การจัดการผู้ใช้เป็นทักษะที่สำคัญ ผู้ดูแลระบบ สภาพแวดล้อมลินุกซ์- ตามกฎแล้วใน ระบบใหม่ตามค่าเริ่มต้นจะมีผู้ใช้เพียงคนเดียวเท่านั้น - รูท

บัญชีรูทมีสิทธิ์พิเศษมากมายและมีความยืดหยุ่นสูง แต่การใช้งานเซิร์ฟเวอร์ในฐานะรูทอย่างต่อเนื่องนั้นเป็นสิ่งที่ไม่แนะนำอย่างยิ่ง ความจริงก็คือว่าผู้ใช้รูทมีสิทธิ์โดยสมบูรณ์อาจทำให้ระบบและเซิร์ฟเวอร์เสียหายโดยไม่สามารถแก้ไขได้โดยไม่ได้ตั้งใจ ดังนั้นสำหรับงานประจำวัน คุณจะต้องสร้างผู้ใช้เพิ่มเติมที่มีสิทธิ์ปกติ จากนั้นจึงโอนสิทธิ์ผู้ใช้ขั้นสูงให้กับเขา คุณยังสามารถสร้างบัญชีเพิ่มเติมสำหรับผู้ใช้รายอื่นที่ต้องการเข้าถึงเซิร์ฟเวอร์ได้

คู่มือนี้จะสอนวิธีสร้างบัญชีผู้ใช้ใหม่ โอนสิทธิ์ sudo และลบผู้ใช้

การเพิ่มผู้ใช้

หากต้องการเพิ่มผู้ใช้ใหม่เข้ากับเซสชัน root ให้ป้อน:

ขณะอยู่ในเซสชันผู้ใช้ที่ไม่ใช่รูทด้วยการเข้าถึง sudo คุณสามารถเพิ่มผู้ใช้ใหม่โดยใช้คำสั่ง:

sudo adduser ผู้ใช้ใหม่

ทีมงานจะนำเสนอ:

• ตั้งค่าและยืนยันรหัสผ่าน
• ป้อนข้อมูลผู้ใช้เพิ่มเติม นี่เป็นทางเลือก เพื่อยอมรับข้อมูลเริ่มต้น เพียงกด Enter
• ยืนยันว่าข้อมูลที่ให้มานั้นถูกต้อง (กด Enter)

ผู้ใช้ใหม่พร้อมแล้ว! ตอนนี้คุณสามารถเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้มัน

การตั้งค่าการอนุญาต sudo

เพื่อให้สามารถใช้บัญชีใหม่เพื่อดำเนินงานด้านการดูแลระบบได้ คุณต้องอนุญาตให้ผู้ใช้เข้าถึงคำสั่ง sudo ซึ่งสามารถทำได้สองวิธี:

1. เพิ่มผู้ใช้ในกลุ่ม sudo
2. แก้ไขการตั้งค่า sudo ในไฟล์ /etc/sudoers

การเพิ่มผู้ใช้ในกลุ่ม sudo

บน Ubuntu 16.04 ผู้ใช้ทุกคนที่เป็นสมาชิกของกลุ่ม sudo จะสามารถเข้าถึงคำสั่ง sudo ได้ตามค่าเริ่มต้น

เพื่อค้นหาว่าคุณอยู่ในกลุ่มใด ผู้ใช้ใหม่, เข้า:

คำสั่งจะกลับมา:

ผู้ใช้ใหม่: ผู้ใช้ใหม่

ตามค่าเริ่มต้น ผู้ใช้ใหม่ของระบบแต่ละคนจะรวมอยู่ในกลุ่มที่มีชื่อเดียวกันเท่านั้น หากต้องการเพิ่มผู้ใช้ในกลุ่ม ให้ป้อน:

usermod -aG sudo ผู้ใช้ใหม่

แฟล็ก –aG จะเพิ่มผู้ใช้ในกลุ่มที่อยู่ในรายการ

กำลังทดสอบการตั้งค่า

ตอนนี้เราต้องแน่ใจว่าผู้ใช้ใหม่สามารถเข้าถึงคำสั่ง sudo ได้

ตามค่าเริ่มต้น คำสั่งในเซสชันผู้ใช้ใหม่จะถูกเรียกใช้ในลักษณะนี้:

หากต้องการรันคำสั่งในฐานะผู้ดูแลระบบ ให้เพิ่ม sudo ที่จุดเริ่มต้นของคำสั่ง:

sudo some_command

ระบบจะถามรหัสผ่านของผู้ใช้ปัจจุบัน

แก้ไขไฟล์ /etc/sudoers

อีกวิธีหนึ่งในการเพิ่มสิทธิพิเศษของผู้ใช้คือการแก้ไขไฟล์ sudoers เมื่อต้องการทำเช่นนี้ ให้ใช้คำสั่ง visudo ซึ่งช่วยให้คุณสามารถเปิดไฟล์ /etc/sudoers ในโปรแกรมแก้ไข และระบุสิทธิ์ของผู้ใช้ระบบแต่ละรายอย่างชัดเจน

ขอแนะนำให้แก้ไขไฟล์ sudoers โดยใช้ visudo โดยเฉพาะ เนื่องจากคำสั่งนี้จะบล็อกการแก้ไขหลายรายการพร้อมกัน และตรวจสอบเนื้อหาก่อนที่จะเขียนทับไฟล์ ซึ่งจะป้องกันข้อผิดพลาดในการกำหนดค่า sudo ที่อาจส่งผลให้สูญเสียสิทธิ์

หากคุณอยู่ในเซสชันรูท ให้ป้อน:

ในเซสชันผู้ใช้ที่ไม่ใช่รูทที่มีสิทธิ์เข้าถึง sudo ให้ป้อน:

