Управление пользователями является важной частью безопасности системы. Неэффективные пользователи и управление привилегиями часто приводят множество систем к компрометации. Поэтому важно чтобы вы понимали как защитить ваш сервер с помощью простых и эффективных методик управления пользовательскими учетными записями.
Где суперпользователь?
Разработчики Ubuntu приняли сознательное решение заблокировать административную корневую учетную запись (root) по умолчанию во всех установках Ubuntu. Это не означает, что учетная запись root удалена или к ней нет доступа. Ей просто присвоен пароль, который не совпадает ни с одним возможным шифрованным значением, соответственно, ее невозможно использовать для входа напрямую.
Вместо этого поощряется применение пользователями инструмента с именем sudo для переноса административных обязанностей. Sudo позволяет авторизованным пользователям временно повышать их привилегии, используя их собственный пароль вместо знания пароля, присвоенного суперпользователю. Эта простая и к тому же эффективная методика обеспечивает ответственность для всех действий пользователей и дает административный раздельный контроль над тем, какие действия может выполнять пользователь с указанными привилегиями.
1. Если по какой-то причине вы хотите разрешить учетную запись суперпользователя, просто установите ей пароль:
Sudo passwd
Sudo запросит ваш пароль, а затем предложит установить новый пароль для root как показано ниже:
Password for username: (вводите свой собственный пароль) Enter new UNIX password: (вводите новый пароль суперпользователя) Retype new UNIX password: (повторяете новый пароль суперпользователя) passwd: password updated successfully
2. Для блокирования учетной записи root используйте следующий синтаксис passwd:
Sudo passwd -l root
Man sudo
По умолчанию изначальный пользователь, созданный установщиком Ubuntu является членом группы "admin", которая добавлена в файл /etc/sudoers как авторизованные sudo пользователи. Если вы желаете разрешить другой учетной записи полный доступ суперпользователя через sudo , просто добавьте ее в группу admin .
Добавление и удаление пользователей
Процесс управления локальными пользователями и группами простой и мало отличается от большинства других операционных систем GNU/Linux. Ubuntu и другие дистрибутивы на основе Debian поощряют использование пакета "adduser" для управления учетными записями.
1. Для добавления учетной записи пользователя используйте следующий синтаксис и следуйте подсказкам для указания пароля и опознавательных характеристик таких как полное имя, телефон и пр.:
Sudo adduser username
2. Для удаления пользователя и его первичной группы используйте следующий синтаксис:
Sudo deluser username
Удаление пользователя не удаляет связанный с ним домашний каталог. Оставлено на ваше усмотрение хотите ли вы удалить каталог вручную или оставите его в соответствии с вашими политиками хранения.
Помните, что любой пользователь, добавленный позднее с теми же UID/GID, как и предыдущий, получит доступ к этому каталогу если вы не предпримете необходимых мер предосторожности.
Вы можете захотеть изменить эти значения UID/GID каталога на что-то более подходящее, как, например, значения суперпользователя и, возможно, переместить каталог для предотвращения будущих конфликтов:
Sudo chown -R root:root /home/username/ sudo mkdir /home/archived_users/ sudo mv /home/username /home/archived_users/
3. Для временного блокирования или разблокирования используйте следующий синтаксис:
Sudo passwd -l username sudo passwd -u username
4. Для добавления или удаления персональной группы используйте, соответственно, следующий синтаксис:
Sudo addgroup groupname sudo delgroup groupname
5. Для добавления пользователя в группу, используйте:
Sudo adduser username groupname
Безопасность профиля пользователя
Когда создается новый пользователь, утилита adduser создает, соответственно, новый именной каталог /home/username . Профиль по умолчанию формируется по содержимому, находящемуся в каталоге /etc/skel, который включает все основы для формирования профилей.
Если ваш сервер является домашним для множества пользователей, вы должны уделять пристальное внимание правам доступа на пользовательские домашние каталоги для поддержания конфиденциальности. По умолчанию пользовательские домашние каталоги создаются с правами чтения/выполнения для всех. Это означает, что все пользователи просматривать и получать доступ к содержимому других домашних каталогов. Это может не подходить для вашего окружения.
