлгүй;
  • rwx- бүх эрх;
  • --s- SUID эсвэл SGID битийг тохируулсан, эхнийх нь эзэмшигчийн талбарт, хоёр дахь нь бүлгийн хувьд харагдана;
  • --т- наалттай бит суулгасан тул хэрэглэгчид энэ файлыг устгах боломжгүй гэсэн үг.

Бидний жишээн дээр, test1 файл нь ердийн програмын зөвшөөрөлтэй, эзэмшигч нь бүгдийг хийх боломжтой, бүлэг нь зөвхөн уншиж, гүйцэтгэх боломжтой, бусад бүх хүмүүс зөвхөн гүйцэтгэх боломжтой. Тест2-ын хувьд SUID болон SGID тугуудыг нэмж тохируулсан. Мөн test3 хавтасны хувьд Sticky-bit суулгасан байна. test4 файлыг хүн бүр ашиглах боломжтой. Одоо та Linux файлын эрхийг хэрхэн үзэхээ мэддэг болсон.

Линукс дээр файлын зөвшөөрлийг хэрхэн өөрчлөх вэ

Линукс дээрх файлын зөвшөөрлийг өөрчлөхийн тулд та chmod хэрэгслийг ашиглаж болно. Энэ нь бүх туг, түүний дотор тусгай зэргийг өөрчлөх боломжийг танд олгоно. Түүний синтаксийг харцгаая:

$ chmod сонголтуудын категорийн үйлдлийн туг файл

Зөвхөн нэг сонголтоос бусад сонголтууд биднийг одоо сонирхохгүй. -R сонголтын тусламжтайгаар та програмыг бүх файл, лавлахад өөрчлөлт оруулахыг албадах боломжтой.

  • у- файл эзэмшигч;
  • g- файлын бүлэг;
  • о- бусад хэрэглэгчид.

Энэ үйлдэл нь хоёр зүйлийн аль нэг нь байж болно, "+" тугийг нэмэх эсвэл "-" тугийг арилгах. Хандалтын эрхийн хувьд ls хэрэглүүрийн гаралттай төстэй: r - унших, w - бичих, x - гүйцэтгэх, s - suid/sgid, таны тохируулсан категориос хамааран t - наалттай тохируулна. - бит. Жишээлбэл, бүх хэрэглэгчид test5 файлд бүрэн хандах боломжтой:

chmod ugo+rwx тест5

Эсвэл бид бүлэг болон бусад хэрэглэгчдийн бүх эрхийг хасах болно:

chmod go-rwx тест5

Бүлэгт уншиж гүйцэтгэх эрхийг олгоё:

chmod g+rx тест5

Бусад хэрэглэгчдэд зөвхөн уншина уу:

test6 файлын хувьд SUID-г тохируулна уу:

Мөн test7-ийн хувьд - SGID:

Юу болсныг харцгаая:

Таны харж байгаагаар Линукс дээрх файлын зөвшөөрлийг өөрчлөх нь маш энгийн зүйл юм. Нэмж дурдахад та файлын менежер ашиглан үндсэн эрхийг өөрчилж болно.

дүгнэлт

Энэ бол одоо та Линукс дээр ямар файлын зөвшөөрөл байдгийг төдийгүй тэдгээрийг хэрхэн үзэх, тэр байтугай хэрхэн өөрчлөхийг мэддэг болсон. Энэ бол эхлэгчдэд системээ бүрэн дүүрэн ашиглахын тулд ойлгох ёстой маш чухал сэдэв юм. Хэрэв танд асуулт байвал сэтгэгдэл дээр асуугаарай!

Эцэст нь хэлэхэд, би Линукс дээр нэвтрэх эрхийн тухай сайн видеог санал болгохыг хүсч байна.

Сонголт -c - хэрэглэгчдэд сэтгэгдэл нэмэх
Сонголт -g sudo - sudo бүлэгт хэрэглэгч нэмэх.
-s сонголт нь хэрэглэгчийн бүрхүүлийг /bin/bash болгож тохируулна
Сонголт -d хэрэглэгчийн гэрийн фолдерыг тодорхойлоход ашигладаг
Сонголт -м фолдерыг нэн даруй үүсгэх шаардлагатайг илтгэнэ:

Sudo useradd -c "Хэрэглэгчийн тайлбар" -g sudo -d /home/NameUser -m -s /bin/bash NameUser

