Управление пользователями и группами

Управление пользователями и группами

УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ И ГРУППАМИ

1. Администратор безопасности компьютера

Любой пользователь компьютера, при соблюдении перечисленных ниже условий, может быть назначен администратором безопасности компьютера по умолчанию:

· пользователь должен обладать всеми привилегиями на администрирование системы защиты, и для него должен быть включен режим запроса пароля при входе в систему.

· пользователь, являющийся администратором по умолчанию, не может быть удален из списка пользователей компьютера.

Для выбора администратора безопасности компьютера необходимо:

1. Вызвать на экран окно управления общими параметрами.

2. Активизировать диалог «Дополнительно»:

Рис. 1. Диалог «Дополнительно»

3. Выбрать в списке «Администратор по умолчанию» нужное имя пользователя.

4. Нажать кнопку «ОК».

2. Пользователи

В системе Secret Net каждому реальному пользователю компьютера ставится в соответствие объект системы защиты — «Пользователь». Далее под управлением пользователем будем понимать управление этим объектом.

Для создания (регистрации) или удаления пользователя необходимо обладать привилегиями на администрирование группы «Пользователи и группы пользователей».

2.1 Создание пользователя

Чтобы включить нового пользователя в состав пользователей компьютера, необходимо создать объект «Пользователь».

Для создания пользователя необходимо:

1. Открыть папку «Пользователи» в окне программы Проводник или в окне папки Secret Net.

2. Установить курсор мыши в области списка пользователей так, чтобы он не попадал ни на один из элементов списка, и нажать правую кнопку мыши.

Рис. 2. Проводник (Создание пользователя)

3. В контекстном меню активизировать команду «Создать\Пользователя». В списке пользователей появится новый объект.

На имя пользователя накладываются следующие ограничения:

· имя пользователя может состоять только из латинских символов, цифр и служебных символов (символы латинской раскладки клавиатуры) и не может превышать 20 символов;

· имя пользователя не должно содержать символов ‘пробел’;

· имя пользователя должно быть уникальным в системе;

· список пользователей компьютера может содержать не более 1020 объектов.

При создании пользователя параметры его работы будут автоматически приведены в соответствие со значениями, хранящимися в шаблоне, установленном в качестве шаблона по умолчанию.

Если в шаблоне по умолчанию установлен параметр «Запрос пароля», на экране появится диалог определения пароля пользователя:

Рис. 3. Диалог определения пароля

4. Указать пароль для входа пользователя в систему.

После того как новый пользователь создан, необходимо перейти к определению параметров и режимов его работы на компьютере и, если это необходимо, включить нового пользователя в соответствующие группы пользователей.

2.2 Переименование пользователя

Для изменения имени пользователя необходимо:

1. Открыть папку «Пользователи» в окне программы Проводник или в окне папки Secret Net. На экране появится список пользователей компьютера.

2. Вызвать контекстное меню для ярлыка с именем нужного пользователя и активизировать команду «Переименовать».

3. Ввести с клавиатуры новое имя пользователя.

4. Нажать клавишу .

2.3 Удаление пользователя

Для удаления пользователя необходимо:

1. Открыть папку «Пользователи» в окне программы Проводник или в окне папки Secret Net. На экране появится список пользователей компьютера.

2. Вызвать контекстное меню для ярлыка с именем удаляемого пользователя и активизировать команду «Удалить». Или выбрать ярлык и нажать клавишу (или одноименную кнопку панели инструментов).

3. Подтвердить удаление в появившемся на экране окне запроса.

Запрещено удаление пользователя, являющегося администратором безопасности компьютера по умолчанию, а также пользователей с именами SUPERVISOR и NETWORK.

2.4 Предоставление привилегий

В системе Secret Net пользователю могут быть предоставлены привилегии двух типов:

1. Привилегии на работу с системой — эти привилегии разрешают пользователю превышать свои права на доступ к ресурсам компьютера и игнорировать некоторые другие ограничения его работы в системе;

2. Привилегии на администрирование системы защиты — эти привилегии разрешают пользователю управлять работой системы защиты.

