RHCSA 8
  • Initial page
  • RHCA
  • Базовые утилиты
  • Управление файлами
  • Работа с текстом
  • Работа с RHEL сервером
  • Работа с группами и пользователями
  • Разрешения
  • Работа с сетью
  • Управление процессами
  • Управление ПО
  • Работа с systemd
  • Планирование задач
  • Логирование
  • Хранилища
  • Работа с ядром
  • Управление загрузкой
  • Траблшутинг
  • Bash скриптинг
  • SSH
  • HTTP сервисы
  • SELinux
  • Firewall
  • Автоматизация установки
  • Служба времени
  • Удаленный доступ к файлам
Powered by GitBook
On this page
  • Понятие пользователя
  • Атрибуты пользователей
  • Создание и управление пользователями
  • Управление дефолтными настройками
  • Passwd и shadow файлы
  • Особенности групп
  • Создание и управление группами
  • Управление паролями

Was this helpful?

Работа с группами и пользователями

Понятие пользователя

  • Пользователь (user) - является концептом безопасности в системе.

    • Пользователи создаются для предоставления людям или процессам доступа к системным ресурсам

  • Процессы используют системные аккаунты

  • Для людей используются регулярные пользовательские аккаунты

Атрибуты пользователей

  • Имя пользователя

  • Пароль

    • Пароль хранится в отдельном файле, etc/shadow, здесь он выставлен в x

  • UID - уникальный идентификатор пользователя

  • GID - идентификатор группы пользовалея

  • GECOS - дополнительная, необязательная информация о пользователе

  • Home Directory - среда, в которой пользователь создает личные файлы

  • Shell - программа, которая запускается при успешном логине пользователя

[admin@centos8 ~]$ sudo cat /etc/passwd
[sudo] password for admin: 
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
<...>
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
admin:x:1000:1000:Administrator:/home/admin:/bin/bash

Создание и управление пользователями

  • useradd - создание аккаунта пользователя

    • useradd -c - добавить информацию в GECOS

    • useradd -s - изменить shell для пользователя

    • useradd -p - установить пароль в шифрованном виде

  • usermod - изменения аккаунта пользователя

    • usermod -G - изменить группы

    • usermod -a - добавить пользователя в группу

  • userdel - удаление аккаунта пользователя

    • userdel -f - принудительное удаление

    • userdel -r - удаление с домашней папкой и почтой

  • passwd - назначить пароль для аккаунта

    • passwd -l - заблокировать пользователя

    • passwd -u - разблокировать пользователя

root@centos8 ~]# useradd -c test_user bill
[root@centos8 ~]# id bill
uid=1001(bill) gid=1001(bill) groups=1001(bill)
[root@centos8 ~]# usermod -aG  wheel bill
[root@centos8 ~]# id bill
uid=1001(bill) gid=1001(bill) groups=1001(bill),10(wheel)
[root@centos8 ~]# passwd bill
Changing password for user bill.
New password: 
BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@centos8 ~]# userdel -f bill
[root@centos8 ~]# id bill
id: ‘bill’: no such user

Управление дефолтными настройками

  • useradd -D - определяет настройки по-умолчанию для пользователя

  • Содержимое /etc/default/useradd применяется только для useradd

    • Параметр GROUP=100 является наследуемым признаком, ранее все пользователи помещались в группу USERS по-умолчанию, теперь механизм другой

  • Альтернативно, дефолтные настройки записываются в /etc/login.defs

[root@centos8 ~]# cat /etc/default/useradd 
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
[root@centos8 ~]# cat /etc/login.defs
#
# Please note that the parameters in this configuration file control the
# behavior of the tools from the shadow-utils component. None of these
# tools uses the PAM mechanism, and the utilities that use PAM (such as the
# passwd command) should therefore be configured elsewhere. Refer to
# /etc/pam.d/system-auth for more information.
#

# *REQUIRED*
#   Directory where mailboxes reside, _or_ name of file, relative to the
#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
#   QMAIL_DIR is for Qmail
#
#QMAIL_DIR	Maildir
MAIL_DIR	/var/spool/mail
#MAIL_FILE	.mail

# Password aging controls:
#
#	PASS_MAX_DAYS	Maximum number of days a password may be used.
#	PASS_MIN_DAYS	Minimum number of days allowed between password changes.
#	PASS_MIN_LEN	Minimum acceptable password length.
#	PASS_WARN_AGE	Number of days warning given before a password expires.
#
PASS_MAX_DAYS	99999
PASS_MIN_DAYS	0
PASS_MIN_LEN	5
PASS_WARN_AGE	7

