Foydalanuvchilarni boshqarish juda muhim mahoratdir tizim administratori Linux muhiti. Qoida tariqasida, ichida yangi tizim Odatiy bo'lib, faqat bitta foydalanuvchi mavjud - root.

Ildiz hisobi keng imtiyozlarga ega va juda moslashuvchan, ammo serverni doimiy ravishda ildiz sifatida ishlatish juda tavsiya etilmaydi. Haqiqat shundaki, mutlaq huquqlarga ega bo'lgan ildiz foydalanuvchi tasodifan tizim va serverga tuzatib bo'lmaydigan zarar etkazishi mumkin. Shuning uchun, kundalik ish uchun siz oddiy imtiyozlarga ega bo'lgan qo'shimcha foydalanuvchi yaratishingiz va keyin unga superfoydalanuvchi huquqlarini topshirishingiz kerak. Bundan tashqari, serverga kirish huquqiga ega bo'lishi kerak bo'lgan boshqa foydalanuvchilar uchun qo'shimcha hisoblar yaratishingiz mumkin.

Ushbu qo'llanma sizga yangi foydalanuvchi hisoblarini yaratish, sudo huquqlarini uzatish va foydalanuvchilarni o'chirishni o'rgatadi.

Foydalanuvchi qo'shish

Ildiz seansga yangi foydalanuvchi qo'shish uchun quyidagilarni kiriting:

Sudo ruxsati bilan root bo'lmagan foydalanuvchi sessiyasida siz quyidagi buyruq yordamida yangi foydalanuvchi qo'shishingiz mumkin:

sudo adduser yangi foydalanuvchi

Jamoa taklif qiladi:

• Parolni o'rnating va tasdiqlang.
• Qo'shimcha foydalanuvchi ma'lumotlarini kiriting. Bu ixtiyoriy; standart ma'lumotni qabul qilish uchun Enter tugmasini bosish kifoya.
• Taqdim etilgan ma'lumotlarning to'g'riligini tasdiqlang (Enter tugmasini bosing).

Yangi foydalanuvchi tayyor! Endi siz uning yordamida serverga ulanishingiz mumkin.

Sudo ruxsatlarini o'rnatish

Yangi hisob qaydnomasidan ma'muriy vazifalarni bajarish uchun foydalanish uchun siz foydalanuvchiga sudo buyrug'iga kirishiga ruxsat berishingiz kerak. Bu ikki usulda amalga oshirilishi mumkin:

1. Sudo guruhiga foydalanuvchi qo'shing
2. /etc/sudoers faylida sudo sozlamalarini tahrirlang

Sudo guruhiga foydalanuvchi qo'shish

Ubuntu 16.04 da sudo guruhining a'zolari bo'lgan barcha foydalanuvchilar sudo buyrug'iga sukut bo'yicha kirish huquqiga ega.

Qaysi guruhlarga mansubligingizni bilish uchun Yangi foydalanuvchi, kiriting:

Buyruq qaytadi:

yangi foydalanuvchi: yangi foydalanuvchi

Odatiy bo'lib, tizimning har bir yangi foydalanuvchisi faqat bir xil nomdagi guruhga kiritilgan. Guruhga foydalanuvchi qo'shish uchun quyidagilarni kiriting:

usermod -aG sudo newuser

–aG bayrog‘i foydalanuvchini ro‘yxatga olingan guruhlarga qo‘shadi.

O'rnatishni sinab ko'rish

Endi biz yangi foydalanuvchi sudo buyrug'iga kirish huquqiga ega ekanligiga ishonch hosil qilishimiz kerak.

Odatiy bo'lib, yangi foydalanuvchi sessiyasidagi buyruqlar quyidagicha ishga tushiriladi:

Buyruqni administrator sifatida ishga tushirish uchun buyruq boshiga sudo qo'shing:

sudo some_command

Tizim joriy foydalanuvchi parolini so'raydi.

/etc/sudoers faylini tahrirlash

Foydalanuvchi huquqlarini oshirishning muqobil usuli bu sudoers faylini tahrirlashdir. Buning uchun visudo buyrug'idan foydalaning, bu sizga /etc/sudoers faylini muharrirda ochish va har bir tizim foydalanuvchisining imtiyozlarini aniq belgilash imkonini beradi.

Sudoers faylini faqat visudo yordamida tahrirlash tavsiya etiladi, chunki bu buyruq bir vaqtning o'zida bir nechta tahrirlarni bloklaydi va faylni qayta yozishdan oldin tarkibni tekshiradi. Bu imtiyozlarni yo'qotishga olib kelishi mumkin bo'lgan sudo konfiguratsiyasidagi xatolarning oldini oladi.