โดยทั่วไป visudo จะเปิด /etc/sudoers ในตัวแก้ไข vi ซึ่งอาจทำให้มือใหม่สับสนได้ โดยค่าเริ่มต้นในใหม่ การติดตั้งอูบุนตู visudo ใช้โปรแกรมแก้ไขนาโนที่คุ้นเคยมากกว่า ใช้ปุ่มลูกศรเพื่อเลื่อนเคอร์เซอร์ ค้นหาบรรทัด:

รูท ALL=(ทั้งหมด:ทั้งหมด) ทั้งหมด

คัดลอกบรรทัดนี้และวางด้านล่าง โดยแทนที่ root ด้วยชื่อผู้ใช้ที่คุณต้องการโอนสิทธิ์ superuser ให้

รูท ALL=(ทั้งหมด:ทั้งหมด) ทั้งหมด
ผู้ใช้ใหม่ ALL=(ทั้งหมด:ทั้งหมด) ทั้งหมด

เพิ่มบรรทัดเช่นนี้สำหรับผู้ใช้แต่ละรายที่ต้องการสิทธิพิเศษเพิ่มเติม บันทึกและปิดไฟล์

กำลังลบผู้ใช้

บัญชีที่ไม่จำเป็นสามารถลบได้

หากต้องการลบผู้ใช้แต่ออกจากไฟล์ ให้ป้อน:

เป็นราก
ผู้ใช้ใหม่ผู้หลงผิด
ยังไง ผู้ใช้ปกติพร้อมสิทธิพิเศษเพิ่มเติม:
sudo deluser ผู้ใช้ใหม่

หากต้องการลบผู้ใช้พร้อมกับโฮมไดเร็กตอรี่ ให้ใช้:

ในเซสชันผู้ใช้รูท
deluser --remove-home ผู้ใช้ใหม่
ในเซสชันผู้ใช้พร้อมสิทธิพิเศษเพิ่มเติม:
sudo deluser --remove-home ผู้ใช้ใหม่

หากผู้ใช้ระยะไกลมีสิทธิ์ superuser คุณจะต้องลบสิทธิ์เหล่านี้โดยการแก้ไขไฟล์:

วิสุโด้
หรือ
ซูโด้ วิซูโด
รูต ALL=(ทั้งหมด:ทั้งหมด) ทั้งหมด
newuser ALL=(ALL:ALL) ALL # ลบบรรทัดนี้

หากบรรทัดยังคงอยู่ในไฟล์ และมีผู้ใช้ชื่อเดียวกันปรากฏในระบบ เขาจะได้รับสิทธิพิเศษเพิ่มเติมโดยอัตโนมัติ สิ่งนี้จะไม่เกิดขึ้นตอนนี้

บทสรุป

การจัดการผู้ใช้เป็นทักษะที่จำเป็นเมื่อดูแลเซิร์ฟเวอร์ Ubuntu 16.04 จะช่วยให้คุณสามารถแยกผู้ใช้และให้สิทธิ์การเข้าถึงที่จำเป็นในการทำงานเท่านั้น

เพื่อรับ ข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่า sudo ลองดูไฟล์.

ตัวเลือก -c - เพิ่มความคิดเห็นให้กับผู้ใช้
ตัวเลือก -g sudo - เพิ่มผู้ใช้ในกลุ่ม sudo
ตัวเลือก -s จะตั้งค่าเชลล์ของผู้ใช้เป็น /bin/bash
ตัวเลือก -d ใช้เพื่อระบุโฟลเดอร์โฮมของผู้ใช้
ตัวเลือก -ม จะระบุว่าจำเป็นต้องสร้างโฟลเดอร์ทันที:

Sudo useradd -c "ความคิดเห็นสำหรับผู้ใช้" -g sudo -d /home/NameUser -m -s /bin/bash NameUser

ตั้งรหัสผ่านสำหรับผู้ใช้ NameUser:

Sudo passwd NameUser

เพิ่มผู้ใช้โดยใช้คำสั่ง adduser

ป้อนรหัสผ่าน ตอบคำถามทุกข้อ รับผู้ใช้พร้อมรหัสผ่านและโฮมไดเร็กตอรี่

การเปลี่ยนรหัสผ่านผู้ใช้

เพิ่มผู้ใช้ในกลุ่ม sudo

เพิ่มผู้ใช้/กลุ่มผู้ใช้ไปที่ Sudores โดยตรง:

มาแก้ไขไฟล์กันเถอะ /etc/sudores.tmpบรรณาธิการ วิสุโด้

สุดวิสัย

ให้สิทธิ์รูทแก่ผู้ใช้ที่ชื่อ ชื่อผู้ใช้

User_name ALL=(ทั้งหมด:ทั้งหมด) ทั้งหมด

ให้สิทธิ์รูทแก่กลุ่มผู้ใช้ group_nameโดยเพิ่มบรรทัดลงในไฟล์ sudoers -

Group_name ALL=(ทั้งหมด:ทั้งหมด) ทั้งหมด

ผู้ใช้และกลุ่มของเขา

เราดูกลุ่มที่มีอยู่ในโฮสต์

แมว /etc/group

การตรวจสอบการมีอยู่ของกลุ่ม กลุ่มตัวอย่าง บนโฮสต์โดยที่ examplegroup คือกลุ่มที่คุณสนใจ

กลุ่มตัวอย่าง Grep /etc/group

เราตรวจสอบ/ค้นหาว่าผู้ใช้อยู่ในกลุ่มใด (รวมถึง uid, gid ของเขา)