1. Для проверки прав доступа на домашние каталоги существующих пользователей используйте такой синтаксис:
Ls -ld /home/username
Следующий вывод показывает, что каталог /home/username имеет доступ на чтение для всех:
Drwxr-xr-x 2 username username 4096 2007-10-02 20:03 username
2. Вы можете удалить права чтения для всех, используя следующий синтаксис:
Sudo chmod 0750 /home/username
Некоторые склоняются к тенденции использовать опцию рекурсии (-R) без разбора, которая изменяет все дочерние каталоги и файлы, хотя это необязательно и может приводить к иным нежелательным последствиям. Родительский каталог сам по себе запретит неавторизованный доступ к любому своему содержимому.
Более эффективный подход к данному вопросу будет в изменении глобальных прав доступа по умолчанию для adduser при создании домашних каталогов. Просто отредактируйте файл /etc/adduser.conf, изменив переменную DIR_MODE на что-то более подходящее, после чего все новые домашние каталоги будут получать корректные права доступа.
DIR_MODE=0750
3. После исправления прав доступа к каталогам, используя любую из ранее упоминавшихся методик, проверьте результаты используя следующую команду:
Ls -ld /home/username
Результат ниже показывет, что права на чтение для всех удалены:
Drwxr-x--- 2 username username 4096 2007-10-02 20:03 username
Политика паролей
Строгая политика паролей - один из наиболее важных аспектов вашего подхода к безопасности. Много удачных прорывов безопасности использовали для атак простейший взлом (brute force) и подбор паролей по словарю против слабых паролей. Если вы намереваетесь использовать любую форму удаленного доступа с использованием вашей локальной системы паролей, убедитесь, что вы назначили адекватные минимальные требования к паролю, максимальное время жизни пароля и часто проверяете вашу систему аутентификации.
Минимальная длина пароля
По умолчанию Ubuntu требует минимальную длину пароля в 6 символов, также как и некоторые основные проверки на разброс значений. Эти параметры управляются файлом /etc/pam.d/common-password и приведены ниже:
Password pam_unix.so obscure sha512
Если вы хотите установить минимальную длину в 8 символов, измените соответствующую переменную на min=8. Изменения приведены ниже:
Password pam_unix.so obscure sha512 min=8
Базовые проверки на качество и минимальную длину пароля не применяются к администратору, использующего команды уровня sudo для настройки нового пользователя.
Время жизни пароля
При создании учетных записей пользователей вы должны создать политику минимального и максимального времени жизни пароля чтобы заставлять пользователей менять их пароли по истечении определенного времени.
1. Для простого просмотра текущего статуса учетной записи пользователя используйте следующий синтаксис:
Sudo chage -l username
Вывод, приведенный ниже, показывает интересные факты об учетной записи пользователя, а именно что нет никаких примененных политик:
Last password change: Jan 20, 2008 Password expires: never Password inactive: never Account expires: never Minimum number of days between password change: 0 Maximum number of days between password change: 99999 Number of days of warning before password expires: 7
2. Для установки этих значений просто используйте следующую команду и следуйте интерактивным подсказкам:
Sudo chage username
Далее также пример того, как можно вручную изменить явную дату истечения действия пароля (-E) на 01/31/2008 (американский вариант даты - прим. пер.), минимальный срок действия пароля (-m) на 5 дней, максимальный срок действия (-M) на 90 дней, период бездействия (-I) на 5 дней после истечения срока пароля и период предупреждений (-W) на 14 дней до истечения срока пароля.
Sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 username
3. Для проверки изменений используйте ту же команду, что и упоминалась выше:
Sudo chage -l username
Вывод команды ниже показывает новые политики, которые применяются к учетной записи:
Last password change: Jan 20, 2008 Password expires: Apr 19, 2008 Password inactive: May 19, 2008 Account expires: Jan 31, 2008 Minimum number of days between password change: 5 Maximum number of days between password change: 90 Number of days of warning before password expires: 14
Иные соображения безопасности
Многие приложения используют альтернативные механизмы аутентификации, которые могут быть запросто пропущены даже опытными системными администраторами. Поэтому важно понимать и контролировать как пользователи авторизуются и получают доступ к сервисам и приложениям на вашем сервере.
Доступ по SSH заблокированными пользователями
Обычное отключение/блокирование не исключает удаленного подключения пользователя к серверу, если ему предварительно была установлена аутентификация по открытому ключу RSA. Такие пользователи будут получать доступ к консольной оболочке (shell) на сервере без необходимости ввода какого-либо пароля. Не забывайте проверять пользовательские домашние каталоги на файлы, которые позволяют подобный тип авторизации по SSH , например, /home/username/.ssh/authorized_keys.