Agar siz ildiz seansida bo'lsangiz, quyidagilarni kiriting:

Sudo ruxsati bilan root bo'lmagan foydalanuvchi sessiyasida quyidagilarni kiriting:

Odatda, visudo vi muharririda /etc/sudoers ni ochadi, bu yangi boshlanuvchilar uchun chalkash bo'lishi mumkin. Odatiy bo'lib, yangi Ubuntu o'rnatish visudo ko'proq tanish nano muharriridan foydalanadi. Kursorni siljitish uchun o'q tugmalaridan foydalaning. Qatorni toping:

root ALL=(ALL:ALL) ALL

Ushbu qatordan nusxa oling va ildiz o'rniga superfoydalanuvchi huquqlarini o'tkazmoqchi bo'lgan foydalanuvchi nomi bilan pastga qo'ying.

root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL

Kengaytirilgan imtiyozlarga muhtoj bo'lgan har bir foydalanuvchi uchun shunday qator qo'shing. Faylni saqlang va yoping.

Foydalanuvchilarni olib tashlash

Keraksiz hisoblar o'chirilishi mumkin.

Foydalanuvchini olib tashlash, lekin ularning fayllarini qoldirish uchun quyidagilarni kiriting:

ildiz sifatida
deluser yangi foydalanuvchi
Qanaqasiga muntazam foydalanuvchi kengaytirilgan imtiyozlar bilan:
sudo deluser newuser

Foydalanuvchini uy katalogi bilan birga olib tashlash uchun quyidagilardan foydalaning:

ildiz foydalanuvchi sessiyasida
deluser --remove-home newuser
kengaytirilgan imtiyozlarga ega foydalanuvchi sessiyasida:
sudo deluser --remove-home newuser

Agar masofaviy foydalanuvchi superfoydalanuvchi huquqlariga ega bo'lsa, faylni tahrirlash orqali ushbu huquqlarni olib tashlashingiz kerak:

visudo
Yoki
sudo visudo
root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL # bu qatorni olib tashlang

Agar chiziq faylda qolsa va tizimda xuddi shu nomdagi foydalanuvchi paydo bo'lsa, u avtomatik ravishda kengaytirilgan imtiyozlarni oladi. Bu endi sodir bo'lmaydi.

Xulosa

Foydalanuvchilarni boshqarish Ubuntu 16.04 serverini boshqarishda zaruriy mahoratdir. Bu sizga foydalanuvchilarni ajratish va ularga faqat ishlashlari uchun ruxsat berish imkonini beradi.

Sudo-ni sozlash bo'yicha qo'shimcha ma'lumot olish uchun bizning veb-saytimizga qarang.

Variant -c - foydalanuvchiga sharh qo'shing
Variant -g sudo - sudo guruhiga foydalanuvchi qo'shing.
-s opsiyasi foydalanuvchi qobig'ini /bin/bash ga o'rnatadi
Variant -d foydalanuvchining uy papkasini belgilash uchun ishlatiladi
Variant -m papkani darhol yaratish kerakligini ko'rsatadi:

Sudo useradd -c "Foydalanuvchi uchun sharh" -g sudo -d /home/NameUser -m -s /bin/bash NameUser

NameUser foydalanuvchisi uchun parol o'rnating:

Sudo passwd NameUser

Adduser buyrug'i yordamida foydalanuvchi qo'shing

Parolni kiriting, so'ralgan barcha savollarga javob bering, parol va uy katalogiga ega foydalanuvchini oling

Foydalanuvchi parolini o'zgartirish

Sudo guruhiga foydalanuvchi qo'shing

Sudores-ga to'g'ridan-to'g'ri foydalanuvchi/foydalanuvchilar guruhini qo'shing:

Keling, faylni tahrir qilaylik /etc/sudores.tmp muharrir visudo

Sudo visudo

Nomli foydalanuvchiga ildiz huquqlarini beramiz foydalanuvchi_nomi

User_name ALL=(ALL:ALL) ALL

Keling, bir guruh foydalanuvchilarga ildiz huquqlarini beraylik guruh_nomi sudoers fayliga qator qo'shish orqali -

Guruh_nomi ALL=(ALL:ALL) ALL

Foydalanuvchi va uning guruhlari

Biz xostdagi mavjud guruhlarni ko'rib chiqamiz

Mushuk /etc/group

Guruhning mavjudligini tekshirish misol guruhi misol guruhi sizni qiziqtirgan guruh bo'lgan xostda

Grep misol guruhi /etc/group

Biz foydalanuvchi qaysi guruhlarga tegishli ekanligini tekshiramiz/aniqlaymiz (shuningdek, uning uid, gid)