NameUser хэрэглэгчийн нууц үгийг тохируулна уу:

Sudo passwd NameUser

Adduser командыг ашиглан хэрэглэгч нэмнэ үү

sudo useradd -c "Хэрэглэгчийн тайлбар" -g sudo -d /home/NameUser -m -s /bin/bash NameUser

Нууц үгээ оруулаад асуусан бүх асуултад хариулж, нууц үг, гэрийн лавлахтай хэрэглэгч аваарай

Хэрэглэгчийн нууц үгийг өөрчлөх

sudo passwd NameUser

sudo бүлэгт хэрэглэгч нэмнэ үү

usermod -a -G sudo NameUser

Хэрэглэгч/хэрэглэгчийн бүлгийг Sudores-д шууд нэмэх:

Файлаа засъя /etc/sudores.tmpредактор visudo

Sudo visudo

Нэрлэсэн хэрэглэгчдээ root эрх олгоё хэрэглэгчийн_нэр

Хэрэглэгчийн_нэр БҮГД=(БҮГД:БҮХ) БҮГД

Хэсэг хэрэглэгчдэд root эрх олгоё бүлгийн_нэр sudoers файлд мөр нэмэх замаар -

Бүлгийн_нэр БҮГД=(БҮГД:БҮХ) БҮГД

Хэрэглэгч ба түүний бүлгүүд

Бид хост дээрх боломжтой бүлгүүдийг хардаг

Муур /etc/group

Бүлэг байгаа эсэхийг шалгаж байна жишээ бүлэг Жишээ групп нь таны сонирхож буй бүлэг болох хост дээр

Grep жишээ групп /etc/group

Бид тухайн хэрэглэгч ямар бүлэгт харьяалагддагийг (түүнчлэн түүний uid, gid) шалгадаг/олдог.

ID нэр Хэрэглэгч

Одоо байгаа хэрэглэгчийн NameUser-ийг одоо байгаа бүлгийн жишээ бүлэгт нэмнэ үү

Usermod -g жишээ бүлгийн NameUser

Ubuntu хэрэглэгчийг устгаж байна

Бид тушаалыг ашигладаг, хэрэглэгчийн хавтас устахгүй

Sudo userdel NameUser

Шаардлагатай бол фолдерыг устгана уу

Sudo rm -r /home/NameUser/

Бид хэрэглэгч устгасан эсэхийг шалгадаг, хэрэв гаралт байхгүй бол хэрэглэгч устгасан болно

Sudo grep -R NameUser /etc/passwd --color

Бүх орон нутгийн хэрэглэгчдийг жагсаах

sudo cat /etc/passwd sudo cat /etc/shadow

Хэрэглэгчийн талаарх дэлгэрэнгүй мэдээллийг харуулахын тулд багцыг суулгана уу хуруу

Sudo apt-get суулгах хуруу

NameUser хэрэглэгчийн талаарх мэдээллийг харахын тулд тушаалыг ажиллуулна уу

Хурууны нэрХэрэглэгч

Бүх хэрэглэгчийн мэдээллийг файл руу гаргах infoaboutalluser.txtскрипт үүсгэцгээе хуруу.ш

#!/bin/bash n=`cat /etc/passwd | cut -d: $n-д i-д -f1`; цуурай хийх "=============================================== =============================================" хуруу $би хийсэн

Скриптийг ажиллуулцгаая хуруу.шмөн агуулгыг нь файлд хадгална infoaboutalluser.txt

./finger.sh infoaboutalluser.txt

Бүх давуу эрхтэй хэрэглэгчдийг жагсаах:

egrep ":0:0:" /etc/passwd

эсвэл давуу эрхгүй

Egrep -v ":0:0:" /etc/passwd

Нэр нь abcd үсгээр эхэлсэн бүх хэрэглэгчдийг жагсаана уу:

Cat /etc/passwd | grep "^.*"

Уншигчийн хариултаас харахад Ubuntu дахь захиргааны эрхийг тусгаарлах асуудал ихэнх шинэхэн администраторуудад тодорхойгүй хэвээр байгаа тул бид энэ материалаар энэ асуудлыг тодорхой болгохоор шийдсэн. Тиймээс, хэрэв та sudo-ээс юугаараа ялгаатай болохыг мэдэхгүй байгаа бол root-ээ хаана нуусан гэх мэтийг мэдэхгүй бол манай нийтлэлийг судалж эхлэх цаг болжээ.