ไอดี NameUser

เพิ่มผู้ใช้ NameUser ที่มีอยู่ในกลุ่มตัวอย่างกลุ่มที่มีอยู่

Usermod -g ตัวอย่างกลุ่ม NameUser

การลบผู้ใช้ Ubuntu

เราใช้คำสั่งโฟลเดอร์ของผู้ใช้จะไม่ถูกลบ

ผู้ใช้ Sudodel NameUser

ลบโฟลเดอร์หากจำเป็น

Sudo rm -r /home/ชื่อผู้ใช้/

เราตรวจสอบว่าผู้ใช้ถูกลบหรือไม่ หากไม่มีเอาต์พุต ผู้ใช้จะถูกลบแล้ว

Sudo grep -R NameUser /etc/passwd --color

แสดงรายการผู้ใช้ภายในเครื่องทั้งหมด

หากต้องการแสดงข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับผู้ใช้ ให้ติดตั้งแพ็คเกจ นิ้ว

นิ้วติดตั้ง Sudo apt-get

หากต้องการดูข้อมูลเกี่ยวกับผู้ใช้ NameUser ให้รันคำสั่ง

นิ้วมือ ชื่อผู้ใช้งาน

เพื่อส่งออกข้อมูลเกี่ยวกับผู้ใช้ทั้งหมดไปยังไฟล์ infoaboutalluser.txtมาสร้างสคริปต์กันดีกว่า นิ้ว.ช

#!/bin/bash n=`cat /etc/passwd | ตัด -d: -f1` สำหรับฉันใน $n; ทำเสียงสะท้อน "=============================================== ============================ ================ "นิ้ว $ ฉันทำเสร็จแล้ว

มารันสคริปต์กันเถอะ นิ้ว.ชและบันทึกเนื้อหาลงในไฟล์ infoaboutalluser.txt

./finger.sh infoaboutalluser.txt

รายชื่อผู้ใช้ที่มีสิทธิ์ทั้งหมด:

หรือไม่ได้รับสิทธิพิเศษ

Egrep -v ":0:0:" /etc/passwd

รายชื่อผู้ใช้ทั้งหมดที่มีชื่อขึ้นต้นด้วยตัวอักษร abcd:

แมว /etc/passwd | grep "^.*"

ดังที่คำตอบของผู้อ่านแสดงให้เห็น ปัญหาการแยกสิทธิ์การดูแลระบบใน Ubuntu ยังคงไม่ชัดเจนสำหรับผู้ดูแลระบบมือใหม่ส่วนใหญ่ ดังนั้นเราจึงตัดสินใจที่จะนำความชัดเจนมาสู่ปัญหานี้ด้วยเนื้อหานี้ ดังนั้นหากคุณไม่รู้ว่า su แตกต่างจาก sudo อย่างไร คุณซ่อนรูทไว้ที่ไหน ฯลฯ ฯลฯ ถึงเวลาที่จะเริ่มศึกษาบทความของเรา

เริ่มต้นด้วยการพูดนอกเรื่องเล็กน้อย ระบบสิทธิ์ผู้ดูแลระบบ Linux ย้อนกลับไปใน Unix OS และดังนั้นจึงมีความเหมือนกันมากกับระบบที่คล้าย Unix อื่นๆ: BSD, Solaris, MacOS ในเวลาเดียวกัน การแจกแจงที่แตกต่างกันก็มีคุณสมบัติการใช้งานเฉพาะของตัวเองเช่นกัน ตัวอย่างที่เฉพาะเจาะจงเราจะพูดถึงตระกูล Ubuntu แต่การรู้กฎทั่วไปจะช่วยให้คุณเข้าใจสภาพแวดล้อมของระบบปฏิบัติการที่คล้าย Unix อื่น ๆ ได้อย่างง่ายดาย

ผู้ใช้มีสิทธิ์การดูแลระบบแบบเต็มใน Linux รากซึ่งสิทธิ์ไม่สามารถจำกัดได้ ดังนั้นการทำงานในแต่ละวันในนามของผู้ใช้รายนี้จึงไม่เป็นที่พึงปรารถนาอย่างยิ่ง: การกระทำที่ไม่ระมัดระวังของผู้ใช้อาจนำไปสู่ความเสียหายต่อระบบได้ และการประนีประนอมบัญชีนี้จะทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ไม่จำกัด

ดังนั้นจึงมีการใช้รูปแบบที่แตกต่างกันใน Linux: ผู้ใช้ทั้งหมดรวมถึงผู้ดูแลระบบ ทำงานภายใต้บัญชีที่จำกัด และเพื่อดำเนินการด้านการดูแลระบบ พวกเขาใช้กลไกการยกระดับสิทธิ์อย่างใดอย่างหนึ่ง ในการทำเช่นนี้คุณสามารถเพิ่มสิทธิ์โดยใช้ยูทิลิตี้นี้ได้ ซูโดะหรือเข้าสู่ระบบในฐานะ superuser (root) โดยไม่ต้องดำเนินการให้เสร็จสิ้น เซสชันปัจจุบันโดยใช้คำสั่ง ซู- หลายๆ คนเข้าใจผิดว่าทั้งสองกลไกนี้สับสน ดังนั้นเรามาดูรายละเอียดกันดีกว่า

ทีม ซูอนุญาตให้คุณเข้าสู่ระบบในฐานะผู้ใช้รายอื่น (ไม่จำเป็นต้องรูท) โดยไม่ต้องยุติเซสชันปัจจุบัน ดังนั้นคำสั่ง:

ซู เปตรอฟ

จะอนุญาตให้คุณเข้าสู่ระบบในฐานะผู้ใช้ Petrov สภาพแวดล้อมผู้ใช้ (โฮมโฟลเดอร์) ก็จะถูกเปลี่ยนให้เป็นของผู้ใช้รายนี้ด้วย

ทีม ซูโดยไม่ต้องระบุชื่อผู้ใช้ช่วยให้คุณสามารถเข้าสู่ระบบภายใต้บัญชีของคุณ ราก"ก. อย่างไรก็ตาม วิธีนี้มีข้อเสียเปรียบที่สำคัญประการหนึ่ง - ในการเข้าสู่ระบบในนามของผู้ใช้รายอื่นคุณต้องรู้รหัสผ่านของเขา หากคุณมีผู้ดูแลระบบหลายคน แต่ละคนจะรู้รหัสผ่าน superuser และคุณจะไม่สามารถจำกัดสิทธิ์ของพวกเขาได้