#
# Min/max values for automatic uid selection in useradd
#
UID_MIN                  1000
UID_MAX                 60000
# System accounts
SYS_UID_MIN               201
SYS_UID_MAX               999

#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN                  1000
GID_MAX                 60000
# System accounts
SYS_GID_MIN               201
SYS_GID_MAX               999

#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD	/usr/sbin/userdel_local

#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is overridden with the -m flag on
# useradd command line.
#
CREATE_HOME	yes

# The permission mask is initialized to this value. If not specified, 
# the permission mask will be initialized to 022.
UMASK           077

# This enables userdel to remove user groups if no members exist.
#
USERGROUPS_ENAB yes

# Use SHA512 to encrypt password.
ENCRYPT_METHOD SHA512

  • Файлы в /etc/skel создаются для пользователя до момента создания home директории

    • Если поместить сюда файл, то он будет перенесен в домашнюю директорию пользователя

[root@centos8 ~]# ls -a /etc/skel
.  ..  .bash_logout  .bash_profile  .bashrc  .mozilla

Passwd и shadow файлы

  • /etc/passwd используется для хранения пользовательских параметров

    • Linux оперирует не именами, а ID

    • Рут всегда имеет ID, равный нулю

    • Соответственно если любой другой пользователь получит ID, равный нулю, то он получит полный доступ к системе

  • /etc/shadow хранит пользовательские пароли, вернее хэши от них

    • 18078 - время от 01 января 1970 года, когда был создан пароль для пользователя

    • Исчисление времени в Linux осуществляется с этой даты, 01.01.1970 называется EPOCH

    • 0 - PASS_MIN_DAYS

    • 99999 - PASS_MAX_DAYS

    • 7 - количество дней до истечения пароля, когда пользователь будет об этом уведомлен

    • !! - пароль отключен для пользователя

[root@centos8 ~]# cat /etc/shadow
root:$6$YGvvIZaEe.CzK00h$hdl/09uSQ19nMv/ckjbiPQj7Er5P5rhCpFiCVIRFfvL/LrP2OWHOVjIWFSf49XjEiYUsLx7n0rpy/Alxyj4IX/::0:99999:7:::
bin:*:18078:0:99999:7:::
daemon:*:18078:0:99999:7:::
<...>
tcpdump:!!:18268::::::
admin:$6$TCph1GHALnERxce.$f/iSPJynr5Pm2loplT7ZuE1zM690B2sHM0p7xzAPyAXMDB.JdN0iTimzWuwHztE9plDCp5.L.S9zly1Rue5Xf/::0:99999:7:::

  • /etc/group используется для хранения атрибутов групп

    • Число за x - держатель пароля группы, более неиспользуемая функция

    • bill - пользователь, для которого эта группа является secondary

      • Все пользователи являются членами primary группы, которая обозначена в GID в /etc/paswd, остальные группы для него будут secondary

[root@centos8 ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
<...>
slocate:x:21:
tcpdump:x:72:
admin:x:1000:bill
docker:x:976:
cgred:x:975:

Особенности групп

  • Каждый пользователь должен быть членом хотя бы одной группы

  • Принадлежность к Primary группе управляется через etc/passwd

  • Primary группа пользователя становится и владельцем файла, который создает пользователь

  • Secondary группы управляются через etc/groups

  • Команда id показывает принадлежность пользователя к группе

Создание и управление группами

  • groupadd - добавление групп

  • groupdel - удаление групп

  • groupmod - изменение параметров групп

  • lid -g <groupname> - показать пользователей в заданной группе

Управление паролями

  • Базовые требования к паролям хранятся в etc/login.defs

  • Для расширенных атрибутов могут быть использованы Pluggable Authentication Modules (PAM)

    • pam_tally2

  • chage - изменить пароль пользователя

[root@centos8 ~]# chage bill
Changing the aging information for bill
Enter the new value, or press ENTER for the default

	Minimum Password Age [0]: 3
	Maximum Password Age [99999]: 9
	Last Password Change (YYYY-MM-DD) [2020-02-23]: 
	Password Expiration Warning [7]: 7
	Password Inactive [-1]: 
	Account Expiration Date (YYYY-MM-DD) [-1]: 2020-02-28

  • passwd также позволяет управлять паролями (блокировка\разблокировка)

PreviousРабота с RHEL серверомNextРазрешения

Last updated 5 years ago

Was this helpful?