Для предоставления привилегий пользователю необходимо:

1. Вызвать на экран окно управления свойствами пользователя.

2. Активизировать диалог «Привилегии»:

Рис. 4. Диалог «Привилегии»

3. Предоставить пользователю необходимые привилегии на работу с системой (см. табл. 1 и 2). Список «Привилегии на работу с системой» содержит перечень всех привилегий этого типа. Привилегии, предоставленные пользователю в данный момент, имеют отметку слева от названия привилегии.

Привилегии на доступ к ресурсам компьютера, предоставленные пользователю, имеют высший приоритет при определении прав доступа пользователя к ресурсам.

4. Предоставить пользователю необходимые привилегии на администрирование системы защиты. Список «Привилегии на администрирование системы» содержит перечень всех привилегий на администрирование системы Secret Net, которые могут быть предоставлены пользователю. Привилегии, предоставленные пользователю, имеют отметку слева от названия привилегии.

5. Нажать кнопку «ОК».

Привилегии на работу с системой

Привилегии Назначение
Видимость дисков Во всех программах, отображающих список существующих логических дисков, показывать пользователю логические диски, даже если доступ к этим дискам ему запрещен (определены права на доступ к диску «Нет доступа»)
Видимость каталогов Во всех программах, отображающих список существующих каталогов, показывать пользователю каталоги, даже если доступ к этим каталогам ему запрещен (определены права на доступ к каталогу «Нет доступа»)
Видимость файлов Во всех программах, отображающих список существующих файлов, показывать пользователю имена файлов, даже если доступ к этим файлам ему запрещен (определены права на доступ к файлу «Нет доступа»)
Без атрибутов на дисках Отменить для пользователя все ограничения на доступ к логическим дискам
Без атрибутов на каталогах Игнорировать присвоенные каталогам атрибуты доступа и владения. Пользователь наделяется правами полного доступа ко всем каталогам, находящимся на локальных дисках компьютера (если это не запрещено атрибутами доступа к дискам)
Окончание табл. 1
Назначение Назначение
Без атрибутов на файлах Игнорировать атрибуты доступа и владения, присвоенные файлам. Пользователь наделяется правами полного доступа ко всем файлам, находящимся на локальных дисках компьютера (если это не запрещено атрибутами доступа к дискам и каталогам)
Без ограничений по настройкам Игнорировать ограничения и запреты, установленные для пользователя:· при выключении мягкого режима работы для замкнутой программной среды и мягкого режима для атрибутов;· при настройке свойств пользователя в диалоге «Запреты»;· расписанием работы пользователя на компьютере