Id Name User

Mavjud foydalanuvchi NameUserni mavjud guruh misol guruhiga qo'shing

Usermod -g misol guruhi NameUser

Ubuntu foydalanuvchisini o'chirish

Biz buyruqdan foydalanamiz, foydalanuvchi papkasi o'chirilmaydi

Sudo userdel NameUser

Agar kerak bo'lsa, jildni o'chiring

Sudo rm -r /home/NameUser/

Biz foydalanuvchi o'chirilganligini tekshiramiz; agar natija bo'lmasa, foydalanuvchi o'chirilgan

Sudo grep -R NameUser /etc/passwd --color

Barcha mahalliy foydalanuvchilarni ro'yxatlang

Foydalanuvchi haqida batafsil ma'lumotni ko'rsatish uchun paketni o'rnating barmoq

Sudo apt-get o'rnatish barmog'i

Foydalanuvchi NameUser haqidagi ma'lumotlarni ko'rish uchun buyruqni bajaring

Barmoq nomi foydalanuvchi

Barcha foydalanuvchilar haqidagi ma'lumotlarni faylga chiqarish uchun infoaboutalluser.txt skript yarataylik barmoq.sh

#!/bin/bash n=`cat /etc/passwd | cut -d: $n da i uchun -f1`; echo qiling "=============================================== ============================= =================" barmoq $i bajardim

Keling, skriptni ishga tushiramiz barmoq.sh va uning mazmunini faylga saqlang infoaboutalluser.txt

./finger.sh infoaboutalluser.txt

Barcha imtiyozli foydalanuvchilarni sanab o'ting:

yoki imtiyozga ega emas

Egrep -v ":0:0:" /etc/passwd

Ismlari abcd harflari bilan boshlangan barcha foydalanuvchilarni sanab o'ting:

Mushuk /etc/passwd | grep "^.*"

O'quvchining javobi shuni ko'rsatadiki, Ubuntu-da ma'muriy huquqlarni ajratish masalasi ko'pchilik yangi ma'murlar uchun hali ham tushunarsiz bo'lib qolmoqda, shuning uchun biz ushbu material bilan ushbu masalaga aniqlik kiritishga qaror qildik. Shuning uchun, agar siz sudo dan qanday farq qilishini bilmasangiz, ildizni qaerga yashirgansiz va hokazo va hokazo, bizning maqolamizni o'rganishni boshlash vaqti keldi.

Keling, kichik bir chekinishdan boshlaylik. Linux ma'muriy huquqlar tizimi Unix OS ga qaytadi va shuning uchun Unix-ga o'xshash boshqa tizimlar bilan ko'p umumiylik mavjud: BSD, Solaris, MacOS. Shu bilan birga, turli taqsimotlar o'ziga xos amalga oshirish xususiyatlariga ega, shuning uchun aniq misollar Biz Ubuntu oilasi haqida gaplashamiz, ammo umumiy qoidalarni bilish Unix-ga o'xshash boshqa har qanday operatsion tizimning muhitini osongina tushunish imkonini beradi.

Foydalanuvchi Linuxda to'liq ma'muriy huquqlarga ega. ildiz, huquqlarini cheklab bo'lmaydigan, shuning uchun ushbu foydalanuvchi nomidan kundalik ish juda istalmagan: foydalanuvchining ehtiyotsiz harakatlari tizimga zarar etkazishi mumkin va bu hisobni buzish tajovuzkorga tizimga cheksiz kirish huquqini beradi.

Shuning uchun, Linuxda boshqa sxema qabul qilingan: barcha foydalanuvchilar, jumladan, ma'murlar, cheklangan hisob ostida ishlaydi va ma'muriy harakatlarni amalga oshirish uchun huquqlarni kuchaytirish mexanizmlaridan birini qo'llaydi. Buning uchun yordamchi dastur yordamida huquqlarni oshirishingiz mumkin sudo yoki buyruq yordamida joriy sessiyani tugatmasdan superuser (root) sifatida tizimga kiring su. Ko'pchilik bu ikki mexanizmni noto'g'ri chalkashtirib yuboradi, shuning uchun ularni batafsil ko'rib chiqaylik.

Jamoa su joriy seansni to'xtatmasdan boshqa foydalanuvchi sifatida tizimga kirish imkonini beradi (root bo'lishi shart emas). Shunday qilib, buyruq:

Su petrov

petrov foydalanuvchisi sifatida tizimga kirishga imkon beradi, foydalanuvchi muhiti (uy papkasi) ham ushbu foydalanuvchiga tegishli qilib o'zgartiriladi.