นอกจากนี้ยังไม่ปลอดภัย การรู้รหัสผ่าน superuser และความสามารถในการเข้าสู่ระบบด้วยชื่อของเขาในกรณีที่มีการประนีประนอมอาจทำให้สูญเสียการควบคุมระบบโดยสิ้นเชิง

จะเกิดอะไรขึ้นถ้าเราพยายามเพิ่มสิทธิ์ใน Ubuntu ด้วยวิธีนี้ เราจะไม่สามารถทำอะไรได้เพราะเราไม่ทราบรหัสผ่านของผู้ใช้ รากในขณะเดียวกันก็ไม่มีใครหยุดเราไม่ให้เข้าสู่ระบบในฐานะผู้ใช้รายอื่น

"รอ!" - ผู้ใช้รายอื่นจะพูดว่า "ไม่ได้มอบสิทธิ์รูทให้กับผู้ใช้ที่สร้างขึ้นครั้งแรกซึ่งเราระบุระหว่างการติดตั้ง" แท้จริงแล้วงานการดูแลระบบสามารถทำได้ในนามของผู้ใช้ที่สร้างขึ้นระหว่างการติดตั้งเท่านั้น หากเราพยายามดำเนินการนี้ ในนามของผู้ใช้รายอื่น เราจะประสบกับความล้มเหลว

เรามาใกล้ถึงกลไกที่สองในการเพิ่มสิทธิ - ยูทิลิตี้ ซูโดะ- อย่างไรก็ตามก่อนที่จะดำเนินการศึกษาต่อควรชี้แจงให้ชัดเจน: สิทธิ์ superuser (root) ใน Ubuntu เป็นของบัญชีรูทซึ่งถูกปิดใช้งานตามค่าเริ่มต้น ดังนั้นให้เพิ่มสิทธิ์โดยใช้คำสั่ง ซูเป็นไปไม่ได้

กลไกหลักในการยกระดับสิทธิ์ใน Ubuntu คือยูทิลิตี้ ซูโดะ- ยูทิลิตี้นี้ช่วยให้คุณยกระดับสิทธิ์ไปยังระดับ superuser สำหรับคำสั่งที่กำลังดำเนินการ แต่คุณไม่จำเป็นต้องทราบรหัสผ่าน superuser; หลังจากนั้นยูทิลิตี้จะตรวจสอบว่าผู้ใช้นี้มีสิทธิ์ดำเนินการคำสั่งนี้บนโฮสต์นี้ด้วยสิทธิ์ superuser หรือไม่ และหากการตรวจสอบสำเร็จก็จะดำเนินการดังกล่าว

นี่เป็นสิ่งสำคัญ!ความแตกต่างหลัก ซูจาก ซูโดะให้บริการอะไร ซูอนุญาตให้คุณเปลี่ยนผู้ใช้ปัจจุบันเป็นรูทซึ่งต้องมีบัญชี superuser ที่ใช้งานอยู่ในระบบและรู้รหัสผ่าน ซูโดะอนุญาตให้คุณยกระดับสิทธิ์สำหรับคำสั่งที่กำลังดำเนินการโดยไม่ต้องระบุรหัสผ่าน superuser ผู้ใช้จะต้องป้อนรหัสผ่านของตนเอง การเข้าสู่ระบบในฐานะรูทด้วยข้อมูลรับรองเหล่านี้จะไม่ทำงาน

สถานการณ์ที่สำคัญอีกประการหนึ่งคือเมื่อใช้ไปป์ไลน์หรือการเปลี่ยนเส้นทางด้วยสิทธิ์ผู้ใช้ขั้นสูง เฉพาะส่วนแรกของคำสั่งเท่านั้นที่จะถูกดำเนินการ เช่น ในการออกแบบ:

คำสั่ง Sudo1 | ทีม2

กับ สิทธิ์รูทจะถูกดำเนินการเท่านั้น ทีม1- และทีมงาน

Sudo cat Sources.list > /etc/apt/sources.list

จะให้ข้อผิดพลาดเกี่ยวกับสิทธิ์การเข้าถึงเนื่องจากมีรายการอยู่ /etc/apt/sources.listจะเกิดขึ้นกับสิทธิผู้ใช้ตามปกติ

หากต้องการรวมคำสั่งที่ซับซ้อน คุณสามารถสลับไปที่โหมด superuser ด้วยคำสั่งได้

ซึ่งคล้ายกับการยกระดับสิทธิด้วยคำสั่ง ซูอย่างไรก็ตาม การดำเนินการนี้จะไม่เปลี่ยนสภาพแวดล้อมของผู้ใช้ และไดเร็กทอรีของผู้ใช้ปัจจุบันจะถูกใช้เป็นโฮมไดเร็กตอรี่ ซึ่งสะดวกและปลอดภัย ผู้ดูแลระบบแต่ละคนจะสามารถเข้าถึงไดเร็กทอรีโฮมของตนเท่านั้น

ตอนนี้เป็นเวลาที่จะพิจารณาว่าใครมีสิทธิ์ใช้โอกาสนี้ ซูโดะและมีขอบเขตเท่าใด ไฟล์นี้รับผิดชอบการตั้งค่าของยูทิลิตี้นี้ /etc/sudoersแม้ว่านี่จะเป็นไฟล์การกำหนดค่าปกติ แต่ขอแนะนำอย่างยิ่งให้ใช้คำสั่งในการแก้ไข:

สุดวิสัย

คำสั่งนี้จะล็อคไฟล์และตรวจสอบไวยากรณ์ มิฉะนั้นคุณอาจเสี่ยงต่อการสูญเสียสิทธิ์การเข้าถึงพีซีระดับผู้ดูแลระบบเนื่องจากการพิมพ์ผิด

