LFCA: Léiert User Account Management - Deel 5

Als Linux System Administrateur kritt Dir d'Aufgab fir de glate Floss vun all IT Operatiounen an Ärer Organisatioun ze garantéieren. Gitt datt e puer IT Operatiounen intertwined sinn, huet e Systemadministrator normalerweis vill Hüts, dorënner eng Datebank oder Netzwierkadministrator.

Dësen Artikel ass Deel 5 vun der LFCA Serie, hei an dësem Deel wäert Dir Iech mat den allgemenge Systemverwaltungsbefehle vertraut fir Benotzer an engem Linux System ze kreéieren an ze verwalten.

Benotzerkont Management am Linux

Eng vun de primäre Verantwortung vun engem Linux System Administrateur ass d'Benotzer an engem Linux System ze kreéieren an ze verwalten. All Benotzerkont huet 2 eenzegaarteg Identifizéierer: de Benotzernumm an d'Benotzer ID (UID).

Wesentlech ginn et 3 Haaptkategorien vu Benotzer am Linux:

De Root Benotzer ass de mächtegste Benotzer an engem Linux System a gëtt normalerweis während dem Installatiounsprozess erstallt. De Root Benotzer huet absolut Kraaft am Linux System oder all aner UNIX-ähnlech OS. De Benotzer kann Zougang zu all Kommandoen, Dateien an Verzeichnisser kréien an de System op hir Präferenz änneren.

De Root Benotzer kann de System aktualiséieren, Packagen installéieren an deinstalléieren, aner Benotzer addéieren oder ewechhuelen, Permissiounen zouginn oder zréckzéien, an all aner Systemverwaltungsaufgaben ouni Restriktiounen ausféieren.

De Root Benotzer ka just iwwer alles am System maachen. D'Annam vu Linux an UNIX-ähnleche Systemer ass datt Dir ganz gutt wësst wat Dir mam System maacht. Dat gesot, de Root Benotzer kann de System einfach briechen. Alles wat et brauch ass fir Iech e fatale Kommando auszeféieren, an de System wäert an Damp sinn.

Aus dësem Grond, lafen Kommandoen als Root Benotzer ass héich decouragéiert. Amplaz verlaangt gutt Praxis datt Dir e Sudo Benotzer konfiguréieren. Dat ass Sudo Privilegien un engem reguläre Benotzer ze ginn fir gewësse administrativ Aufgaben auszeféieren an e puer Aufgaben nëmmen op de Root Benotzer ze beschränken.

E reguläre Benotzer ass en normale Login Benotzer dee vun engem Systemadministrator erstallt ka ginn. Normalerweis gëtt et eng Bestëmmung fir een während dem Installatiounsprozess ze kreéieren. Wéi och ëmmer, Dir kënnt nach ëmmer sou vill regelméisseg Benotzer erstellen wéi néideg no der Installatioun.

E reguläre Benotzer kann nëmmen Aufgaben ausféieren an Zougang zu Dateien an Verzeichnisser fir déi se autoriséiert sinn. Wann néideg, kann e reegelméissege Benotzer erhiefte Privilegien ginn fir administrativ Aufgaben auszeféieren. Regelméisseg Benotzer kënnen och geläscht oder behënnert ginn wann et néideg ass.

Dëst ass en Net-Login Kont deen erstallt gëtt wann e Software Package installéiert ass. Esou Konte gi vu Servicer benotzt fir Prozesser am System auszeféieren. Si sinn net entworf oder geduecht fir all Routine oder administrativ Aufgaben am System auszeféieren.

Benotzer Management Dateien

Informatioun iwwer Benotzer an engem Linux System gëtt an de folgende Dateien gespäichert:

  • D' /etc/passwd Datei
  • D' /etc/group Datei
  • D' /etc/gshadow Datei
  • D' /etc/shadow Datei

Loosst eis all Datei verstoen a wat et mécht:

D'/etc/passwd Datei enthält zimmlech vill Informatioun iwwer Benotzer déi a verschiddene Felder enthale sinn. Fir den Inhalt vun der Datei ze gesinn, benotzt einfach de Kaz Kommando wéi gewisen.