Jamoa su foydalanuvchi nomini ko'rsatmasdan hisobingiz ostida tizimga kirish imkonini beradi ildiz"a. Biroq bu usul bitta muhim kamchilikka ega - boshqa foydalanuvchi nomidan tizimga kirish uchun siz uning parolini bilishingiz kerak. Agar sizda bir nechta ma'murlar bo'lsa, ularning har biri super foydalanuvchi parolini biladi va siz ularning huquqlarini cheklay olmaysiz.

Bundan tashqari, bu xavfli; superfoydalanuvchi parolini bilish va murosaga kelgan taqdirda uning nomi bilan tizimga kirish qobiliyati tizim ustidan nazoratni to'liq yo'qotishiga olib kelishi mumkin.

Agar biz Ubuntu'dagi huquqlarni shu tarzda oshirishga harakat qilsak nima bo'ladi? Biz hech narsa qila olmaymiz, chunki foydalanuvchi parolini bilmaymiz ildiz, shu bilan birga, boshqa foydalanuvchi sifatida tizimga kirishimizga hech kim to'sqinlik qilmayapti.

"Kutmoq!" - boshqa foydalanuvchi aytadi: "O'rnatish paytida biz ko'rsatgan birinchi yaratilgan foydalanuvchiga ildiz huquqlari berilmaydimi?" Haqiqatan ham, ma'muriy vazifalar faqat o'rnatish paytida yaratilgan foydalanuvchi nomidan bajarilishi mumkin; agar biz buni amalga oshirishga harakat qilsak boshqa foydalanuvchi nomidan biz muvaffaqiyatsizlikka duch kelamiz.

Bu erda biz huquqlarni oshirishning ikkinchi mexanizmi - yordamchi dasturga yaqinlashamiz sudo. Biroq, uni o'rganishga o'tishdan oldin, aniqlik kiritish kerak: Ubuntu-dagi superfoydalanuvchi (ildiz) huquqlari sukut bo'yicha o'chirilgan ildiz hisobiga tegishli. Shuning uchun, buyruq yordamida ruxsatlarni oshiring su mumkin emasdek tuyuladi.

Ubuntu'da huquqlarni oshirishning asosiy mexanizmi yordamchi dastur hisoblanadi sudo. Ushbu yordamchi dastur sizga bajarilayotgan buyruq uchun huquqlarni superfoydalanuvchi darajasiga ko'tarish imkonini beradi, lekin siz superuser parolini bilishingiz shart emas, foydalanuvchi o'z parolini kiritishi kerak. Shundan so'ng, yordamchi dastur ushbu foydalanuvchi ushbu hostda ushbu buyruqni superuser huquqlari bilan bajarish huquqiga ega yoki yo'qligini tekshiradi va agar tekshiruvlar muvaffaqiyatli bo'lsa, uni bajaradi.

Bu muhim! Asosiy farq su dan sudo nimaga xizmat qiladi su joriy foydalanuvchini root-ga o'zgartirish imkonini beradi, bu tizimda faol superuser hisobini va uning parolini bilishni talab qiladi; sudo superfoydalanuvchi parolini ko'rsatmasdan bajarilayotgan buyruq uchun huquqlarni oshirish imkonini beradi; foydalanuvchi o'z parolini kiritishi kerak; bu hisobga olish ma'lumotlari bilan root sifatida tizimga kirish ishlamaydi.

Yana bir muhim holat shundaki, superfoydalanuvchi huquqlari bilan quvur liniyasi yoki qayta yo'naltirishdan foydalanilganda, buyruqning faqat birinchi qismi bajariladi, masalan, dizaynda:

Sudo buyrug'i1 | jamoa 2

Bilan ildiz huquqlari faqat amalga oshiriladi jamoa 1. Va jamoa

Sudo cat sources.list > /etc/apt/sources.list

kirish huquqiga ega bo'lganligi sababli, kirish huquqi xatosini beradi /etc/apt/sources.list oddiy foydalanuvchi huquqlari bilan sodir bo'ladi.

Buyruqlarning murakkab birikmalarini bajarish uchun siz buyruq yordamida superuser rejimiga o'tishingiz mumkin

bu buyruq bilan huquqlarni ko'tarishga o'xshaydi su, ammo bu foydalanuvchi muhitini o'zgartirmaydi va joriy foydalanuvchi katalogi uy katalogi sifatida ishlatiladi, bu qulay va xavfsizdir. Har bir administrator faqat uy katalogiga kirish huquqiga ega bo'ladi.