ไวยากรณ์ ไฟล์นี้ค่อนข้างง่าย ตัวอย่างเช่น ที่ส่วนท้ายสุดของไฟล์จะมีรายการ:

%ผู้ดูแลระบบทั้งหมด=(ทั้งหมด) ทั้งหมด

ซึ่งหมายความว่าผู้ใช้ในกลุ่ม ผู้ดูแลระบบสามารถดำเนินการคำสั่งใด ๆ บนโฮสต์ใด ๆ ในนามของผู้ใช้คนใดก็ได้ เนื่องจากเราสามารถตรวจสอบได้อย่างง่ายดายโดยใช้คำสั่ง กลุ่มในกรณีของเราคือผู้ใช้ อันเดรย์อยู่ในกลุ่ม ผู้ดูแลระบบและผู้ใช้ เปตรอฟเลขที่

แต่ข้อดีทั้งหมดของยูทิลิตี้นี้อยู่ที่ความสามารถในการกำหนดค่าพารามิเตอร์เพื่อรับสิทธิ์ในแต่ละอย่างได้อย่างยืดหยุ่น กรณีเฉพาะ- ตัวอย่างเช่น:

Petrov ubuntu-lts=(อันเดรย์) ทั้งหมด

บรรทัดนี้อนุญาตให้ผู้ใช้ เปตรอฟดำเนินการคำสั่งใด ๆ บนโฮสต์ ubuntu-ltsในนามของผู้ใช้ อันเดรย์- เมื่อระบุคำสั่ง คุณควรระบุเส้นทางแบบเต็ม คุณสามารถค้นหาได้โดยใช้คำสั่ง ที่

เช่น เราต้องการอนุญาตให้ผู้ใช้ เปตรอฟและ ซิโดรอฟปิดเครื่องและรีสตาร์ทคอมพิวเตอร์รวมทั้งลบงานออก อย่างไรก็ตาม คำสั่งเหล่านี้ไม่ควรกำหนดให้ต้องป้อนรหัสผ่าน

คุณสมบัติที่ดีอีกประการหนึ่งของยูทิลิตี้ sudo คือการสร้างนามแฝง ดังนั้นในกรณีของเราเราจะเพิ่มเข้าไป /etc/sudoersบรรทัดต่อไปนี้:

User_Alias ​​USERGROUP1 = เปตรอฟ, ซิโดรอฟ
Cmnd_Alias ​​​​CMDGROUP1 = /bin/kill, /sbin/reboot, /sbin/shutdown

ด้วยเหตุนี้เราจึงสร้างนามแฝงขึ้นมาสองนาม กลุ่มผู้ใช้1โดยที่เรารวมผู้ใช้ที่เราต้องการและ CMDGROUP1ด้วยชุดคำสั่งที่จำเป็น ในเวลาต่อมาเราสามารถแก้ไขเฉพาะนามแฝงได้โดยไม่ส่งผลกระทบต่อกฎทั้งหมดที่สามารถใช้ได้ จากนั้นมาเพิ่มกฎ:

USERGROUP1 ทั้งหมด = (ทั้งหมด) NOPASSWD:СMDGROUP1

ซึ่งจะอนุญาตให้ผู้ใช้ที่อยู่ในนามแฝงที่ระบุสามารถรันคำสั่งจากนามแฝงที่กำหนดบนโฮสต์ใด ๆ ในนามของผู้ใช้โดยไม่ต้องป้อนรหัสผ่าน

นอกเหนือจากสองรายการข้างต้นแล้ว ยังมีนามแฝงสำหรับชื่อโฮสต์และผู้ใช้ที่ได้รับอนุญาตให้ดำเนินการคำสั่งในนาม เช่น:

Host_Alias ​​​​WWW = เว็บเซิร์ฟเวอร์1, เว็บเซิร์ฟเวอร์2
Runas_Alias ​​​​WWW = www-data, www-developer

USERGROUP1 WWW = (WWW) ทั้งหมด

ชุดบันทึกที่กำหนดจะอนุญาตให้ผู้ใช้เข้าได้ กลุ่มผู้ใช้1ดำเนินการคำสั่งใด ๆ ในนามของผู้ใช้ www-dataและ www-นักพัฒนาบนเว็บเซิร์ฟเวอร์ของบริษัท

สุดท้ายนี้ เรามาดูกันว่าจะทำอย่างไรหากยังจำเป็นต้องใช้บัญชีรูท เปิดใช้งานได้ง่าย ๆ เพียงตั้งรหัสผ่าน:

รูท Sudo passwd

บล็อคอีกแล้ว บัญชีสามารถสร้าง superuser ได้ด้วยคำสั่ง:

sudo passwd -l รูท

โปรดจำไว้ว่างานดูแลระบบทั้งหมดใน Ubuntu สามารถทำได้โดยใช้ยูทิลิตี sudo ดังนั้นอย่าเปิดใช้งานบัญชีรูท เว้นแต่จะจำเป็นจริงๆ!