Привилегии на администрирование системы защиты

Привилегии Пояснения
Группа привилегий «Параметры компьютера»
Нет доступа Вызов окна «Настройки Secret Net 4.0» запрещен
Только просмотр Разрешен вызов окна «Настройки Secret Net 4.0», но запрещено вносить любые изменения в поля диалогов этого окна
Уровень 1 Разрешен вызов окна «Настройки Secret Net 4.0». Разрешено изменять значения только тех полей этого окна, которые принадлежат диалогу «Общие»
Уровень 2 Разрешен вызов окна «Настройки Secret Net». Разрешено изменять значения всех полей этого окна
Продолжение табл. 2
Привилегии Пояснения
Группа привилегий «Параметры своей работы»
Нет доступа В списке пользователей компьютера не отображается ярлык с именем данного пользователя. Вызов окна «Свойства пользователя» для этого пользователя запрещен
Только просмотр Разрешен вызов окна «Свойства пользователя» для просмотра параметров работы данного пользователя. Запрещено вносить любые изменения
Уровень 1 Разрешен вызов окна «Свойства пользователя» для просмотра параметров работы данного пользователя. Пользователю разрешено менять свой пароль, комбинацию клавиш для вызова хранителя экрана, интервал паузы неактивности
Уровень 2 Разрешен вызов окна «Свойства пользователя» для просмотра и изменения некоторых параметров работы данного пользователя. Пользователю разрешается менять свой пароль, комбинацию клавиш для вызова хранителя экрана, интервал паузы неактивности и атрибуты, устанавливаемые по умолчанию на создаваемые им ресурсы
Уровень 3 Разрешено просматривать и изменять любые параметры работы данного пользователя.
Группа привилегий «Параметры работы других пользователей»
Нет доступа В списке пользователей компьютера не отображаются ярлыки с именами других пользователей. Вызов окна «Свойства пользователя» для всех (кроме данного) пользователей компьютера запрещен
Только просмотр Разрешен вызов окна «Свойства пользователя» для просмотра параметров работы любого другого (кроме данного) пользователя компьютера. Запрещено вносить любые изменения
Продолжение табл. 2
Привилегии Пояснения
Уровень 1 Разрешен вызов окна «Свойства пользователя» для просмотра и изменения параметров работы любого другого (кроме данного) пользователя компьютера. Разрешено изменять только комбинацию клавиш для вызова хранителя экрана и интервал паузы неактивности
Уровень 2 Разрешен вызов окна «Свойства пользователя» для просмотра и изменения параметров работы любого другого (кроме данного) пользователя компьютера. Разрешено изменять значения параметров, перечисленных выше, а также:· Имя пользователя;· Дополнительную информацию о пользователе;· «Пользователь блокирован»;· «Атрибуты по умолчанию»;· Ограничения по времени работы;· «Ограничение запуска программ со станций с указанными ОС»;
· «Шаблон настроек»;· «Ограничение доступа к портам»;· «Ограничения для пользователей Windows ‘9x»;· «Регистрация событий»;· «Не регистрировать»;пользователю разрешается изменять значения атрибутов доступа к дискам
Уровень 3 Разрешено изменять любые параметры работы любого другого (кроме данного) пользователя компьютера
Продолжение табл. 2
Привилегии Пояснения
Группа привилегий «Пользователи и группы пользователей»
Создание объектов Разрешено создание пользователя или группы пользователей
Удаление объектов Разрешено удаление пользователя или группы пользователей
Изменение групп пользователей Разрешено изменение названия группы пользователей, изменение дополнительной информации о группе пользователей, управление составом групп пользователей
Группа привилегий «Атрибуты системы защиты»
Нет доступа При обращении к диалогам управления атрибутами Secret Net дисков, каталогов и файлов содержание диалогов не отображается
Просмотр для своих и общих ресурсов Разрешено отображение диалогов управления атрибутами Secret Net каталогов и файлов, не имеющих владельца или принадлежащих данному пользователю. Запрещено вносить любые изменения. Запрещено отображение содержания диалогов управления атрибутами Secret Net дисков
Просмотр для всех ресурсов Разрешено отображение диалогов управления атрибутами Secret Net всех дисков, каталогов и файлов, но запрещено вносить любые изменения
Изменение для своих и общих ресурсов Разрешено отображение диалогов управления атрибутами Secret Net дисков, каталогов и файлов. Разрешено изменение прав доступа (кроме дополнительных атрибутов файлов) для каталогов и файлов, не имеющих владельца или принадлежащих данному пользователю. Запрещено изменение прав доступа к дискам
Продолжение табл. 2
Привилегии Пояснения
Изменение для всех ресурсов Разрешено отображение диалогов управления атрибутами Secret Net всех дисков, каталогов и файлов. Разрешено изменение прав доступа, кроме изменения дополнительных атрибутов файлов. Разрешено владеть файлами программ из списка разрешенных для запуска программ (UEL-список)
Полный доступ Нет ограничений по управлению атрибутами Secret Net для дисков, каталогов и файлов компьютера.
Группа привилегий «Категории конфиденциальности ресурсов»
Нет доступа При вызове пользователем окна управления свойствами диска и каталога в диалоге «Secret Net» не отображается поле «Категория конфиденциальности»
Только просмотр Поле «Категория конфиденциальности» отображается, но изменить значение поля нельзя
Просмотр и засекречивание Разрешено повышать конфиденциальность ресурсов в поле «Категория конфиденциальности»
Полный доступ Нет ограничений на изменение значения поля «Категория конфиденциальности».
Группа привилегий «Системный журнал»
Нет доступа Запрещается вызов локального системного журнала
Только просмотр Разрешен просмотр содержания локального системного журнала
Просмотр, печать и экспорт Разрешено просматривать, выводить на печать и преобразовывать в файл содержание системного журнала
Полный доступ Разрешены любые действия с системным журналом (можно вносить изменения в системный журнал и удалять записи из журнала)
Окончание табл. 2
Привилегии Пояснения
Группа привилегий «Система защиты»
Переустановка и отключение системы Разрешено редактировать файл CONFIG.SYS. Разрешено осуществлять переустановку и отключение системы защиты на компьютере
Удаление системы Разрешено осуществлять полное снятие (удаление) системы защиты с компьютера.
Читайте также:  Как соединять коннекторами провода