Imkoniyatlardan kim foydalanish huquqiga ega ekanligini aniqlash vaqti keldi sudo va qay darajada. Fayl ushbu yordamchi dastur sozlamalari uchun javobgardir /etc/sudoers, bu oddiy konfiguratsiya fayli bo'lishiga qaramay, uni tahrirlash uchun quyidagi buyruqdan foydalanish tavsiya etiladi:

Sudo visudo

Ushbu buyruq faylni bloklaydi va sintaksisni tekshiradi, aks holda siz matn terish xatosi tufayli shaxsiy kompyuteringizga ma'muriy kirish huquqini yo'qotish xavfi tug'iladi.

Ushbu faylning sintaksisi juda oddiy. Masalan, faylning eng oxirida yozuv mavjud:

%admin ALL=(HAMMA) HAMMA

Bu shuni anglatadiki, guruh foydalanuvchilari admin istalgan foydalanuvchi nomidan istalgan xostda istalgan buyruqni bajarishi mumkin. Buyruq yordamida osongina tekshirishimiz mumkin guruhlar bizning holatlarimizda foydalanuvchi andrey guruhiga kiradi admin, va foydalanuvchi Petrov Yo'q.

Ammo ushbu yordam dasturining barcha afzalliklari har bir alohida holatda huquqlarni olish parametrlarini moslashuvchan tarzda sozlash qobiliyatidadir. Masalan:

Petrov ubuntu-lts=(andrey) HAMMA

Ushbu qator foydalanuvchiga ruxsat beradi Petrov xostda istalgan buyruqni bajaring ubuntu-lts foydalanuvchi nomidan andrey. Buyruqlarni belgilashda siz ularga to'liq yo'lni ko'rsatishingiz kerak, uni buyruq yordamida topishingiz mumkin qaysi

Masalan, biz foydalanuvchilarga ruxsat bermoqchimiz Petrov Va sidorov kompyuterni o'chiring va qayta ishga tushiring, shuningdek vazifalarni olib tashlang. Biroq, bu buyruqlar parolni kiritishni talab qilmasligi kerak.

Sudo yordam dasturining yana bir yoqimli xususiyati taxalluslarni yaratishdir, shuning uchun bizning holatlarimizda biz qo'shamiz /etc/sudoers quyidagi qatorlar:

User_Alias ​​​​USERGROUP1 = petrov, sidorov
Cmnd_Alias ​​CMDGROUP1 = /bin/kill, /sbin/reboot, /sbin/shutdown

Shu bilan biz ikkita taxallus yaratdik USERGROUP1, bu erda biz kerakli foydalanuvchilarni kiritdik va CMDGROUP1 zarur buyruqlar to'plami bilan biz keyinchalik ulardan foydalanish mumkin bo'lgan barcha qoidalarga ta'sir qilmasdan faqat taxalluslarni tahrirlashimiz mumkin. Keyin qoida qo'shamiz:

USERGROUP1 HAMMA = (hamma) NOPASSWD:SMDGROUP1

bu ko'rsatilgan taxallusda sanab o'tilgan foydalanuvchilarga parolni kiritmasdan istalgan foydalanuvchi nomidan istalgan xostda berilgan taxallusdan buyruqlarni bajarishga imkon beradi.

Yuqoridagi ikkitasidan tashqari, taxalluslar xost nomi va ularning nomidan buyruqlarni bajarishga ruxsat berilgan foydalanuvchilar uchun ham mavjud, masalan:

Host_Alias ​​WWW = veb-server1, veb-server2
Runas_Alias ​​WWW = www-ma'lumotlar, www-ishlab chiquvchi

USERGROUP1 WWW = (WWW) HAMMA

Berilgan yozuvlar to'plami foydalanuvchilarga kirishga imkon beradi USERGROUP1 foydalanuvchilar nomidan har qanday buyruqlarni bajarish www-ma'lumotlar Va www-ishlab chiquvchi kompaniyaning veb-serverlarida.

Nihoyat, ildiz hisobi hali ham kerak bo'lsa, nima qilish kerakligini ko'rib chiqaylik. Bu oddiy, uni yoqish uchun parol o'rnatish kifoya:

Sudo passwd ildizi

Yana bloklash hisob superuser quyidagi buyruq bilan yaratilishi mumkin:

Sudo passwd -l ildiz

Esda tutingki, Ubuntu'dagi barcha ma'muriy vazifalar sudo yordam dasturi yordamida bajarilishi mumkin, shuning uchun zarurat tug'ilmasa, root hisobini yoqmang!

Ko'rib turganingizdek, Ubuntu ma'muriy huquqlarni boshqarishning boy imkoniyatlariga ega, bu sizga huquqlarni bir nechta ma'murlar o'rtasida moslashuvchan taqsimlash imkonini beradi, shuningdek, ba'zi foydalanuvchilar uchun huquqlarni oshirish imkoniyatini beradi va buni samarali va xavfsiz qiladi.