อย่างที่คุณเห็น Ubuntu มีความสามารถในการจัดการสิทธิ์ผู้ดูแลระบบที่หลากหลายซึ่งช่วยให้คุณสามารถแจกจ่ายสิทธิ์ให้กับผู้ดูแลระบบหลายคนได้อย่างยืดหยุ่นตลอดจนให้ความสามารถในการเพิ่มสิทธิ์ให้กับผู้ใช้บางคนและทำสิ่งนี้ได้อย่างมีประสิทธิภาพและปลอดภัย

การจัดการผู้ใช้เป็นส่วนสำคัญในการรักษาระบบที่ปลอดภัย การจัดการผู้ใช้และสิทธิพิเศษที่ไม่มีประสิทธิภาพมักทำให้ระบบต่างๆ จำนวนมากถูกโจมตี ดังนั้นจึงเป็นสิ่งสำคัญที่คุณจะต้องเข้าใจวิธีที่คุณสามารถปกป้องเซิร์ฟเวอร์ของคุณผ่านเทคนิคการจัดการบัญชีผู้ใช้ที่เรียบง่ายและมีประสิทธิภาพ

นักพัฒนา Ubuntu ตัดสินใจอย่างสมเหตุสมผลที่จะปิดใช้งานบัญชีรูทผู้ดูแลระบบตามค่าเริ่มต้นในการติดตั้ง Ubuntu ทั้งหมด นี่ไม่ได้หมายความว่าบัญชีรูทถูกลบไปแล้วหรือไม่สามารถเข้าถึงได้ เพียงแต่ได้รับรหัสผ่านซึ่งไม่ตรงกับค่าที่เข้ารหัสที่เป็นไปได้ ดังนั้นจึงไม่สามารถเข้าสู่ระบบได้โดยตรง

ขอแนะนำให้ผู้ใช้ใช้เครื่องมือชื่อ sudo เพื่อทำหน้าที่ดูแลระบบแทน Sudo อนุญาตให้ผู้ใช้ที่ได้รับอนุญาตยกระดับสิทธิ์ชั่วคราวโดยใช้รหัสผ่านของตนเอง แทนที่จะต้องรู้รหัสผ่านที่เป็นของบัญชีรูท วิธีการที่เรียบง่ายแต่มีประสิทธิภาพนี้ให้ความรับผิดชอบต่อการกระทำของผู้ใช้ทั้งหมด และให้ผู้ดูแลระบบควบคุมได้อย่างละเอียดว่าผู้ใช้สามารถดำเนินการใดได้บ้างด้วยสิทธิ์ดังกล่าว

หากคุณต้องการเปิดใช้งานบัญชีรูทด้วยเหตุผลบางประการ เพียงให้รหัสผ่าน:

การกำหนดค่าด้วยรหัสผ่านรูท ไม่ได้ได้รับการสนับสนุน

sudo passwd

Sudo จะแจ้งให้คุณใส่รหัสผ่าน จากนั้นขอให้คุณระบุรหัสผ่านใหม่สำหรับรูทดังที่แสดงด้านล่าง:

รหัสผ่านสำหรับชื่อผู้ใช้: (ป้อนรหัสผ่านของคุณเอง) ป้อนรหัสผ่าน UNIX ใหม่: (ป้อนรหัสผ่านใหม่สำหรับรูท)พิมพ์รหัสผ่าน UNIX ใหม่อีกครั้ง: (ทำซ้ำรหัสผ่านใหม่สำหรับรูท) passwd: อัปเดตรหัสผ่านเรียบร้อยแล้ว

หากต้องการปิดใช้งานรหัสผ่านบัญชีรูท ให้ใช้ไวยากรณ์ passwd ต่อไปนี้:

sudo passwd -l รูต

อย่างไรก็ตาม หากต้องการปิดใช้งานบัญชีรูท ให้ใช้คำสั่งต่อไปนี้:

usermod --หมดอายุ 1

คุณควรอ่านเพิ่มเติมเกี่ยวกับ Sudo โดยการอ่าน ผู้ชายคนนั้นหน้าหนังสือ:

ผู้ชายซูโด

ตามค่าเริ่มต้น ผู้ใช้คนแรกที่สร้างโดยโปรแกรมติดตั้ง Ubuntu จะเป็นสมาชิกของกลุ่ม "sudo " ซึ่งถูกเพิ่มลงในไฟล์ /etc/sudoers ในฐานะผู้ใช้ sudo ที่ได้รับอนุญาต หากคุณต้องการให้บัญชีอื่นเข้าถึงรูทโดยสมบูรณ์ผ่าน sudo เพียงเพิ่มบัญชีเหล่านั้นเข้าในกลุ่ม sudo

การเพิ่มและการลบผู้ใช้

กระบวนการจัดการผู้ใช้และกลุ่มภายในนั้นตรงไปตรงมาและแตกต่างจากระบบปฏิบัติการ GNU/Linux อื่นๆ เพียงเล็กน้อย Ubuntu และการกระจายแบบ Debian อื่นๆ สนับสนุนการใช้แพ็คเกจ "adduser" สำหรับการจัดการบัญชี

หากต้องการเพิ่มบัญชีผู้ใช้ ให้ใช้ไวยากรณ์ต่อไปนี้ และปฏิบัติตามคำแนะนำในการให้รหัสผ่านและคุณลักษณะที่สามารถระบุตัวบุคคลแก่บัญชีได้ เช่น ชื่อนามสกุล หมายเลขโทรศัพท์ ฯลฯ

ชื่อผู้ใช้ sudo adduser

หากต้องการลบบัญชีผู้ใช้และกลุ่มหลัก ให้ใช้ไวยากรณ์ต่อไปนี้:

ชื่อผู้ใช้ sudo deluser

การลบบัญชีไม่ได้เป็นการลบโฮมโฟลเดอร์ที่เกี่ยวข้อง ขึ้นอยู่กับคุณว่าคุณต้องการลบโฟลเดอร์ด้วยตนเองหรือเก็บไว้ตามนโยบายการเก็บรักษาที่คุณต้องการ

โปรดจำไว้ว่า ผู้ใช้ใดๆ ที่เพิ่มในภายหลังด้วย UID/GID เดียวกันกับเจ้าของคนก่อนจะสามารถเข้าถึงโฟลเดอร์นี้ได้ หากคุณไม่ได้ใช้มาตรการป้องกันที่จำเป็น