Удаление или переименование каталога.ssh/ в домашнем каталоге пользователя предотвратит дальнейшую способность аутентификации по SSH .
Убедитесь что проверили любые установленные SSH соединения заблокированных пользователей, поскольку могут остаться входящие или исходящие соединения. Убейте все, которые найдете.
Ограничьте SSH доступ только для учетных записей пользователей, которым они требуются. Например, вы можете создать группу с названием "sshlogin" и добавить имя группы в качестве значения для переменной AllowGroups, находящейся в файле /etc/ssh/sshd_config.
AllowGroups sshlogin
Затем добавьте ваших пользователей, которым разрешен SSH доступ, в группу "sshlogin" и перестартуйте SSH сервис.
Sudo adduser username sshlogin sudo service ssh restart
Аутентификация по внешней базе данных
Большинство корпоративных сетей требуют централизованной аутентификации и контроля доступа для всех системных ресурсов. Если вы настроили свой сервер для аутентификации пользователей по внешней базе данных, убедитесь, что вы отключаете учетные записи как внешние, так и локальные, таким образом вы будете уверены что откат на локальную аутентификацию невозможен.
Предположим, что я новый пользователь Ubuntu Linux 16.04.xx LTS. У меня сразу может возникнуть ряд вопросов. Как создать нового пользователя sudo на моем сервере? Как добавить нового пользователя в файл sudoer с помощью параметра командной строки на Ubuntu?
В Linux (и Unix вообще) существует суперпользователь с именем root. Корневой пользователь может делать все и вся, и, таким образом, обычное использование системы может стать очень опасным. Вы можете ввести команду неправильно и уничтожить систему. Команда sudo позволяет разрешенному пользователю запускать команду в качестве суперпользователя (пользователя root) или другого пользователя, как указано в политике безопасности. Часто sudo используется на серверах для предоставления прав администратора и привилегий для обычных пользователей. В этом кратком руководстве вы узнаете, как создать пользователя sudo на Ubuntu.
Несколько шагов, которые необходимо сделать для того, чтобы создать пользователя sudo на Ubuntu
Подробнее о группе администратора и группе sudo на сервере Ubuntu
Члены административной группы могут получать привилегии root. Все члены группы sudo запускают любую команду на сервере Ubuntu. Поэтому просто добавьте пользователя в группу sudo на сервере Ubuntu. Возможности группы admin были значительно урезаны, начиная с версии Ubuntu 12.04 и выше. Следовательно, admin группы больше не существует или она просто используется в версии Ubuntu 12.04 или выше. Причина, по которой это работает:
# grep -B1 -i "^%sudo" /etc/sudoers
$ sudo grep -B1 -i "^%sudo" /etc/sudoers
# Allow members of group sudo to execute any command %sudo ALL=(ALL:ALL) ALL
Давайте посмотрим на некоторые практические примеры.
Как добавить нового пользователя с именем vivek в sudo с помощью командной строки?
Откройте терминал или войдите на свой удаленный сервер:
$ ssh root@server-name-IP-here $ ssh [email protected] { root@server:/root} #
# adduser vivek$ sudo adduser vivek
Рисунок 01: Как добавить нового пользователя на Ubuntu
Примеры возможных выводов данных:
Как создать пользователя sudo в Ubuntu для учетной записи vivek
Введите следующую команду:
# adduser vivek sudo
ИЛИ используйте команду usermod для того, чтобы добавить пользователя в группу на Linux:
# usermod -aG sudo vivek
$ sudo usermod -aG sudo vivek
$ sudo adduser vivek sudo
Примеры возможных выводов данных:
Рисунок 02: Добавить пользователя vivek в sudo, чтобы получить права администратора
Подтвердите нового пользователя и члена группы с помощью :
$ id vivek
Примеры возможных выводов данных:
Рисунок 03: Показать информацию о пользователе и группе
Теперь пользователь vivek может войти в систему с помощью команды ssh следующим образом:
$ ssh [email protected]
Убедитесь, что vivek может использовать команду sudo:
$ sudo cat /etc/sudoers
При первом использовании команды sudo вам будет предложено ввести пароль учетной записи vivek. Поэтому введите пароль vivek для получения доступа root . Любой тип команды с sudo должен запускаться с привилегиями root для учетной записи vivek . Чтобы получить корневую оболочку, введите:
$ sudo –s
Примеры возможных выводов данных:
Рисунок 03: Тестирование доступа sudo для учетной записи пользователя vivek
И вот вы справились. Теперь вы можете разрешать другим пользователям запускать sudo на сервере Ubuntu и предоставлять пользователям права администратора.