Foydalanuvchilarni boshqarish xavfsiz tizimni saqlashning muhim qismidir. Samarasiz foydalanuvchi va imtiyozlarni boshqarish ko'pincha ko'plab tizimlarning buzilishiga olib keladi. Shuning uchun, oddiy va samarali foydalanuvchi hisobini boshqarish usullari orqali serveringizni qanday himoya qilishingiz mumkinligini tushunish muhimdir.

Ubuntu ishlab chiquvchilari barcha Ubuntu o'rnatishlarida sukut bo'yicha ma'muriy ildiz hisobini o'chirishga vijdonan qaror qilishdi. Bu ildiz hisobi o'chirilgan yoki unga kirish mumkin emas degani emas. Unga faqat hech qanday mumkin bo'lmagan shifrlangan qiymatga mos kelmaydigan parol berilgan, shuning uchun o'z-o'zidan tizimga kirmasligi mumkin.

Buning o'rniga, foydalanuvchilarga tizim ma'muriy vazifalarini bajarish uchun sudo nomidagi vositadan foydalanish tavsiya etiladi. Sudo avtorizatsiya qilingan foydalanuvchiga ildiz hisobiga tegishli parolni bilish o'rniga o'z parolidan foydalangan holda o'z imtiyozlarini vaqtincha oshirish imkonini beradi. Ushbu oddiy, ammo samarali metodologiya foydalanuvchining barcha harakatlari uchun javobgarlikni ta'minlaydi va administratorga foydalanuvchi ushbu imtiyozlar bilan qaysi amallarni bajarishi mumkinligini batafsil nazorat qiladi.

Agar biron sababga ko'ra siz ildiz hisobini yoqmoqchi bo'lsangiz, unga parol bering:

Ildiz parollari bilan konfiguratsiyalar emas qo'llab-quvvatlanadi.

sudo passwd

Sudo sizdan parolingizni so'raydi va keyin quyida ko'rsatilgandek root uchun yangi parolni kiritishingizni so'raydi:

Foydalanuvchi nomi uchun parol: (o'z parolingizni kiriting) Yangi UNIX parolini kiriting: (root uchun yangi parolni kiriting) Yangi UNIX parolini qayta kiriting: (root uchun yangi parolni takrorlang) passwd: parol muvaffaqiyatli yangilandi

Ildiz hisobi parolini o'chirish uchun quyidagi passwd sintaksisidan foydalaning:

sudo passwd -l ildiz

Biroq, ildiz hisobining o'zini o'chirish uchun quyidagi buyruqdan foydalaning:

usermod - muddati tugagan 1

O'qish orqali Sudo haqida ko'proq o'qishingiz kerak erkak sahifa:

odam sudo

Odatiy bo'lib, Ubuntu o'rnatuvchisi tomonidan yaratilgan dastlabki foydalanuvchi "sudo" guruhining a'zosi bo'lib, u /etc/sudoers fayliga vakolatli sudo foydalanuvchisi sifatida qo'shiladi. Agar siz boshqa hisob qaydnomalariga sudo orqali to'liq ildiz ruxsatini berishni istasangiz, ularni sudo guruhiga qo'shing.

Foydalanuvchilarni qo'shish va o'chirish

Mahalliy foydalanuvchilar va guruhlarni boshqarish jarayoni oddiy va boshqa GNU/Linux operatsion tizimlaridan juda kam farq qiladi. Ubuntu va boshqa Debian distributivlari hisobni boshqarish uchun "adduser" paketidan foydalanishni rag'batlantiradi.

Foydalanuvchi hisobini qo'shish uchun quyidagi sintaksisdan foydalaning va hisobga parol va to'liq ism, telefon raqami va boshqalar kabi identifikatsiya qilinadigan xususiyatlarni berish uchun ko'rsatmalarga rioya qiling.

sudo adduser foydalanuvchi nomi

Foydalanuvchi hisobini va uning asosiy guruhini o'chirish uchun quyidagi sintaksisdan foydalaning:

sudo deluser foydalanuvchi nomi

Hisob qaydnomasini o'chirish ularning tegishli bosh papkasini olib tashlamaydi. Jildni qo'lda o'chirish yoki uni o'zingiz xohlagan saqlash qoidalariga muvofiq saqlashni xohlaysizmi, sizga bog'liq.

Esda tuting, agar siz kerakli ehtiyot choralarini ko'rmagan bo'lsangiz, keyinroq avvalgi egasi bilan bir xil UID/GID bilan qo'shilgan har qanday foydalanuvchi endi ushbu jildga kirish huquqiga ega bo'ladi.

