Temat: Tworzenie kont użytkowników w środowisku tekstowym
Użytkownicy i grupy mogą być w Linuksie lokalni i domenowi. Chociaż mają ze sobą wiele wspólnego, na razie zajmiemy się tylko tymi lokalnymi .
Każdy użytkownik i każda grupa ma w systemie swój identyfikator: w przypadku użytkowników to UID (ang. User ID), a w przypadku grup — GID (ang. Group ID). Ważną własnością każdego użytkownika jest to, że musi on należeć do co najmniej jednej grupy, tzw. grupy podstawowej (przy tworzeniu użytkownika tworzona automatycznie jest grupa o takiej samej nazwie jak użytkownik i do tej grupy należy zakładany użytkownik, oczywiście może należeć również do wielu innych grup). Kolejna kwestia to konto administratora systemu (konto wbudowane- istniejące po instalacji systemu). W Linuksie rolę tą pełni konto użytkownika root i filozofia dotycząca tego konta jest nieco odmienna od takowej w systemie Windows (standardowo w większości dystrybucji musimy uaktywnić konto root-a stosując polecenie su i nadać hasło, wówczas możemy korzystać z takiego konta). Mamy dwie główne różnice:
Administratorem w Linuksie może być tylko użytkownik root. Oczywiście można delegować uprawnienia administracyjne na wybranych użytkowników, jednak pozostają oni nadal zwykłymi użytkownikami.
Administrator w Linuksie ma pełne prawa i nikt mu ich nie może odebrać. Jest to zdecydowanie odmienna filozofia od tej w Windows — tam zwykły użytkownik może całkowicie odebrać administratorowi dostęp do swoich plików (oczywiście administrator może przejąć je na własność i zrobić porządek, jednak zmienia się wtedy stan systemu i nie może to pozostać niezauważone).
W procesie instalacji tworzymy nowe konto użytkownika (o dowolnej nazwie), które otrzymuje uprawnienia administracyjne i na to konto standardowo logujemy się po instalacji systemu.
Oczywiście później możemy tworzyć inne nowe konta z uprawnieniami administracyjnymi, chociaż standardowo są to konta bez uprawnień administracyjnych (ograniczone). Możliwości użytkownika danego konta wynikają z przynależności konta do określonych grup.
Katalogi domowe
Każdy użytkownik może mieć swój katalog domowy (profil). Domyślnie profile tworzone są w katalogu /home i nazwą jest nazwa użytkownika, np. /home/pawel, jednak nie ma żadnych ograniczeń, żeby katalogi domowe były w dowolnej lokalizacji i miały dowolną nazwę.
Wyjątkiem jest tutaj użytkownik root, który katalog domowy ma w folderze /root.
Warto wiedzieć, że katalog domowy aktualnie zalogowanego użytkownika jest oznaczany przez znak tyldy (~), czyli np. jeśli zalogowany jest pawel posiadający katalog domowy /home/pawel, to wydanie polecenia cd ~ spowoduje przejście do właśnie tego katalogu.
Hasła
Każde konto należy zabezpieczyć hasłem.Obecnie w Linuksie mamy dwa istotne fakty związane z hasłami:
Hasła są obecnie przechowywane w postaci funkcji skrótu MD5 lub SHA1. Własnością funkcji skrótu jest brak możliwości odzyskania z „szyfrogramu” oryginalnego tekstu (czyli w tym kontekście hasła), stąd też funkcje skrótu są także nazywane jednokierunkowymi.
Hasła są przechowywane w pliku /etc/shadow, Powłoka
Z każdym użytkownikiem jest powiązana powłoka. Powłoka to program, który będzie domyślnie dostępny po uruchomieniu wiersza poleceń. W szczególności, jeśli nie korzystamy z systemu graficznego, będzie to program wiersza poleceń dostępny po zalogowaniu. Najczęściej spotykaną
powłoką jest bash, inne to np. tcsh, csh, sh. Standardowo dystrybucje linuxa kozrystają z powłoki bash.
Pliki konfiguracyjne
W systemie Linux mamy trzy główne pliki konfiguracyjne, które stanowią bazę użytkowników i grup. Pliki te to:
/etc/passwd — zawiera podstawowe dane użytkowników,
/etc/shadow — zawiera informacje o hasłach,
/etc/group — zawiera informacje o grupach.