Добавление и удаление пользователей - это одна из базовых задач, с которой вы можете столкнуться при работе на новом сервере с ОС семейства Linux. Как правило, после того, как вы установили новую систему, у вас есть только один пользователь - суперпользователь.
С одной стороны, использовать суперпользователя удобно, так как он обладает широкими возможностями; с другой стороны, из-за этого вы можете случайно нанести вред только что установленной системе. Поэтому для выполнения стандартных действий лучше создать еще одного пользователя, но на этот раз не обладающего такими привилегиями. Также рекомендуется создать дополнительных пользователей для всех людей, которые будут пользоваться системой. У каждого пользователя должен быть свой аккаунт.
При этом вы сможете выполнять административные задачи при помощи пользователя с sudo правами. Из этого руководства вы узнаете, как создавать пользователей, наделять их правами sudo и удалять их.
Как добавить пользователя
# adduser newuser
Если для создания нового пользователя вы хотите использовать пользователя с sudo-правами, тогда команда будет выглядеть чуть иначе:
$ sudo adduser newuser
(При этом вместо newuser вы можете указать какое-то другое слово, так как это будет имя нового пользователя.)
После ввода команды вам нужно будет последовательно ответить на несколько вопросов, а именно:
- ввести и подтвердить пароль для нового пользователя;
- написать дополнительную информацию о новом пользователе. Делать это необязательно; если не хотите ничего добавлять, просто нажмите Enter;
- наконец, вам нужно будет подтвердить корректность всей введенной до этого информации - для этого надо нажать y (yes - да).
Теперь новый пользователь создан и готов к использованию! Авторизоваться под ним можно используя пароль, который вы установили ранее.
Если вы хотите наделить пользователя административными правами, то читайте следующий раздел.
Как наделить пользователя правами sudo
Если вам нужно, чтобы новый пользователь мог выполнять административные (root) команды, вам нужно дать этому пользователю доступ к sudo. Сделать это можно двумя путями: либо добавить этого пользователя в созданную группу пользователей, которые могут выполнять команды sudo, либо дать это право пользователю путем внесения изменений в конфигурацию утилиты sudo. Рассмотрим оба варианта.
Добавление нового пользователя в группу sudo
По умолчанию в Ubuntu 16.04 правами выполнять sudo команды обладают все пользователи, которые входят в соответствующую группу.
Для того, чтобы посмотреть, в какой группе сейчас находится созданный пользователь, используйте следующую команду:
$ groups newuser
В результате вы увидите на экране:
Newuser: newuser
Потому что по умолчанию каждый новый пользователь находится в своей собственной группе, которая создается одновременно с созданием самого пользователя и имеет такое же название. Для того, чтобы добавить пользователя в другую группу, вам нужно написать в командной строке следующую команду:
$ usermod -aG sudo newuser
(Напоминаю, что вместо newuser вам нужно написать имя пользователя, которого вы хотите переместить в группу с административными правами.)
Ключ -aG нужен для того, чтобы пользователь был добавлен в одну из уже существующих в списке групп.
Проверка наличия sudo-прав
Теперь необходимо проверить, может ли ваш пользователь выполнять административные команды.
$ команда
Вы можете выполнить эту же команду, но с административными правами, если напишете в начале sudo:
$ sudo команда
При этом вам нужно будет ввести пароль от аккаунта данного пользователя.
Уточнение прав пользователя в in /etc/sudoers
Альтернативным способом дать пользователю sudo-права является настройка конфигурационного файла. Вам нужно использовать команду visudo для того, чтобы открыть конфигурационный файл /etc/sudoers в выбранном по умолчанию редакторе и указать права конкретно для этого пользователя.
Рекомендуется для редактирования конфигурационного файла использовать именно команду visudo: во-первых, она защищает файл от нескольких одновременных изменений, во-вторых, проверяет синтаксис файла перед перезаписью. Благодаря этому у вас не будет ситуации, когда вы неправильно настроили sudo, а потом не можете внести нужные изменения, так как потеряли административные права.