Siz ushbu UID/GID qiymatlarini ildiz hisob qaydnomasi kabi mosroq narsaga o'zgartirishni xohlashingiz va hatto kelajakdagi ziddiyatlarni oldini olish uchun papkani boshqa joyga ko'chirishingiz mumkin:

sudo chown -R ildizi: root /hoy/foydalanuvchi nomi/ sudo mkdir /home/archived_users/ sudo mv /home/username /home/archived_users/

Foydalanuvchi hisobini vaqtincha bloklash yoki blokdan chiqarish uchun mos ravishda quyidagi sintaksisdan foydalaning:

sudo passwd -l foydalanuvchi nomi sudo passwd -u foydalanuvchi nomi

Moslashtirilgan guruhni qoʻshish yoki oʻchirish uchun mos ravishda quyidagi sintaksisdan foydalaning:

sudo addgroup groupname Sudo delgroup groupname

Guruhga foydalanuvchi qo'shish uchun quyidagi sintaksisdan foydalaning:

sudo adduser foydalanuvchi nomi guruh nomi

Foydalanuvchi profili xavfsizligi

Yangi foydalanuvchi yaratilganda, adduser yordam dasturi /home/username nomli yangi uy katalogini yaratadi. Standart profil barcha profil asoslarini o'z ichiga olgan /etc/skel katalogida joylashgan tarkibdan keyin modellashtirilgan.

Agar sizning serveringizda bir nechta foydalanuvchi bo'lsa, maxfiylikni ta'minlash uchun foydalanuvchi uy katalogi ruxsatlariga e'tibor berishingiz kerak. Odatiy bo'lib, Ubuntu'dagi foydalanuvchi uy kataloglari dunyo o'qish/bajarish ruxsatnomalari bilan yaratilgan. Bu shuni anglatadiki, barcha foydalanuvchilar boshqa foydalanuvchilarning uy kataloglarini ko'rib chiqishlari va ularga kirishlari mumkin. Bu sizning muhitingizga mos kelmasligi mumkin.

Joriy foydalanuvchi uy katalogi ruxsatlarini tekshirish uchun quyidagi sintaksisdan foydalaning:

ls -ld /home/foydalanuvchi nomi

Quyidagi natija /home/username katalogi dunyo tomonidan o'qilishi mumkin bo'lgan ruxsatlarga ega ekanligini ko'rsatadi:

drwxr-xr-x 2 foydalanuvchi nomi foydalanuvchi nomi 4096 2007-10-02 20:03 foydalanuvchi nomi

Siz quyidagi sintaksis yordamida dunyo o'qilishi mumkin bo'lgan ruxsatlarni olib tashlashingiz mumkin:

sudo chmod 0750 /home/username

Ba'zi odamlar barcha pastki papkalar va fayllarni o'zgartiradigan rekursiv opsiyadan (-R) foydalanishga moyildirlar, ammo bu kerak emas va boshqa istalmagan natijalarga olib kelishi mumkin. Ota-katalogning o'zi ota-onadan past bo'lgan narsalarga ruxsatsiz kirishni oldini olish uchun etarli.

Bu masalaga yanada samarali yondashuv foydalanuvchi uy papkalarini yaratishda qo'shimcha foydalanuvchi global standart ruxsatlarini o'zgartirish bo'ladi. Shunchaki /etc/adduser.conf faylini tahrirlang va DIR_MODE o'zgaruvchisini mos keladigan narsaga o'zgartiring, shunda barcha yangi uy kataloglari to'g'ri ruxsatlarni oladi.

Yuqorida aytib o'tilgan usullardan foydalangan holda katalog ruxsatlarini tuzatgandan so'ng, natijalarni quyidagi sintaksisdan foydalanib tekshiring:

ls -ld /home/foydalanuvchi nomi

Quyidagi natijalar dunyoda o‘qilishi mumkin bo‘lgan ruxsatnomalar olib tashlanganligini ko‘rsatadi:

drwxr-x--- 2 foydalanuvchi nomi foydalanuvchi nomi 4096 2007-10-02 20:03 foydalanuvchi nomi

Parol siyosati

Kuchli parol siyosati sizning xavfsizlik pozitsiyangizning eng muhim jihatlaridan biridir. Ko'pgina muvaffaqiyatli xavfsizlik buzilishlari zaif parollarga qarshi oddiy qo'pol kuch va lug'at hujumlarini o'z ichiga oladi. Agar siz mahalliy parol tizimi bilan masofaviy kirishning har qanday shaklini taklif qilmoqchi bo'lsangiz, parolning minimal murakkabligi talablari, parolning maksimal ishlash muddati va autentifikatsiya tizimlarining tez-tez tekshirilishiga mos ravishda javob berganingizga ishonch hosil qiling.

