LFCA: Naučite upravljanje korisničkim nalozima – Dio 5

Kao administrator sistema Linux, imaćete zadatak da obezbedite nesmetan tok svih IT operacija u vašoj organizaciji. S obzirom na to da su neke IT operacije isprepletene, administrator sistema obično nosi mnogo šešira, uključujući i funkciju administratora baze podataka ili mreže.

Ovaj članak je 5. dio serije LFCA, ovdje u ovom dijelu ćete se upoznati sa općim naredbama sistemske administracije za kreiranje i upravljanje korisnicima u Linux sistemu.

Upravljanje korisničkim računom u Linuxu

Jedna od primarnih odgovornosti administratora Linux sistema je kreiranje i upravljanje korisnicima u Linux sistemu. Svaki korisnički račun ima 2 jedinstvena identifikatora: korisničko ime i ID korisnika (UID).

U suštini, postoje 3 glavne kategorije korisnika u Linuxu:

Root korisnik

Root korisnik je najmoćniji korisnik u Linux sistemu i obično se kreira tokom procesa instalacije. Root korisnik ima apsolutnu moć u Linux sistemu ili bilo kom drugom OS-u sličnom UNIX-u. Korisnik može pristupiti svim naredbama, datotekama i direktorijima i modificirati sistem prema svojim željama.

Root korisnik može ažurirati sistem, instalirati i deinstalirati pakete, dodavati ili uklanjati druge korisnike, dodjeljivati ili opozivati dozvole i obavljati bilo koji drugi zadatak sistemske administracije bez ikakvih ograničenja.

Root korisnik može učiniti bilo šta na sistemu. Pretpostavka Linux i sistema sličnih UNIX-u je da vi dobro znate šta radite sa sistemom. Uz to, root korisnik može lako razbiti sistem. Sve što je potrebno je da izvršite fatalnu komandu i sistem će biti u dimu.

Iz tog razloga, pokretanje komandi kao root korisnik je veoma obeshrabreno. Umjesto toga, dobra praksa zahtijeva da konfigurirate sudo korisnika. To je dodijeliti sudo privilegije običnom korisniku za obavljanje određenih administrativnih zadataka i ograničiti neke zadatke samo na root korisnika.

Redovni korisnik

Redovni korisnik je normalan korisnik za prijavu kojeg može kreirati administrator sistema. Obično postoji odredba da se jedan kreira tokom procesa instalacije. Međutim, i dalje možete kreirati onoliko redovnih korisnika koliko je potrebno nakon instalacije.

Redovni korisnik može obavljati samo zadatke i pristupati datotekama i direktorijima za koje je ovlašten. Ako je potrebno, redovnom korisniku se mogu dodijeliti povišene privilegije za obavljanje zadataka na administrativnoj razini. Redovni korisnici se također mogu izbrisati ili onemogućiti kada se ukaže potreba.

Servisni račun

Ovo je račun bez prijave koji se kreira kada se instalira softverski paket. Takve račune koriste usluge za izvršavanje procesa u sistemu. Nisu dizajnirani niti namijenjeni za obavljanje bilo kakvih rutinskih ili administrativnih zadataka u sistemu.

Datoteke za upravljanje korisnicima

Informacije o korisnicima u Linux sistemu pohranjene su u sljedećim datotekama:

  • Datoteka /etc/passwd
  • Datoteka /etc/group
  • Datoteka /etc/gshadow
  • Datoteka /etc/shadow

Hajde da razumemo svaki fajl i šta radi:

Datoteka /etc/passwd

Datoteka /etc/passwd sadrži dosta informacija o korisnicima koje se nalaze u različitim poljima. Da vidite sadržaj datoteke, jednostavno koristite naredbu cat kao što je prikazano.

cat /etc/passwd

Evo isječka izlaza.

tecmint:x:1002:1002:tecmint,,,:/home/tecmint:/bin/bash

Fokusirajmo se na prvu liniju i razjasnimo različita polja. Počevši od krajnje lijeve strane, imamo sljedeće:

  • Korisničko ime: Ovo je ime korisnika, u ovom slučaju tecmint.
  • Lozinka: Druga kolona predstavlja šifrovanu lozinku korisnika. Lozinka se ne štampa u običnom tekstu, već se koristi čuvar mesta sa znakom x.
  • UID: Ovo je korisnički ID. To je jedinstveni identifikator za svakog korisnika.
  • GID: Ovo je ID grupe.
  • Kratak opis ili sažetak korisnika.
  • Ovo je put do korisničkog kućnog direktorija. Za korisnika tecmint imamo /home/tecmint.
  • Ovo je ljuska za prijavu. Za obične korisnike koji se prijavljuju, ovo je obično predstavljeno kao /bin/bash. Za uslužne račune kao što su SSH ili MySQL, ovo se obično predstavlja kao /bin/false.

Datoteka /etc/group

Ova datoteka sadrži informacije o korisničkim grupama. Kada je korisnik kreiran, ljuska automatski kreira grupu koja odgovara korisničkom imenu korisnika. Ovo je poznato kao primarna grupa. Korisnik se dodaje u primarnu grupu nakon kreiranja.