Если вы используете пользователя с sudo-правами, тогда нужная вам команда будет выглядеть так:
Как правило, команда visudo открывалась /etc/sudoers в редакторе vi, что могло смутить не очень опытных пользователей. Поэтому в Ubuntu 16.04 вместо vi используется nano, инструмент, который гораздо больше знаком большинству пользователей. Используете стрелки на клавиатуре для того, чтобы найти нужную строку. Она выглядит примерно так:
Root ALL=(ALL:ALL) ALL
Скопируйте этот текст чуть ниже и вместо “root” напишите имя того пользователя, которого вы хотите наделить правом выполнять sudo-команды. Это будет выглядеть примерно так:
Root ALL=(ALL:ALL) ALL newuser ALL=(ALL:ALL) ALL
Для каждого нового пользователя необходимо добавлять новую строку. После того, как вы внесете все необходимые изменения, сохраните и закройте файл, нажав Ctrl-X, затем Y и Enter для подтверждения.
Как удалять пользователей
Если вам больше не нужен один из созданных пользователей, лучшим решением будет удалить его.
Вы можете удалить только пользователя, без удаления его файлов, используя команду:
# deluser newuser
Если вы используете пользователя с sudo-правами, тогда команда будет выглядеть следующим образом:
$ sudo deluser newuser
Для того, чтобы удалить пользователя вместе с его домашней директорией, от лица суперпользователя вам нужно ввести:
# deluser --remove-home newuser
Для пользователей с sudo-правами:
$ sudo deluser --remove-home newuser
А если вы хотите лишить удаленного пользователя sudo-прав, вам нужно открыть конфигурационный файл:
(если от суперпользователя)
или
(если от пользователя с sudo-правами)
Root ALL=(ALL:ALL) ALL newuser ALL=(ALL:ALL) ALL # Удалите эту строчку.
Это нужно для того, чтобы в дальнейшем созданный пользователь с таким же именем не получил случайно sudo-права.
Заключение
Теперь вы знаете о том, как правильно создать и удалять пользователей, а также давать им права выполнять команду sudo. Для эффективного руководства разделяйте пользователей по разным группам и давайте административные права только тем, кому это действительно нужно для работы.
Как показывает читательский отклик, вопрос разделения административных прав в Ubuntu до сих пор остается малопонятным для большинства начинающих администраторов, поэтому мы решили данным материалом внести некоторую ясность в данный вопрос. Поэтому если вы не знаете чем su отличается от sudo, куда спрятали root"а и т.д. и т.п. - самое время приступить к изучению нашей статьи.
Начнем с небольшого отступления. Система административных прав Linux восходит корнями к ОС Unix и поэтому имеет много общего с другими Unix-like системами: BSD, Solaris, MacOS. В тоже время различные дистрибутивы имеют свои особенности реализации отдельных моментов, поэтому конкретные примеры мы будем приводить относительно семейства Ubuntu, однако знание общих правил позволит вам без труда разобраться в среде любой другой Unix-like ОС.
Всей полнотой административных прав в Linux обладает пользователь root , ограничить которого в правах невозможно, поэтому повседневная работа от лица данного пользователя крайне нежелательна: неосторожные действия пользователя могут привести к повреждению системы, а компрометация данной учетной записи даст злоумышленнику неограниченный доступ к системе.
Поэтому в Linux принята иная схема, все пользователи, включая администраторов, работают под ограниченной учетной записью, а для выполнения административных действий используют один из механизмов повышения прав. Для этого можно повысить права с помощью утилиты sudo или войти под именем суперпользователя (root"а) не завершая текущий сеанс с помощью команды su . Многие ошибочно путают эти два механизма, поэтому разберем их подробнее.
Команда su позволяет войти в систему под именем другого пользователя (не обязательно root) не завершая текущий сеанс. Так команда:
Su petrov
позволит войти в систему от имени пользователя petrov, пользовательское окружение (домашняя папка) также будут изменены на принадлежащие этому пользователю.
Команда su без указания имени пользователя позволяет войти под учетной записью root "а. Однако данный способ имеет один существенный недостаток - для входа от имени другого пользователя нужно знать его пароль. Если у вас несколько администраторов, то каждый из них будет знать пароль суперпользователя и ограничить в правах вы их не сможете.