Minimal parol uzunligi

Odatiy bo'lib, Ubuntu 6 ta belgidan iborat minimal parol uzunligini, shuningdek, ba'zi asosiy entropiya tekshiruvlarini talab qiladi. Ushbu qiymatlar quyida ko'rsatilgan /etc/pam.d/common-password faylida nazorat qilinadi.

parol pam_unix.shunda sha512 noaniq

Agar siz minimal uzunlikni 8 ta belgiga moslashtirmoqchi bo'lsangiz, tegishli o'zgaruvchini min=8 ga o'zgartiring. O'zgartirish quyida tasvirlangan.

parol pam_unix.shuning uchun tushunarsiz sha512 minlen=8

Asosiy parol entropiyasini tekshirish va minimal uzunlik qoidalari yangi foydalanuvchini sozlash uchun sudo darajasidagi buyruqlar yordamida administratorga taalluqli emas.

Parolning amal qilish muddati

Foydalanuvchi hisoblarini yaratishda siz foydalanuvchilarni muddati tugagandan so'ng parollarini o'zgartirishga majburlaydigan minimal va maksimal parol yoshiga ega bo'lish siyosatini amalga oshirishingiz kerak.

Foydalanuvchi hisobining joriy holatini osongina ko'rish uchun quyidagi sintaksisdan foydalaning:

sudo chage -l foydalanuvchi nomi

Quyidagi natijada foydalanuvchi hisobiga oid qiziqarli faktlar, ya'ni hech qanday siyosat qo'llanilmaganligi ko'rsatilgan:

Parolni oxirgi oʻzgartirish: 2015-yil 20-yanvar Parolning amal qilish muddati: hech qachon Parol nofaol: hech qachon Hisobning amal qilish muddati tugamaydi: hech qachon Parol oʻzgarishi orasidagi minimal kunlar soni: 0 Parolni oʻzgartirish orasidagi maksimal kunlar soni: 99999 Parolning amal qilish muddati tugashidan oldin ogohlantirish kunlari soni: 7

Ushbu qiymatlardan birini o'rnatish uchun quyidagi sintaksisdan foydalaning va interaktiv ko'rsatmalarga amal qiling:

sudo foydalanuvchi nomini o'zgartirish

Quyida aniq amal qilish muddatini (-E) 01/31/2015, minimal parol yoshi (-m) 5 kun, maksimal parol yoshi (-M) 90 kun, harakatsizlikni qanday qilib qo‘lda o‘zgartirishingiz mumkinligiga misol keltirilgan. Parolning amal qilish muddati tugaganidan keyin 5 kunlik muddat (-I) va parolning amal qilish muddati tugashidan 14 kun oldin ogohlantirish vaqti (-W):/home/username/.ssh/authorized_keys .

Keyingi SSH autentifikatsiya imkoniyatlarini oldini olish uchun foydalanuvchining bosh papkasidagi .ssh/ katalogini olib tashlang yoki nomini o'zgartiring.

Nogironlar tomonidan o'rnatilgan SSH ulanishlarini tekshirishni unutmang, chunki ularda kirish yoki chiquvchi ulanishlar mavjud bo'lishi mumkin. Topilganlarni o'ldiring.

kim | grep foydalanuvchi nomi (pts/# terminalini olish uchun) sudo pkill -f pts/#

SSH kirishini faqat unga ega bo'lishi kerak bo'lgan foydalanuvchi hisoblariga cheklang. Misol uchun, siz "sshlogin" deb nomlangan guruh yaratishingiz va guruh nomini /etc/ssh/sshd_config faylida joylashgan AllowGroups o'zgaruvchisi bilan bog'langan qiymat sifatida qo'shishingiz mumkin.

AllowGroups sshlogin

Keyin ruxsat etilgan SSH foydalanuvchilaringizni "sshlogin" guruhiga qo'shing va SSH xizmatini qayta ishga tushiring.

sudo adduser foydalanuvchi nomi sshlogin sudo systemctl sshd.service ni qayta ishga tushiring

Tashqi foydalanuvchi ma'lumotlar bazasi autentifikatsiyasi

Aksariyat korporativ tarmoqlar markazlashtirilgan autentifikatsiyani va barcha tizim resurslariga kirishni boshqarishni talab qiladi. Agar siz serveringizni foydalanuvchilarni tashqi ma'lumotlar bazalariga nisbatan autentifikatsiya qilish uchun sozlagan bo'lsangiz, tashqi va mahalliy foydalanuvchi hisoblarini o'chirib qo'yganingizga ishonch hosil qiling. Shunday qilib, mahalliy qayta autentifikatsiya qilish mumkin emasligiga ishonch hosil qilasiz.