2.5 Ограничение времени работы

Средства системы Secret Net позволяют составить расписание работы пользователя на компьютере. При попытке пользователя войти в систему в нерабочее время, а также, если время, отведенное пользователю для работы, истекло, компьютер будет заблокирован и на экране появится соответствующее предупреждение.

Навигация по основам Linux от основателя Gentoo:
Часть I:
Часть II:
Часть III

Управление аккаунтами в Linux

Знакомьтесь, /etc/passwd

В этом разделе мы познакомимся с механизмом управления аккаунтами в Linux и начнем с файла /etc/passwd, в котором определены все пользователи, которые существуют в системе. Вы можете посмотреть свой файл /etc/passwd, набрав команду less /etc/passwd. Каждой строкой в /etc/passwd определяется аккаунт пользователя. Вот пример из моего /etc/passwd:

drobbins:x:1000:1000:Daniel Robbins:/home/drobbins:/bin/bash

Как видите, в одной строке не так уж много информации. Каждая из них содержит несколько полей, разделённых ":". Первое поле отвечает за имя пользователя (drobbins), второе поле содержит «x». На устаревших Linux-системах второе поле содержало зашифрованных пароль для аутентификации, но фактически, сейчас все Linux-системы хранят эту информацию в другом файле. Третье поле отвечает за числовой пользовательский идентификатор, связанный с конкретным пользователем, а четвертое поле ассоциирует этого пользователя с конкретной группой; скоро мы увидим, где определена группа 1000. Пятое поле содержит текстовое описание аккаунта, в нашем случае это имя пользователя. Шестое поле определяет домашний каталог пользователя, седьмое — устанавливает стартовую оболочку пользователя, которая будет автоматически запускаться когда пользователь входит в систему.

/etc/passwd, советы и хитрости

Вы вероятно заметили, что в системе намного больше пользовательских аккаунтов, которые определены в /etc/passwd, чем тех, которые логинятся в систему на самом деле. Всё это потому, что различные компоненты Linux используют некоторые аккаунты для повышения безопасности. Обычно, такие системные аккаунты имеют идентификатор (uid) меньший 100, и у многих из них в качестве стартовой оболочки установлена /bin/false. Так как эта программа ничего не делает, кроме как выходит и возвращает код ошибки, это эффективно препятствует использованию этих аккаунтов в качестве обычных аккаунтов для логина — т.е. они предназначены только для внутрисистемного пользования.

/etc/shadow

Итак, сами пользовательские аккаунты определены в /etc/passwd. Системы Linux вдобавок к /etc/passwd содержат его файл-компаньон /etc/shadow. Он, в отличие от /etc/passwd, доступен для чтения только суперпользователю и содержит зашифрованную информацию о паролях. Взглянем на образец строки из /etc/shadow:

drobbins:$1$1234567890123456789012345678901:11664:0:-1:-1:-1:-1:0

Каждая строка определяет информацию о пароле конкретного аккаунта, поля в ней разделены знаком ":". Первое поле определяет конкретный пользовательский аккаунт, которому соответствует данная «теневая» запись. Во втором поле содержится зашифрованный пароль. Оставшиеся поля описаны в таблице ниже:

поле 3 — количество дней с 01.01.1970 до момента, когда пароль был изменен
поле 4 — количество дней до того, как будет разрешено сменить пароль («0» — «менять в любое время»)
поле 5 — количество дней до того, как система заставит пользователя сменить пароль ("-1" — «никогда»)
поле 6 — количество дней до истечения срока действия пароля, когда пользователь получит предупреждение об этом ("-1" — «не предупреждать»)
поле 7 — количество дней после истечения срока действия пароля, по прошествии которых аккаунт будет автоматически отключен системой ("-1" — «не отключать»)
поле 8 — количество дней, прошедшее с момента отключения этого аккаунта ("-1" — «этот аккаунт включен»)
поле 9 — зарезервировано для будущего использования

Читайте также:  Добавить данные в базу данных c

/etc/group

Теперь взглянем на файл /etc/group, который определяет группы в системе Linux. Вот примерная строка из него:

drobbins:x:1000:

Формат полей файла /etc/group следующий: первое поле определяет имя группы, второе поле — это поле остаточного пароля, которое сейчас просто зарезервировано x, и третье поле определяет числовой идентификатор для конкретной группы. Четвертое поле (которое пусто в примере выше) определяет всех членов группы.

Вспомните, что в нашем образце строки из /etc/passwd есть «ссылка» на группу с идентификатором 1000. Мы сможем поместить пользователя drobbins в группу drobbins, даже несмотря на отсутствие имени drobbins в четвертом поле /etc/group.

Примечания о группах

Замечание насчет соответствия пользователей с группами: на некоторых системах каждый новый логин-аккаунт связан с группой, имеющей то же имя (и обычно идентификатор). На других системах все логин-аккаунты будут принадлежать к одной группе пользователей. Какой из этих методов выбрать зависит от вас. Создание соответствующей группы для каждого пользователя имеет преимущество в том, что позволяет им более легко контролировать их собственный доступ просто помещая доверенных друзей в свою личную группу.

Ручное создание пользователей и групп

Теперь, я покажу как создать аккаунты для пользователя и группы. Лучший путь узнать как это сделать это добавить нового пользователя в систему вручную. Для начала убедитесь что вашей переменной окружения EDITOR соответствует ваш любимый редактор:

# echo $EDITOR
vim

Если это не так, то вы можете установить переменную EDITOR, набрав что-то, вроде:

# export EDITOR=/usr/bin/emacs
# vipw

Теперь ваш редактор должен быть запущен с уже загруженным /etc/passwd экране. Изменяя системные файлы passwd и group обязательно используйте команды vipw и vigr. Они имеют повышенные меры предосторожности, оберегая ваши файлы от участи быть испорченными.

Редактирование /etc/passwd

Итак, у вас уже есть готовый файл /etc/passwd, добавьте теперь следующую строку:

testuser:x:3000:3000:LPI tutorial test user:/home/testuser:/bin/false

Мы только что добавили пользователя «testuser» с идентификатором 3000. Мы определили его в группу с таким же идентификатором, которую еще не создали. Но мы можем добавить его к уже имеющейся группе пользователей, если нужно. У этого пользователя установлен комментарий, гласящий «LPI tutorial test user», домашний каталог установлен как "/home/testuser", а командная оболочка — как "/bin/false", в целях безопасности. Если бы мы создавали не тестовый аккаунт, мы бы установили командную оболочку как "/bin/bash". Отлично, теперь сохраните файл и выходите.

Редактирование /etc/shadow

Сейчас нам нужно добавить запись в /etc/shadow для этого пользователя. Для этого наберите vipw -s. Вас как всегда встретит ваш любимый редактор в котором уже открыт файл /etc/shadow. Теперь скопируйте строку существующего пользовательского аккаунта (того, у которого есть пароль и запись которого длиннее стандартных записей системных аккаунтов)

drobbins:$1$1234567890123456789012345678901:11664:0:-1:-1:-1:-1:0

Замените имя пользователя в скопированной строке на имя вашего пользователя и убедитесь что все поля (особенно старый пароль) установлены как вам надо:

testuser:$1$1234567890123456789012345678901:11664:0:-1:-1:-1:-1:0

Теперь сохраните и закройте.