К тому же это небезопасно, знание пароля суперпользователя и возможность входа под его именем в случае компрометации может привести к полной потере контроля над системой.
Что будет если мы попробуем таким образом повысить права в Ubuntu? У нас ничего не получится, так как мы не знаем пароля пользователя root , в тоже время никто не мешает нам войти под иным пользователем.
"Подождите!" - скажет иной пользователь, - "а разве права root"а не получает первый созданный пользователь, которого мы указываем при установке?" Действительно, административные задачи можно выполнить только от имени созданного при установке пользователя, при попытке сделать это от имени другого пользователя нас постигнет неудача.
Здесь мы вплотную подходим к второму механизму повышения прав - утилите sudo . Однако прежде чем переходить к ее изучению стоит внести ясность: права суперпользователя (root) в Ubuntu принадлежат учетной записи root, которая по умолчанию отключена. Поэтому повысить права с помощью команды su не представляется возможным.
Основным механизмом повышения прав в Ubuntu является утилита sudo . Эта утилита позволяет повысить права до уровня суперпользователя для выполняемой команды, при этом знать пароль суперпользователя не нужно, пользователь должен ввести собственный пароль. После чего утилита проверит, имеет ли данный пользователь право выполнять данную команду на данном хосте с правами суперпользователя и, в случае успешного прохождения проверок, выполнит ее.
Это важно! Основным отличием su от sudo служит то, что su позволяет сменить текущего пользователя на root, что требует активной записи суперпользователя в системе и знания пароля к ней, sudo позволяет повысить права для выполняемой команды без указания пароля суперпользователя, пользователь должен ввести свой собственный пароль, войти под root с этим учетными данными не получится.
Еще одно важное обстоятельство, при использовании конвейера или перенаправления с правами суперпользователя будет выполнена только первая часть команды, так например в конструкции:
Sudo команда1 | команда2
с правами root будет выполнена только команда1 . А команда
Sudo cat sources.list > /etc/apt/sources.list
выдаст ошибку прав доступа так как запись в /etc/apt/sources.list будет происходить с правами обычного пользователя.
Чтобы выполнять сложные комбинации команд вы можете перейти в режим суперпользователя командой
что аналогично повышению прав командой su , однако пользовательское окружение от этого не изменится и в качестве домашнего будет использоваться каталог текущего пользователя, что удобно и безопасно. Каждый из администраторов будет иметь доступ только к своему домашнему каталогу.
Теперь самое время разобраться, кто имеет право использовать возможности sudo и в каком объеме. За настройки данной утилиты отвечает файл /etc/sudoers , несмотря на то, что это обычный конфигурационный файл для его редактирования настоятельно рекомендуется использовать команду:
Sudo visudo
Данная команда блокирует файл и осуществляет проверку синтаксиса, в противном случае вы рискуете из-за опечатки потерять административный доступ к ПК.
Синтаксис данного файла весьма прост. Например в самом конце файла содержится запись:
%admin ALL=(ALL) ALL
Это означает, что пользователи группы admin могут выполнять на любом хосте, от имени любого пользователя любую команду. Как мы можем легко убедиться с помощью команды groups в нашем случае пользователь andrey входит в группу admin , а пользователь petrov нет.
Но все достоинства данной утилиты заключаются в возможности гибко настроить параметры получения прав в каждом конкретном случае. Например:
Petrov ubuntu-lts=(andrey) ALL
Данная строка позволяет пользователю petrov выполнить любую команду на хосте ubuntu-lts от имени пользователя andrey . При указании команд следует указывать полный путь к ним, узнать его можно при помощи команды which
Например мы хотим разрешить пользователям petrov и sidorov выполнять выключение и перезагрузку компьютера, а также снимать задачи. При этом данные команды не должны требовать ввода пароля.
Еще одной приятной возможностью утилиты sudo является создание алиасов, так в нашем случае добавим в /etc/sudoers следующие строки:
User_Alias USERGROUP1 = petrov, sidorov
Cmnd_Alias CMDGROUP1 = /bin/kill, /sbin/reboot, /sbin/shutdown
Этим мы создали два алиаса USERGROUP1 , куда включили необходимых нам пользователей и CMDGROUP1 с набором нужных команд, в последствии мы можем править только алиасы, не затрагивая все правила, где они могут использоваться. Затем добавим правило:
USERGROUP1 ALL = (ALL) NOPASSWD:СMDGROUP1
которое позволит пользователям перечисленным в указанном алиасе выполнять на любом хосте от имени любого пользователя команды из приведенного алиаса без ввода пароля.