Na primjer, ako kreirate korisnika po imenu bob, sistem automatski kreira grupu pod nazivom bob i dodaje korisnika bob u grupu.

cat /etc/group

tecmint:x:1002:

Datoteka /etc/group ima 3 kolone. Sa krajnje lijeve strane imamo:

  • Ime grupe. Ime svake grupe mora biti jedinstveno.
  • Lozinka grupe. Obično je predstavljeno mjestom x.
  • ID grupe (GID)
  • Članovi grupe. To su članovi koji pripadaju grupi. Ovo polje ostaje prazno ako je korisnik jedini član grupe.

NAPOMENA: Korisnik može biti član više grupa. Isto tako, grupa može imati više članova.

Da potvrdite grupe kojima korisnik pripada, pokrenite naredbu:

groups username

Na primjer, da provjerite grupe kojima korisnik tecmint pripada, pokrenite naredbu:

groups tecmint

Izlaz potvrđuje da korisnik pripada dvije grupe: tecmint i sudo.

tecmint : tecmint sudo

Datoteka /etc/gshadow

Ova datoteka sadrži šifrirane ili „zasjenjene“ lozinke za grupne račune i, iz sigurnosnih razloga, ne mogu joj pristupiti redovni korisnici. Čitaju ga samo root korisnik i korisnici sa sudo privilegijama.

sudo cat /etc/gshadow

tecmint:!::

Sa krajnje lijeve strane, datoteka sadrži sljedeća polja:

  • Ime grupe
  • Šifrovana šifra grupe
  • Admin grupe
  • Članovi grupe

Datoteka /etc/shadow

Datoteka /etc/shadow pohranjuje stvarne lozinke korisnika u heširanom ili šifrovanom formatu. Opet, polja su razdvojena dvotočkama i imaju prikazani format.

sudo cat /etc/shadow

tecmint:$6$iavr8PAxxnWmfh6J$iJeiuHeo5drKWcXQ.BFGUrukn4JWW7j4cwjX7uhH1:18557:0:99999:7:::

Fajl ima 9 polja. Počevši od krajnje lijeve strane imamo:

  • Korisničko ime: Ovo je vaše ime za prijavu.
  • korisnička lozinka. Ovo je predstavljeno u heširanom ili šifrovanom formatu.
  • Posljednja promjena lozinke. Ovo je datum od kada je lozinka promijenjena i računa se od datuma epohe. Epoha je 1. januar 1970. godine.
  • Minimalna starost lozinke. Ovo je minimalni broj dana koji mora proći prije nego što se može postaviti lozinka.
  • Maksimalna starost lozinke. Ovo je maksimalni broj dana nakon kojih se lozinka mora promijeniti.
  • Period upozorenja. Kao što ime sugerira, ovo je broj dana neposredno prije isteka lozinke kada je korisnik obaviješten o predstojećem isteku lozinke.
  • Period neaktivnosti. Broj dana nakon isteka lozinke kada je korisnički račun onemogućen bez promjene lozinke.
  • Datum isteka. Datum kada je korisnički nalog istekao.
  • Rezervisano polje. – Ovo je ostavljeno prazno.

Kako dodati korisnike u Linux sistem

Za Debian i Ubuntu distribucije, uslužni program adduser koristi se za dodavanje korisnika.

Sintaksa je prilično jednostavna i jasna.

adduser username

Na primjer, da dodate korisnika po imenu bob, pokrenite naredbu

adduser bob

Iz izlaza se kreira korisnik po imenu ‘bob’ i dodaje se u novokreiranu grupu pod nazivom ‘bob’. Osim toga, sistem također kreira kućni direktorij i kopira konfiguracijske datoteke u njega.

Nakon toga, od vas će biti zatraženo da unesete lozinku novog korisnika, a zatim je potvrdite. Shell će od vas također zatražiti puno ime korisnika i druge neobavezne informacije kao što su broj sobe i poslovni telefon. Ove informacije zapravo nisu neophodne, pa ih je sigurno preskočiti. Na kraju, pritisnite ‘Y’ da potvrdite da su date informacije tačne.

Za RHEL & CentOS bazirane sisteme, koristite naredbu useradd.

useradd bob

Zatim postavite lozinku za korisnika pomoću naredbe passwd na sljedeći način.

passwd bob

Kako izbrisati korisnike u Linux sistemu

Da biste izbrisali korisnika iz sistema, preporučljivo je da prvo zaključate korisnika da se ne prijavi na sistem kao što je prikazano.

passwd -l bob

Ako želite, možete napraviti sigurnosnu kopiju korisničkih datoteka pomoću naredbe tar.

tar -cvf /backups/bob-home-directory.tar.bz2  /home/bob

Konačno, da izbrišete korisnika zajedno sa početnim direktorijumom koristite naredbu deluser na sljedeći način:

deluser --remove-home bob

Dodatno, možete koristiti naredbu userdel kao što je prikazano.

userdel -r bob

Dvije naredbe u potpunosti uklanjaju korisnika zajedno sa njihovim početnim direktorijima.

Zaključak

To je bio pregled komandi za upravljanje korisnicima koje će se pokazati korisnim posebno pri upravljanju korisničkim nalozima u vašem uredskom okruženju. Pokušajte s vremena na vrijeme da izoštre svoje vještine sistemske administracije.