Установка пароля

Вы вернетесь к командной строке. Теперь, самое время задать пароль для вашего нового пользователя.

# passwd testuser
Enter new UNIX password: (enter a password for testuser)
Retype new UNIX password: (enter testuser’s new password again)

Редактирование /etc/group

Теперь /etc/passwd и /etc/shadow готовы и самое время как следует настроить /etc/group. Для этого, наберите:

# vigr

Перед вами появится ваш /etc/group файл, готовый для редактирования. Итак, если ранее вы решили добавить созданного пользователя к уже имеющейся группе, то вам не понадобиться создавать новую группу в /etc/groups. Если это не так, вам нужно добавить новую группу для этого пользователя, введите следующую строку:

testuser:x:3000:

Теперь сохраните и закройте.

Создание домашней директории

Мы почти закончили. Выполните следующие команды для создания домашнего каталога testuser’а:

# cd /home
# mkdir testuser
# chown testuser:testuser testuser
# chmod o-rwx testuser

Наш каталог пользователя на месте и аккаунт готов к использованию. Уже почти готово. Если вы собираетесь использовать этот аккаунт, вам надо будет воспользоваться vipw для смены стартовой оболочки на /bin/bash, так, чтобы пользователь смог войти.

Утилиты администрирования учетных записей

Вы уже знаете как вручную добавить новые аккаунты и группы, давайте же теперь рассмотрим различные, экономящие время, утилиты для управления аккаунтами под Linux. Из-за некоторых ограничений мы не будем рассматривать множество деталей, описывающих эти команды. Запомните — вы всегда можете получить больше информации о какой-либо команде если посмотрите её man-страничку. Если вы планируете сдавать LPIC 101 экзамен, вам следует провести побольше времени на ознакомление с каждой из этих команд.

newgrp — По умолчанию, любой файл, который создает пользователь, сразу же присваивается к группе, в которой он состоит, определенной в /etc/passwd. Если пользователь принадлежит к другим группам, он или она может набрать newgrp thisgroup чтобы стать членом группы thisgroup. Затем, любые новые созданные файлы унаследуют членство в thisgroup.
chage — Команда chage используется для просмотра и изменения настроек срока действия паролей, сохраненных в /etc/shadow.
gpasswd — Основная утилита управления группами
groupadd/groupdel/groupmod — Используются для добавления/удаления/изменения групп в /etc/group
useradd/userdel/usermod — Используются для добавления/удаления/изменения пользователей в /etc/passwd. Эти команды могут выполнять и другие полезные функции. Смотрите man для получения дополнительной информации.
pwconv/grpconv — Используются для преобразования passwd и group файлов старого образца в новые shadow passwords. Фактически, все Linux системы уже используют shadow passwords, так что вам никогда не придется использовать эти команды.

Перевод выполнил коллективный разум с помощью notabenoid.com. Спасибо следующим benoid-юзерам (в алфавитном порядке): kindacute, nekjine, Rich. А также инициатору всей серии переводов, VBart.

Об авторах

Daniel Robbins

Дэниэль Роббинс — основатель сообщества Gentoo и создатель операционной системы Gentoo Linux. Дэниэль проживает в Нью-Мехико со свой женой Мэри и двумя энергичными дочерьми. Он также основатель и глава Funtoo, написал множество технических статей для IBM developerWorks, Intel Developer Services и C/C++ Users Journal.

Chris Houser

Крис Хаусер был сторонником UNIX c 1994 года, когда присоединился к команде администраторов университета Тэйлора (Индиана, США), где получил степень бакалавра в компьютерных науках и математике. После он работал во множестве областей, включая веб-приложения, редактирование видео, драйвера для UNIX и криптографическую защиту. В настоящий момент работает в Sentry Data Systems. Крис также сделал вклад во множество свободных проектов, таких как Gentoo Linux и Clojure, стал соавтором книги The Joy of Clojure.