Жижигхэн ухралтаар эхэлцгээе. Линуксийн удирдлагын эрхийн систем нь Unix үйлдлийн системд буцаж ирдэг тул Unix-тэй төстэй бусад системүүдтэй нийтлэг зүйл байдаг: BSD, Solaris, MacOS. Үүний зэрэгцээ, өөр өөр тархалтууд нь тодорхой талуудын бие даасан шинж чанартай байдаг тул бид Ubuntu-ийн гэр бүлийн талаар тодорхой жишээ өгөх болно, гэхдээ ерөнхий дүрмийн мэдлэг нь бусад Unix-тэй төстэй үйлдлийн системийн орчныг хялбархан ойлгох боломжийг танд олгоно.

Хэрэглэгч Линукс дээр бүрэн захиргааны эрхтэй. үндэс, түүний эрхийг хязгаарлах боломжгүй тул энэ хэрэглэгчийн нэрийн өмнөөс өдөр тутмын ажил хийх нь туйлын хүсээгүй юм: хэрэглэгчийн болгоомжгүй үйлдэл нь системд гэмтэл учруулж болзошгүй бөгөөд энэ бүртгэлийг эвдэх нь халдагчдад системд хязгааргүй нэвтрэх боломжийг олгоно.

Тиймээс Линукс дээр өөр схемийг баталсан: бүх хэрэглэгчид, түүний дотор администраторууд хязгаарлагдмал дансны дор ажилладаг бөгөөд захиргааны үйлдлийг гүйцэтгэхийн тулд эрхийг нэмэгдүүлэх механизмын аль нэгийг ашигладаг. Үүнийг хийхийн тулд та хэрэгслийг ашиглан эрхийг нэмэгдүүлэх боломжтой sudoэсвэл командыг ашиглан одоогийн сессийг зогсоохгүйгээр супер хэрэглэгчийн (root) нэрээр нэвтэрнэ үү су. Олон хүмүүс эдгээр хоёр механизмыг андуурдаг тул тэдгээрийг илүү нарийвчлан авч үзье.

Баг суодоогийн сессийг зогсоохгүйгээр өөр хэрэглэгчээр (заавал root биш) нэвтрэх боломжийг танд олгоно. Тиймээс тушаал:

Су Петров

Петров хэрэглэгчийн нэрээр нэвтрэх боломжийг олгох бөгөөд хэрэглэгчийн орчин (гэрийн хавтас) мөн энэ хэрэглэгчийнх байхаар өөрчлөгдөнө.

Баг сухэрэглэгчийн нэр заалгүйгээр өөрийн бүртгэлээр нэвтрэх боломжийг танд олгоно үндэс"a. Гэсэн хэдий ч энэ арга нь нэг чухал дутагдалтай байдаг - өөр хэрэглэгчийн нэрийн өмнөөс нэвтрэхийн тулд та түүний нууц үгийг мэдэх хэрэгтэй. Хэрэв танд хэд хэдэн администратор байгаа бол тэд бүгд супер хэрэглэгчийн нууц үгийг мэдэх бөгөөд та үүнийг хийх боломжгүй болно. тэдний эрхийг хязгаарлах.

Нэмж дурдахад, энэ нь аюултай, супер хэрэглэгчийн нууц үгийг мэдэж, эвдэрсэн тохиолдолд түүний нэрээр нэвтэрч орох нь системийн хяналтыг бүрэн алдахад хүргэдэг.

Хэрэв бид Ubuntu дээрх эрхийг ингэж нэмэгдүүлэхийг оролдвол юу болох вэ? Бид хэрэглэгчийн нууц үгийг мэдэхгүй учраас юу ч хийх боломжгүй үндэс, үүнтэй зэрэгцэн биднийг өөр хэрэглэгчээр нэвтрэхэд хэн ч саад болохгүй.

"Хүлээгээрэй!" - өөр нэг хэрэглэгч "Суулгах явцад бидний зааж өгсөн анхны үүсгэсэн хэрэглэгчдэд үндсэн эрх өгөгддөггүй гэж үү?" гэж хэлэх болно. Үнэн хэрэгтээ, удирдлагын даалгавруудыг зөвхөн суулгах явцад үүсгэсэн хэрэглэгчийн нэрийн өмнөөс гүйцэтгэх боломжтой; хэрэв бид үүнийг хийх гэж оролдвол өөр хэрэглэгчийн нэрийн өмнөөс бид бүтэлгүйтэх болно.