คุณอาจต้องการเปลี่ยนค่า UID/GID เหล่านี้ให้เหมาะสมกว่า เช่น บัญชีรูท และอาจย้ายตำแหน่งโฟลเดอร์เพื่อหลีกเลี่ยงข้อขัดแย้งในอนาคต:

sudo chown -R root:root /home/username/ sudo mkdir /home/archived_users/ sudo mv /home/ชื่อผู้ใช้ /home/archived_users/

หากต้องการล็อคหรือปลดล็อคบัญชีผู้ใช้ชั่วคราว ให้ใช้ไวยากรณ์ต่อไปนี้ตามลำดับ:

ชื่อผู้ใช้ sudo passwd -l ชื่อผู้ใช้ sudo passwd -u

หากต้องการเพิ่มหรือลบกลุ่มส่วนบุคคล ให้ใช้ไวยากรณ์ต่อไปนี้ ตามลำดับ:

sudo addgroup groupname sudo delgroup ชื่อกลุ่ม

หากต้องการเพิ่มผู้ใช้ในกลุ่ม ให้ใช้ไวยากรณ์ต่อไปนี้:

ชื่อกลุ่มชื่อผู้ใช้ sudo adduser

ความปลอดภัยของโปรไฟล์ผู้ใช้

เมื่อมีการสร้างผู้ใช้ใหม่ ยูทิลิตี้ adduser จะสร้างโฮมไดเร็กตอรี่ใหม่ชื่อ /home/username โปรไฟล์ดีฟอลต์จะถูกจำลองตามเนื้อหาที่พบในไดเร็กทอรีของ /etc/skel ซึ่งรวมถึงโปรไฟล์พื้นฐานทั้งหมด

หากเซิร์ฟเวอร์ของคุณจะเป็นบ้านสำหรับผู้ใช้หลายคน คุณควรใส่ใจกับการอนุญาตโฮมไดเร็กตอรี่ของผู้ใช้อย่างใกล้ชิดเพื่อให้แน่ใจว่าจะเป็นความลับ ตามค่าเริ่มต้น โฮมไดเร็กทอรีของผู้ใช้ใน Ubuntu จะถูกสร้างขึ้นด้วยสิทธิ์การอ่าน/ดำเนินการทั่วโลก ซึ่งหมายความว่าผู้ใช้ทุกคนสามารถเรียกดูและเข้าถึงเนื้อหาของโฮมไดเร็กทอรีของผู้ใช้รายอื่นได้ สิ่งนี้อาจไม่เหมาะกับสภาพแวดล้อมของคุณ

หากต้องการตรวจสอบสิทธิ์โฮมไดเร็กตอรี่ของผู้ใช้ปัจจุบันของคุณ ให้ใช้ไวยากรณ์ต่อไปนี้:

ls -ld /home/ชื่อผู้ใช้

ผลลัพธ์ต่อไปนี้แสดงว่าไดเร็กทอรี /home/username มีสิทธิ์ที่สามารถอ่านได้ทั่วโลก:

drwxr-xr-x 2 ชื่อผู้ใช้ ชื่อผู้ใช้ 4096 2007-10-02 20:03 ชื่อผู้ใช้

คุณสามารถลบสิทธิ์การอ่านของโลกได้โดยใช้ไวยากรณ์ต่อไปนี้:

sudo chmod 0750 /home/ชื่อผู้ใช้

บางคนมีแนวโน้มที่จะใช้ตัวเลือกแบบเรียกซ้ำ (-R) โดยไม่เลือกปฏิบัติ ซึ่งจะแก้ไขโฟลเดอร์และไฟล์ย่อยทั้งหมด แต่ไม่จำเป็น และอาจให้ผลลัพธ์ที่ไม่พึงประสงค์อื่นๆ ไดเร็กทอรีพาเรนต์เพียงอย่างเดียวก็เพียงพอแล้วสำหรับการป้องกันการเข้าถึงสิ่งใดก็ตามที่อยู่ต่ำกว่าพาเรนต์โดยไม่ได้รับอนุญาต

แนวทางที่มีประสิทธิภาพมากขึ้นในเรื่องนี้คือการแก้ไขการอนุญาตเริ่มต้นส่วนกลางของ adduser เมื่อสร้างโฮมโฟลเดอร์ของผู้ใช้ เพียงแก้ไขไฟล์ /etc/adduser.conf และแก้ไขตัวแปร DIR_MODE เป็นสิ่งที่เหมาะสม เพื่อให้โฮมไดเร็กทอรีใหม่ทั้งหมดได้รับการอนุญาตที่ถูกต้อง

หลังจากแก้ไขการอนุญาตไดเรกทอรีโดยใช้เทคนิคใดๆ ที่กล่าวถึงก่อนหน้านี้ ให้ตรวจสอบผลลัพธ์โดยใช้ไวยากรณ์ต่อไปนี้:

ls -ld /home/ชื่อผู้ใช้

ผลลัพธ์ด้านล่างแสดงว่าการอนุญาตที่อ่านได้ทั่วโลกได้ถูกลบออกแล้ว:

drwxr-x --- 2 ชื่อผู้ใช้ ชื่อผู้ใช้ 4096 2007-10-02 20:03 ชื่อผู้ใช้

นโยบายรหัสผ่าน

นโยบายรหัสผ่านที่รัดกุมถือเป็นส่วนที่สำคัญที่สุดประการหนึ่งของมาตรการรักษาความปลอดภัยของคุณ การละเมิดความปลอดภัยที่ประสบความสำเร็จหลายครั้งเกี่ยวข้องกับการใช้กำลังดุร้ายและการโจมตีด้วยพจนานุกรมต่อรหัสผ่านที่อ่อนแอ หากคุณตั้งใจที่จะเสนอการเข้าถึงระยะไกลในรูปแบบใดๆ ที่เกี่ยวข้องกับระบบรหัสผ่านในเครื่องของคุณ ตรวจสอบให้แน่ใจว่าคุณได้จัดการข้อกำหนดความซับซ้อนของรหัสผ่านขั้นต่ำ อายุรหัสผ่านสูงสุด และการตรวจสอบระบบการตรวจสอบความถูกต้องเป็นประจำ