Кроме указанных двух, доступны алиасы и для имени хоста и пользователей от имени которых разрешено выполнять команды, например:
Host_Alias WWW = webserver1, webserver2
Runas_Alias WWW = www-data, www-developer
USERGROUP1 WWW = (WWW) ALL
Приведенный набор записей позволит пользователям входящим в USERGROUP1 выполнять любые команды от имени пользователей www-data и www-developer на веб-серверах компании.
Напоследок рассмотрим, как же быть, если учетная запись root все таки нужна. Все просто, чтобы включить ее достаточно задать пароль:
Sudo passwd root
Снова заблокировать учетную запись суперпользователя можно командой:
Sudo passwd -l root
Помните, что все административные задачи в Ubuntu можно решать с использованием утилиты sudo, поэтому не включайте учетную запись root без реальной необходимости!
Как видим, Ubuntu имеет богатые возможности управления административными правами, что позволяет гибко распределять права между несколькими администраторами, а также давать возможность повышения прав некоторым пользователям, причем делать это эффективно и безопасно.
Опция -c - добавить комментарий к пользователю
Опция -g sudo - доабавить пользователя в группу sudo.
Опция -s установит пользователю в качестве shell"а /bin/bash
Опция
-d
используется для указания домашней папки пользователя
Опция
-m
укажет на то что папку нужно создать немедленно:
Sudo useradd -c "Comment for user" -g sudo -d /home/NameUser -m -s /bin/bash NameUser
Установим пароль для пользователя NameUser:
Sudo passwd NameUser
Добавляем пользоваетля командой adduser
sudo useradd -c "Comment for user" -g sudo -d /home/NameUser -m -s /bin/bash NameUserВводим пароль, отвечаем на все поставленные вопросы, получаем пользователя с паролем и домашней директорией
Меняем пароль пользователя
sudo passwd NameUserДобавляем пользователя в группу sudo
usermod -a -G sudo NameUserДобавляем пользователя/группу пользователей в Sudores напрямую:
Отредактируем файл /etc/sudores.tmp редактором visudo
Sudo visudo
Дадим root-права пользователю с именем user_name
User_name ALL=(ALL:ALL) ALL
Дадим root-права группе пользователей group_name , добавив линию в файл sudoers -
Group_name ALL=(ALL:ALL) ALL
Пользователь и его группы
Смотрим доступные группы на хосте
Cat /etc/group
Проверяем существование группы examplegroup на хосте, где examplegroup интересующая вас группа
Grep examplegroup /etc/group
Проверяем/Узнаем в каких группах состоит пользователь (а так же его uid, gid)
Id NameUser
Добавляем существующего пользователя NameUser в существующую группу examplegroup
Usermod -g examplegroup NameUser
Удаление пользователя Ubuntu
Используем команду, папка пользователя не будет удалена
Sudo userdel NameUser
Удаляем папку если это необходимо
Sudo rm -r /home/NameUser/
Проверяем удалился ли пользователь, если вывода не последует значит пользователь удален
Sudo grep -R NameUser /etc/passwd --color
Вывксти список всех локальных пользоваетелей
sudo cat /etc/passwd sudo cat /etc/shadowДля более подробного вывода информации о пользователе установим пакет finger
Sudo apt-get install finger
Для просмотра информации о пользоваетеле NameUser выполним команду
Finger NameUser
Для вывода информации о всех пользователях в файл infoaboutalluser.txt создадим скрипт finger.sh
#!/bin/bash n=`cat /etc/passwd | cut -d: -f1` for i in $n; do echo "===============================================================" finger $i done
Выполним скрипт finger.sh и сохраним его содержимое в файл infoaboutalluser.txt
./finger.sh infoaboutalluser.txt
Вывести всех привелигированных пользователей:
egrep ":0:0:" /etc/passwdили не привелигированных
Egrep -v ":0:0:" /etc/passwd
Вывести всех пользователей, имена которых начинаются с букв abcd:
Cat /etc/passwd | grep "^.*"
Загрузка...