Энд бид эрхийг нэмэгдүүлэх хоёр дахь механизм болох хэрэгсэлд ойртож байна sudo. Гэсэн хэдий ч, үүнийг судлахын өмнө үүнийг тодруулах нь зүйтэй юм: Ubuntu дахь супер хэрэглэгчийн (үндэс) эрх нь анхдагчаар идэвхгүй болсон үндсэн бүртгэлд хамаардаг. Тиймээс тушаалыг ашиглан зөвшөөрлийг нэмэгдүүлэх суболомжгүй юм шиг байна.

Ubuntu дахь эрхийг нэмэгдүүлэх гол механизм бол хэрэгсэл юм sudo. Энэхүү хэрэгсэл нь гүйцэтгэгдэж буй командын эрхийг супер хэрэглэгчийн түвшинд хүргэх боломжийг олгодог боловч та супер хэрэглэгчийн нууц үгийг мэдэх шаардлагагүй, хэрэглэгч өөрөө нууц үгээ оруулах ёстой. Үүний дараа хэрэгсэл нь энэ хэрэглэгчийг супер хэрэглэгчийн эрхээр энэ хост дээр энэ командыг гүйцэтгэх эрхтэй эсэхийг шалгах бөгөөд хэрэв шалгалт амжилттай болбол гүйцэтгэнэ.

Энэ нь чухал юм!Гол ялгаа су-аас sudoюугаар үйлчилдэг сусистемд идэвхтэй супер хэрэглэгчийн бүртгэл, нууц үгээ мэдэх шаардлагатай одоогийн хэрэглэгчийг root болгон өөрчлөх боломжийг танд олгоно. sudoсупер хэрэглэгчийн нууц үг заахгүйгээр гүйцэтгэж буй тушаалын эрхийг нэмэгдүүлэх боломжийг олгодог; хэрэглэгч өөрийн нууц үгээ оруулах ёстой; эдгээр итгэмжлэлээр root эрхээр нэвтэрч ажиллахгүй.

Өөр нэг чухал нөхцөл байдал бол супер хэрэглэгчийн эрх бүхий дамжуулах хоолой эсвэл дахин чиглүүлэлт ашиглах үед командын зөвхөн эхний хэсгийг гүйцэтгэх болно, жишээлбэл дизайнд:

Sudo команд1 | баг2

root эрхтэй зөвхөн гүйцэтгэгдэх болно баг1. Мөн баг

Sudo cat sources.list > /etc/apt/sources.list

оруулга байгаа тул хандалтын эрхийн алдаа өгнө /etc/apt/sources.listердийн хэрэглэгчийн эрхээр тохиолдох болно.

Командын нарийн төвөгтэй хослолуудыг гүйцэтгэхийн тулд та командын тусламжтайгаар супер хэрэглэгчийн горимд шилжиж болно

Энэ нь тушаалаар эрхийг өргөхтэй адил юм су, гэхдээ энэ нь хэрэглэгчийн орчныг өөрчлөхгүй бөгөөд одоогийн хэрэглэгчийн лавлахыг гэрийн лавлах болгон ашиглах бөгөөд энэ нь тохиромжтой бөгөөд аюулгүй юм. Администратор бүр зөвхөн өөрийн үндсэн лавлах руу хандах эрхтэй.

Одоо хэн боломжуудыг ашиглах эрхтэйг тодорхойлох цаг болжээ sudoмөн ямар хэмжээгээр. Файл нь энэ хэрэгслийн тохиргоог хариуцдаг /etc/sudoers, энэ нь ердийн тохиргооны файл боловч үүнийг засварлахын тулд дараах тушаалыг ашиглахыг зөвлөж байна.

Sudo visudo

Энэ тушаал нь файлыг түгжиж, синтаксийг шалгана, эс тэгвээс та үсгийн алдааны улмаас компьютерт хандах эрхээ алдах эрсдэлтэй.