ความยาวรหัสผ่านขั้นต่ำ

ตามค่าเริ่มต้น Ubuntu กำหนดให้มีความยาวรหัสผ่านขั้นต่ำ 6 ตัวอักษร รวมถึงการตรวจสอบเอนโทรปีพื้นฐานบางอย่าง ค่าเหล่านี้ถูกควบคุมในไฟล์ /etc/pam.d/common-password ซึ่งแสดงไว้ด้านล่าง

รหัสผ่าน pam_unix.so คลุมเครือ sha512

หากคุณต้องการปรับความยาวขั้นต่ำเป็น 8 ตัวอักษร ให้เปลี่ยนตัวแปรที่เหมาะสมเป็น min=8 การปรับเปลี่ยนมีรายละเอียดดังนี้

รหัสผ่าน pam_unix.so คลุมเครือ sha512 minlen=8

การตรวจสอบเอนโทรปีรหัสผ่านพื้นฐานและกฎความยาวขั้นต่ำใช้ไม่ได้กับผู้ดูแลระบบที่ใช้คำสั่งระดับ sudo เพื่อตั้งค่าผู้ใช้ใหม่

รหัสผ่านหมดอายุ

เมื่อสร้างบัญชีผู้ใช้ คุณควรกำหนดนโยบายให้มีอายุรหัสผ่านขั้นต่ำและสูงสุด โดยบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเมื่อรหัสผ่านหมดอายุ

หากต้องการดูสถานะปัจจุบันของบัญชีผู้ใช้อย่างง่ายดาย ให้ใช้ไวยากรณ์ต่อไปนี้:

ชื่อผู้ใช้ sudo chage -l

ผลลัพธ์ด้านล่างแสดงข้อเท็จจริงที่น่าสนใจเกี่ยวกับบัญชีผู้ใช้ กล่าวคือ ไม่มีการใช้นโยบาย:

การเปลี่ยนรหัสผ่านครั้งล่าสุด: 20 มกราคม 2558 รหัสผ่านหมดอายุ: ไม่เคย รหัสผ่านไม่ทำงาน: ไม่เคย บัญชีหมดอายุ: ไม่เคย จำนวนวันขั้นต่ำระหว่างการเปลี่ยนรหัสผ่าน: 0 จำนวนวันสูงสุดระหว่างการเปลี่ยนรหัสผ่าน: 99999 จำนวนวันที่เตือนก่อนที่รหัสผ่านจะหมดอายุ: 7

หากต้องการตั้งค่าใดๆ เหล่านี้ เพียงใช้ไวยากรณ์ต่อไปนี้ และปฏิบัติตามพร้อมท์แบบโต้ตอบ:

sudo เปลี่ยนชื่อผู้ใช้

ต่อไปนี้เป็นตัวอย่างของวิธีที่คุณสามารถเปลี่ยนวันหมดอายุที่ชัดเจน (-E) เป็น 01/31/2015 ด้วยตนเอง อายุรหัสผ่านขั้นต่ำ (-m) 5 วัน อายุรหัสผ่านสูงสุด (-M) 90 วัน ไม่มีการใช้งาน ระยะเวลา (-I) คือ 5 วันหลังจากรหัสผ่านหมดอายุ และระยะเวลาเตือน (-W) 14 วันก่อนรหัสผ่านหมดอายุ:/home/username/.ssh/authorized_keys

ลบหรือเปลี่ยนชื่อไดเร็กทอรี .ssh/ ในโฮมโฟลเดอร์ของผู้ใช้ เพื่อป้องกันความสามารถในการตรวจสอบสิทธิ์ SSH เพิ่มเติม

อย่าลืมตรวจสอบการเชื่อมต่อ SSH ที่สร้างขึ้นโดยผู้ใช้ที่ถูกปิดใช้งาน เนื่องจากเป็นไปได้ว่าอาจมีการเชื่อมต่อขาเข้าหรือขาออกอยู่ ฆ่าสิ่งใด ๆ ที่พบ

ใคร | ชื่อผู้ใช้ grep (เพื่อรับเทอร์มินัล pts/#) sudo pkill -f pts/#

จำกัดการเข้าถึง SSH เฉพาะบัญชีผู้ใช้ที่ควรมีเท่านั้น ตัวอย่างเช่น คุณสามารถสร้างกลุ่มชื่อ "sshlogin" และเพิ่มชื่อกลุ่มเป็นค่าที่เกี่ยวข้องกับตัวแปร AllowGroups ที่อยู่ในไฟล์ /etc/ssh/sshd_config

sshlogin ของ AllowGroups

จากนั้นเพิ่มผู้ใช้ SSH ที่ได้รับอนุญาตของคุณไปยังกลุ่ม "sshlogin" แล้วเริ่มบริการ SSH ใหม่

ชื่อผู้ใช้ sudo adduser sshlogin sudo systemctl รีสตาร์ท sshd.service

การตรวจสอบฐานข้อมูลผู้ใช้ภายนอก

เครือข่ายองค์กรส่วนใหญ่ต้องการการรับรองความถูกต้องแบบรวมศูนย์และการควบคุมการเข้าถึงสำหรับทรัพยากรระบบทั้งหมด หากคุณได้กำหนดค่าเซิร์ฟเวอร์ของคุณเพื่อตรวจสอบสิทธิ์ผู้ใช้กับฐานข้อมูลภายนอก ตรวจสอบให้แน่ใจว่าได้ปิดการใช้งานบัญชีผู้ใช้ทั้งภายนอกและภายในเครื่อง วิธีนี้จะทำให้คุณมั่นใจได้ว่าไม่สามารถตรวจสอบสิทธิ์ทางเลือกในเครื่องได้