$ cat /etc/passwd

Hei ass en Ausschnëtt vum Ausgang.

tecmint:x:1002:1002:tecmint,,,:/home/tecmint:/bin/bash

Loosst eis op déi éischt Linn konzentréieren an déi verschidde Felder ausféieren. Vun wäit lénks un hu mir déi folgend:

  • De Benotzernumm: Dëst ass den Numm vum Benotzer, an dësem Fall, tecmint.
  • D'Passwuert: Déi zweet Kolonn representéiert dat verschlësselte Passwuert vum Benotzer. D'Passwuert gëtt net am Kloertext gedréckt, amplaz gëtt e Plazhalter mat engem X Zeechen benotzt.
  • Den UID: Dëst ass d'Benotzer ID. Et ass en eenzegaartegen Identifizéierer fir all Benotzer.
  • De GID: Dëst ass d'Grupp ID.
  • Eng kuerz Beschreiwung oder Resumé vum Benotzer.
  • Dëst ass de Wee zum Heemverzeechnes vum Benotzer. Fir tecmint Benotzer hu mir /home/tecmint.
  • Dëst ass d'Login Shell. Fir regelméisseg Login Benotzer gëtt dëst normalerweis als /bin/bash duergestallt. Fir Servicekonten wéi SSH oder MySQL gëtt dëst normalerweis als /bin/false duergestallt.

Dëse Fichier enthält Informatiounen iwwer d'Benotzergruppen. Wann e Benotzer erstallt gëtt, erstellt d'Shell automatesch eng Grupp, déi dem Benotzernumm vum Benotzer entsprécht. Dëst ass bekannt als primär Grupp. De Benotzer gëtt bei der Schafung an de primäre Grupp bäigefüügt.

Zum Beispill, wann Dir e Benotzer mam Numm Bob erstellt, erstellt de System automatesch e Grupp mam Numm Bob an füügt de Benotzer Bob an de Grupp.

$ cat /etc/group

tecmint:x:1002:

D'/etc/group Datei huet 3 Kolonnen. Vun wäit lénks hu mir:

  • Grupp Numm. All Gruppnumm muss eenzegaarteg sinn.
  • Grupp Passwuert. Normalerweis duerch en x Plazhalter vertrueden.
  • Grupp ID (GID)
  • Grupp Memberen. Dëst sinn Memberen déi zu der Grupp gehéieren. Dëst Feld bleift eidel wann de Benotzer deen eenzege Member an der Grupp ass.

NOTÉIERT: E Benotzer kann Member vu verschiddene Gruppen sinn. Och e Grupp kann e puer Memberen hunn.

Fir d'Gruppen ze bestätegen, zu deenen e Benotzer gehéiert, fuert de Kommando:

$ groups username

Zum Beispill, fir d'Gruppen ze kontrolléieren, zu deenen de Benotzer tecmint gehéiert, fuert de Kommando:

$ groups tecmint

D'Ausgab bestätegt datt de Benotzer zu zwou Gruppen gehéiert: tecmint an sudo.

tecmint : tecmint sudo

Dëse Fichier enthält verschlësselte oder 'schattéiert' Passwierder fir Gruppekonten a kënnen aus Sécherheetsgrënn net vun normale Benotzer zougänglech sinn. Et ass nëmme liesbar vum Root Benotzer a Benotzer mat sudo Privilegien.

$ sudo cat /etc/gshadow

tecmint:!::

Vun wäit lénks, enthält de Fichier déi folgend Felder:

  • Gruppnumm
  • Verschlësselte Gruppepasswuert
  • Grupp Admin
  • Grupp Memberen

D'/etc/shadow Datei späichert d'Benotzer aktuell Passwierder an engem hashed oder verschlësselte Format. Erëm sinn d'Felder Colon-getrennt an huelen d'Format gewisen.