Plik /etc/passwd
Możemy odczytać zawartość pliku stosując polecenie np. sudo gedit /etc/passwd z wiersza poleceń gdzie: sudo podniesienie uprawnień, gedit -edytor tekstowy (jeśli nie jest zainstalowany można uzyć innego edytor np. nano), /etc/passwd -ścieżka do pliku.
Tutaj sytuacja jest bardzo prosta. Schemat jednego wiersza w pliku:
konto — nazwa użytkownika, zgodnie z konwencją bez wielkich liter,
hasło — kiedyś było tu hasło, obecnie jest znak x,
UID — ID użytkownika,
GID — ID grupy podstawowej,
opis — tzw. poleGECOS, informacje o koncie ustawiane przez polecenie chfn; zwykle w formacie listy przecinkowej zawierającej imię i nazwisko, nr pokoju, telefon służbowy, telefon domowy, inne,
katalog — ścieżka do katalogu domowego,
powłoka — domyślny program wiersza poleceń.
Przykładowy fragment pliku:
dhcpd:x:103:65534:DHCP server daemon:/var/lib/dhcp:/bin/false ftp:x:40:49:FTP account:/srv/ftp:/bin/bash
games:x:12:100:Games account:/var/games:/bin/bash
gdm:x:50:105:Gnome Display Manager daemon:/var/lib/gdm:/bin/false haldaemon:x:101:102:User for haldaemon:/var/run/hal:/bin/false ldap:x:76:70:User for OpenLDAP:/var/lib/ldap:/bin/bash ntp:x:74:103:NTP daemon:/var/lib/ntp:/bin/false
postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false root:x:0:0:root:/root:/bin/bash
wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false
pawel:x:1001:100:Paweł Rajba,340,71333,71444,Brak:/home/pawel:/bin/bash
Plik /etc/shadow
Możemy odczytać zawartość pliku stosując analogiczne polecenie jak dla pliku passwd np. sudo gedit /etc/shadow z wiersza poleceń
Jak wyżej wspomniano, plik ten zawiera informacje o hasłach użytkowników. Schemat pojedynczego wiersza pliku:
nazwa użytkownika,
zakodowane hasło, zwykle poprzez funkcję SHA1 lub MD5,
liczba dni od 1.1.1970 do daty ostatniej zmiany hasła,
liczba dni od ostatniej zmiany hasła, podczas których nie można hasła zmienić (okres min),
liczba dni od ostatniej zmiany hasła, po których zmiana hasła jest wymagana; inaczej:
okres ważności hasła) (okres max),
liczba dni przed wygaśnięciem hasła, podczas których użytkownik będzie informowany o konieczności zmiany hasła (okres warn),
liczba dni licząc od ostatniego dnia kiedy można było zmienić hasło, podczas których użytkownik może jeszcze zmienić hasło; inaczej: hasło straciło już ważność, czyli nie można się za jego pomocą zalogować, ale można za jego pomocą zmienić je na nowe hasło (okres inactive)
o po tych dniach konto zostanie zablokowane,
o po zablokowaniu niezbędny jest kontakt z administratorem systemu,
liczba dni od 1.1.1970 do momentu (dnia), którym konto zostało/zostanie zablokowane,
zarezerwowane.