Общие сведения о пользователях

Как мы уже знаем Linux является многопользовательской системой, то есть в ней могут быть зарегистрированы и одновременно работать сразу несколько пользователей.

Как можно работать всем сразу на одном компьютере?

Читайте также:  Накамерный свет своими руками

Для этого достаточно подключиться к нему удаленно. Это нормальное явление для серверов.

Во всех Linux системах существуют суперпользователь ( root ), который может абсолютно все и обычные пользователи, которые могут обладать правами администратора или не обладать ими вовсе. Все зависит от требований к работе системы.

Логика работы Linux такова, что определенным пользователям назначаются определенные права, то есть одни могут настраивать систему и менять конфигурацию, а другие могут лишь просматривать и редактировать документы.

Так как пользователей может быть очень много, к тому же каждый пользователь может выполнять лишь определенную часть работы, то в системе существуют и группы. Каждая группа имеет определенные привилегия и права на осуществление определенных задач.

Чтобы гибче управлять правами и привилегиями пользователей достаточно создать необходимые группы и назначать пользователей в ту или иную группу, не меняя при этом привилегия самого пользователя.

Например, в системе зарегистрировано 200 пользователей — это равносильно средней компании. Для корректной работы системы было решено выделить следующие группы:

  • администраторы с полными правами
  • администраторы для установки и настроек пользовательских программ
  • продвинутые пользователи, которые могут менять параметры, связанные с их личным аккаунтом, а также устанавливать свои программы
  • обычные пользователи, которые не могут ничего настраивать и устанавливать программы

Вроде бы ничего сложного, но сделать это все для 200 и более пользователей довольно утомительная задача. К тому же работники приходят и уходят, переходят на другие позиции и всегда нужно знать кому и какие права необходимо назначить. Гораздо проще назначить все необходимые привилегия группам, а затем добавить пользователей в эти группы.

А может пользователь состоять в нескольких группах?

Конечно, в этом и заключается вся прелесть.

А сколько всего можно иметь пользователей и групп в системе?

Теоретически и тех и других может быть в системе по 65535. Это связано с тем, что каждый пользователь и группа имеют свой уникальный номер, который принимает значения от 0 до 65535:

UID (User ID) — идентификатора пользователя

GID (Group ID) — идентификатор группы

Однако в Linux можно создать пользователей и с повторяющимися идентификаторами, поэтому количество пользователей может быть еще больше.

Суперпользователь root всегда имеет UID = 0 , он также состоит в группе root и имеет GID = 0 .

Значения от 0 до 500 зарезервированы самой системой. От 501 и выше назначаются новым пользователям и группам.

Каждый пользователь имеет свои собственные настройки, например какой командный интерпретатор запускается, домашний каталог, группы, в которых состоит.

По умолчанию, когда создается новый пользователь, то автоматически создается и домашний каталог в /HOME . Имя каталога всегда совпадает с именем пользователя в системе (login). Однако это необязательное условие, домашний каталог может быть где угодно, даже на съемных носителях.

Прежде, чем приступим к управлению учетными записями ознакомимся с какими файлами нам придется работать.

Каждому пользователю присущи следующие атрибуты:

  • логин для входа в систему
  • пароль
  • оболочка терминала (bash, shell и др.)
  • персональные данные (имя, фамилия, компания и т.д.)
  • принадлежность к группам в системе

И естественно возникает резонный вопрос: “А где хранятся все эти данные?”

Рассмотрим по порядку каждый файл.

Судя по названию можно предположить, что в этом файле хранятся пароли пользователей, но это не так. Данный файл содержит следующую информацию:

  • логин
  • идентификатор пользователя UID
  • идентификатор группы, в которой он состоит GID
  • персональная информация, которая в Linux еще называется finge r
  • путь к домашнему каталогу
  • командный интерпретатор

Доступ к файлу ограничен. Его можно просматривать, но нельзя редактировать обычным пользователям. Вот как он выглядит:

А вот, что означает каждое поле:

Файл содержит очень много пользователей. Зачем они все?