$ sudo cat /etc/shadow

tecmint:$6$iavr8PAxxnWmfh6J$iJeiuHeo5drKWcXQ.BFGUrukn4JWW7j4cwjX7uhH1:18557:0:99999:7:::

De Fichier huet 9 Felder. Vun wäit lénks un hu mir:

  • De Benotzernumm: Dëst ass Äre Loginnumm.
  • D'Passwuert vum Benotzer. Dëst gëtt an engem hashed oder verschlësselte Format presentéiert.
  • Déi lescht Passwuertännerung. Dëst ass den Datum zënter dem Passwuert geännert gouf a gëtt zënter dem Epochdatum berechent. Epoch ass den 1. Januar 1970.
  • De Minimum Passwuert Alter. Dëst ass d'Mindestzuel vun Deeg, déi musse verlafe ier e Passwuert agestallt ka ginn.
  • De maximale Passwuertalter. Dëst ass déi maximal Unzuel u Deeg no deenen e Passwuert muss geännert ginn.
  • D'Warnungsperiod. Wéi den Numm et scho seet, ass dëst d'Zuel vun de Deeg kuerz ier e Passwuert ofleeft, datt e Benotzer vun der kommender Passwuert Verfall informéiert gëtt.
  • D'Inaktivitéitsperiod. D'Zuel vun Deeg nodeems e Passwuert ofleeft, datt e Benotzerkont deaktivéiert ass ouni datt de Benotzer d'Passwuert ännert.
  • Den Verfallsdatum. Den Datum wou de Benotzerkont ofgelaf ass.
  • Reservéiert Feld. – Dëst bleift eidel.

Wéi fügen ech Benotzer an engem Linux System

Fir Debian an Ubuntu Verdeelungen gëtt den Adduser Utility benotzt fir Benotzer ze addéieren.

D'Syntax ass ganz einfach an einfach.

# adduser username

Zum Beispill, fir e Benotzer mam Numm bob derbäi ze ginn, fuert de Kommando

# adduser bob

Vun der Ausgab gëtt e Benotzer mam Numm 'bob' erstallt a gëtt an eng nei erstallt Grupp mam Numm 'bob' bäigefüügt. Zousätzlech erstellt de System och en Heemverzeichnis a kopéiert Konfiguratiounsdateien an et.

Duerno, wäert Dir fir den neie Benotzer d'Passwuert gefrot ginn an dann confirméieren. D'Schuel freet Iech och fir de ganzen Numm vum Benotzer an aner fakultativ Informatioun wéi Zëmmernr an Aarbechtstelefon. Dës Informatioun ass net wierklech néideg, also ass et sécher ze iwwersprangen. Schlussendlech dréckt 'Y' fir ze bestätegen datt d'Informatioun richteg ass.

Fir RHEL & CentOS-baséiert Systeme benotzt de useradd Kommando.

# useradd bob

Als nächst setzt de Passwuert fir de Benotzer mat dem Passwd Kommando wéi follegt.

# passwd bob

Wéi läschen Benotzer an engem Linux System

Fir e Benotzer aus dem System ze läschen, ass et unzeroden de Benotzer als éischt ze spären fir sech an de System ze protokolléieren wéi gewisen.

# passwd -l bob

Wann Dir wëllt, kënnt Dir d'Dateien vum Benotzer mat dem Tar Kommando backen.

# tar -cvf /backups/bob-home-directory.tar.bz2  /home/bob

Schlussendlech, fir de Benotzer zesumme mam Heemverzeechnes ze läschen, benotzt de Deluser Kommando wéi follegt:

# deluser --remove-home bob

Zousätzlech kënnt Dir de Userdel Kommando benotzen wéi gewisen.

# userdel -r bob

Déi zwee Kommandoen läschen de Benotzer niewent hiren Heemverzeichnisser komplett.

Dat war en Iwwerbléck iwwer d'Benotzermanagementbefehl déi nëtzlech beweise besonnesch wann Dir Benotzerkonten an Ärem Büroëmfeld verwalten. Probéiert hinnen vun Zäit zu Zäit fir Är Systemadministratiounsfäegkeeten ze schärfen.