Przykłądowy fragment pliku
root:$6$4LzEEeAa$jBf6yGHmzNk3CD9EUneW1i39wcKjjVA240nek1zZ5xr3ltV1Ql9wiz20k3G/TUu/j8iyui62pV0c Co1f3Wlk20:16863:0:99999:7:::
daemon:*:16273:0:99999:7:::
bin:*:16273:0:99999:7:::
sys:*:16273:0:99999:7:::
sync:*:16273:0:99999:7:::
games:*:16273:0:99999:7:::
man:*:16273:0:99999:7:::
lp:*:16273:0:99999:7:::
uczen:$6$NCf1zH8A$KJleJ77z9F8I8WES.FOU280tPOtL0hQYEne..Ecea.jyQRgpeASd0dKzqLsqr2t07qq01bKFFym Sq6eaYCSsi.:16822:0:99999:7:::
Plik /etc/group
Polecenie: sudo gedit /etc/group
Ostatnim plikiem jest plik /etc/group, który zawiera informacje o grupach. Schemat pojedynczego wiersza:
nazwa grupy
hasło grupy
GID
lista użytkowników w grupie (np. bea, pawel) Przykłądowy fragment pliku
whoopsie:x:117:
mlocate:x:118:
avahi-autoipd:x:119:
avahi:x:120:
bluetooth:x:121:
scanner:x:122:saned sambashare:x:128:student vboxadd:x:1001:
vboxsf:x:999:
student:x:1002:student
POLECENIA KONSOLOWE DO ZARZĄDZANIA UŻYTKOWNIKAMI I GRUPAMI 1. Aby utworzyć nową grupę :
groupadd nazwa_grupy
2. Aby usunąć grupę :
groupdel nazwa_grupy
3. Aby sprawdzić do jakich grup należysz :
groups nazwa_użytkownika
4. Aby dodać nowego użytkownika systemu :
adduser nazwa_użytkownika
lub (mniej praktyczne - wymaga dodatkowego tworzenia elementów powiązanych z użytkownikiem)
useradd nazwa_użytkownika
5. Możesz dodać użytkownika do grupy :
adduser nazwa_użytkownika nazwa_grupy
6. Zmiana hasła użytkownika (tutaj: pavroo) – nie musisz być zalogowany jako administrator – zmieniasz własne hasło :
passwd
7. Zmiana hasła innego użytkownika (tutaj: nowy1), musisz być jako administrator :
passwd nowy1
8. Usunięcie użytkownika systemu :
userdel nazwa_użytkownika
9. Usunięcie użytkownika wraz z jego katalogiem domowym i wszystkimi plikami :
userdel -r nazwa_użytkownika
10. Aby sprawdzić nazwę użytkownika, na którego koncie aktualnie pracujesz :
whoami
11. Aby sprawdzić ID bieżącego użytkownika oraz do jakich grup należy :
id
12. Aby sprawdzić ID wybranego użytkownika oraz do jakich grup należy :
id nazwa_użytkownika
13. Lista zalogowanych użytkowników systemu :
users
14. Aby dowiedzieć się więcej o zalogowanych użytkownikach :
who
15. Jeszcze więcej dowiesz się o użytkownikach, poleceniem :
w
lub :
finger nazwa_użytkownika
Ćwiczenie:
1. Wyświetl i przeglądnij zawartość plików konfiguracyjnych : passwd, shadow, group 2. Utwórz konto dla użytkownika Kermit wraz z katalogiem domowym.
3. Utwórz konto dla użytkownika Piggy wykorzystując skrypt adduser, ale katalog domowy ma być ustawiony na /muppety/Piggy (skonfiguruj wcześniej odpowiedni plik).
4. Zmodyfikuj odpowiedni plik, aby maksymalny okres pomiędzy zmianami hasła dla użytkownika Piggy wynosił 365 dni.
5. Skonfiguruj odpowiedni plik, aby używająć skryptu deluser, usuwany był katalog domowy użytkownika, ale po wcześniejszym backupie.
6. Utwórz grupę muppety.
7. Dodaj do grupy muppety użytkowników Kermit oraz Piggy.
8. Przenieś odpowiednim poleceniem katalog domowy dla użytkownika Kermit na /muppety/Kermit.
9. Zablokuj hasło użytkownikowi Piggy.
Zadanie domowe:
1. Utwórz konto użytkownika Banan wraz z katalogiem domowym za pomoca polecenia adduser z hasłem P@ssw0rd
2. Utwórz konto użytkownika Kiwi wraz z katalogiem domowym za pomoca polecenia useradd z hasłem P@ssw0rd (poszukaj informacji).
3. Zaloguj się z konsoli kolejno na utworzonych użytkowników (polecenie: su nazwa uzytkownika)
4. Przeloguj się na wcześniejsze konto administracyjne 5. Utwórz grupę Owoce.
6. Dodaj do grupy Owoce użytkowników Banan oraz Kiwi.
7. Przenieś odpowiednim poleceniem katalog domowy użytkownika Banan do /Owoce/Banan.
8. Usuń konto użytkownika Banan.