На самом деле это не простые пользователи, а системные. Их UID меньше 500 и используются они для выполнения специфических задач для обеспечения работоспособности системы в целом.

Если необходимо добавить пользователя, можно ли просто добавить нужную запись в конец файла? Будет ли данный пользователь активен?

Да, будучи суперпользователем можно добавить запись, но необходимо еще настроить пароль.

Этот файл содержит информацию о пароле.

То есть можно увидеть пароли всех пользователей?

Нет, в открытом виде пароли уже давно не хранятся. Хранится лишь их хэш, то есть когда вводится новый пароль его шифрует хэш функция и в дальнейшем уже сравниваются лишь хэши.

Файл содержит следующую информацию:

  • логин для привязки соответствующей записи в /etc/passwd с текущей записью в /etc/shadow
  • хэш пароля
  • дата последнего изменения пароля
  • минимальное количество дней между изменениями пароля, то есть когда можно поменять пароль, если вдруг не понравился
  • максимальное количество дней между изменениями пароля
  • количество дней до истечения действия пароля, чтобы выдать предупреждение пользователю
  • количество дней после истечения срока действия пароля, после чего учетная запись отключается
  • Срок действия учетной записи

Вот как выглядит файл:

А вот, что означает каждое поле:

А что означают знаки “ * ” и “ ! ” в поле пароля?

Знак “ * ” устанавливается только у системных пользователей и означает, что нельзя войти в систему от имени системного пользователя.

Если знак “ ! ” стоит перед хэшем пароля, то это означает, что пароль и учетная запись заблокированы и пользователь не сможет войти в систему.

Если после знака “ ! ” нет хэша, то это означает, что пароль не установлен и учетная запись временно заблокирована до тех пор, пока не установят пароль:

В нем содержится информация о группах:

  • название группы
  • идентификатор группы GID
  • список пользователей, входящих в конкретную группу

Вот как выглядит файл:

А вот и пояснение к каждому полю:

А это файл содержит информацию о паролях групп:

  • название группы
  • зашифрованный пароль
  • администраторы через запятую
  • обычные пользователи через запятую

Вот как он выглядит:

А вот и описание:

А зачем группе пароль?

Дело в том, что некоторые группы могут обладать расширенными правами. Чтобы пользователь смог вступить в группу ему предлагается ввести пароль данной группы. Если он его знает, то становится членом группы.

А если у группы не установлен пароль?

Если у группы нет пароля, об этом свидетельствует знак “ ! ” в поле пароля, то пользователь не сможет вступить в группу.

Но ведь группа будет активна и без пароля?

Знак “ * ” в поле пароля некоторых групп означает то же самое, что и у пользователей?

Не совсем. Знак “ * ” присутствует у системных групп. Пароли этих групп можно менять будучи суперпользователем, а также можно вступать в эти группы, достаточно лишь знать пароль группы. Когда пароль устанавливается для системных групп, то знак “ * ” сменяется на зашифрованный пароль.

В данном каталоге хранятся необходимые файлы, которые необходимы каждому пользователю, имеющему свой домашний каталог. При создании учетной записи все файлы данного каталога автоматически копируются в домашний каталог нового пользователя. Все файлы скрытые.

Ссылка на основную публикацию
Унитаз санита аттика отзывы
Перед тем как покупать Sanita Аттика хочется прочитать о нём отзывы владельцев, тех людей, кто уже купил и пользуется товаром...
Требовалось написать программу при выполнении
Требовалось написать программу, при выполнении которой с клавиатуры считывается натуральное число N, не превосходящее 109, и выводится максимальная цифра этого...
Трафареты шрифтов для вырезания из бумаги распечатать
Трафареты и шаблоны букв русского алфавита для вырезания из бумаги помогут вам красиво и быстро нанести надпись на любую поверхность....
Упал iphone полосы на экране
Узнайте, что делать. Если экран слишком чувствителен или не всегда реагирует на касания Перезапустите устройство. Убедитесь, что экран устройства чист,...
Adblock detector