Энэ файлын синтакс нь маш энгийн. Жишээлбэл, файлын хамгийн төгсгөлд оруулга байна:

%админ БҮГД=(БҮХ) БҮГД

Энэ нь группын хэрэглэгчид гэсэн үг юм админдурын хэрэглэгчийн нэрийн өмнөөс дурын хост дээр дурын командыг гүйцэтгэх боломжтой. Учир нь бид командыг ашиглан хялбархан шалгаж болно бүлгүүдманай тохиолдолд хэрэглэгч Андрейбүлэгт харьяалагддаг админ, мөн хэрэглэгч ПетровҮгүй

Гэхдээ энэ хэрэгслийн бүх давуу тал нь тодорхой тохиолдол бүрт эрх олж авах параметрүүдийг уян хатан тохируулах чадварт оршдог. Жишээлбэл:

Петров ubuntu-lts=(андрей) БҮГД

Энэ мөр нь хэрэглэгчийг зөвшөөрдөг Петровхост дээр дурын командыг гүйцэтгэх ubuntu-ltsхэрэглэгчийн нэрийн өмнөөс Андрей. Командуудыг зааж өгөхдөө та тэдгээрт хүрэх замыг бүрэн зааж өгөх ёстой бөгөөд та үүнийг командыг ашиглан олох боломжтой аль

Жишээлбэл, бид хэрэглэгчдийг зөвшөөрөхийг хүсч байна ПетровТэгээд сидоровкомпьютерийг унтрааж, дахин асаах, мөн даалгавруудыг арилгах. Гэхдээ эдгээр тушаалууд нь нууц үг оруулах шаардлагагүй.

Sudo хэрэгслийн өөр нэг сайхан шинж чанар бол өөр нэр үүсгэх явдал тул бидний тохиолдолд бид нэмж оруулах болно /etc/sudoersдараах мөрүүд:

User_Alias ​​​​USERGROUP1 = Петров, Сидоров
Cmnd_Alias ​​CMDGROUP1 = /bin/kill, /sbin/reboot, /sbin/shutdown

Үүний тусламжтайгаар бид хоёр нэр үүсгэсэн Хэрэглэгчийн бүлэг1, хаана бид шаардлагатай хэрэглэгчдийг оруулсан ба CMDGROUP1шаардлагатай командуудын тусламжтайгаар бид дараа нь тэдгээрийг ашиглаж болох бүх дүрэмд нөлөөлөхгүйгээр зөвхөн бусад нэрийг засах боломжтой. Дараа нь дүрэм нэмье:

USERGROUP1 БҮГД = (БҮХ) NOPASSWD:СMDGROUP1

Энэ нь заасан нэрээр жагсаасан хэрэглэгчдэд нууц үг оруулахгүйгээр дурын хэрэглэгчийн нэрийн өмнөөс дурын хост дээр өгөгдсөн нэрийн тушаалыг гүйцэтгэх боломжийг олгоно.

Дээрх хоёроос гадна хостын нэр болон тэдний өмнөөс командыг гүйцэтгэхийг зөвшөөрсөн хэрэглэгчдэд зориулсан бусад нэрүүд байдаг, жишээлбэл:

Host_Alias ​​WWW = вэб сервер1, вэб сервер2
Runas_Alias ​​WWW = www-өгөгдөл, www-хөгжүүлэгч

USERGROUP1 WWW = (WWW) БҮГД

Өгөгдсөн багц бичлэг нь хэрэглэгчдэд нэвтрэх боломжийг олгоно Хэрэглэгчийн бүлэг1хэрэглэгчийн нэрийн өмнөөс аливаа тушаалыг гүйцэтгэх www-өгөгдөлТэгээд www-хөгжүүлэгчкомпанийн вэб серверүүд дээр.

Эцэст нь root бүртгэл шаардлагатай хэвээр байвал юу хийхээ харцгаая. Энэ нь энгийн бөгөөд үүнийг идэвхжүүлэхийн тулд нууц үгээ тохируулна уу:

Sudo passwd үндэс

Та супер хэрэглэгчийн бүртгэлийг дараах тушаалаар дахин түгжиж болно.

Sudo passwd -l root

Ubuntu дахь бүх захиргааны ажлыг sudo хэрэгслийг ашиглан хийж болно гэдгийг санаарай, тиймээс онцын шаардлагагүй бол root бүртгэлийг идэвхжүүлж болохгүй!

Таны харж байгаагаар Ubuntu нь захиргааны эрхийн менежментийн баялаг боломжуудтай бөгөөд энэ нь хэд хэдэн администраторын дунд эрхийг уян хатан хуваарилах, түүнчлэн зарим хэрэглэгчдийн эрхийг нэмэгдүүлэх боломжийг олгодог бөгөөд үүнийг үр дүнтэй, найдвартай хийх боломжийг олгодог.